Zum Inhalt springen
xaweho
Bestellen

Knowledge Base · einfach

Zwei-Faktor-Authentifizierung und Sicherheit

2FA aktivieren, App-Passwörter erstellen, Brute-Force-Schutz, Empfehlungen für sicheren Nextcloud-Betrieb.

einfach ·

Eine Nextcloud, die im Internet hängt (das tut sie bei uns), braucht aktive Sicherheit. Wir tun viel auf Server-Seite — Brute-Force-IP-Block, Reverse-Proxy mit Rate-Limiting, sicheres SSL-Setup. Aber Du als Admin und Deine User sind die letzte Schicht. Hier die wichtigsten Hebel.

2FA für Deinen eigenen Account

Persönliche Einstellungen → Sicherheit → Zwei-Faktor-Authentifizierung.

Mehrere Methoden möglich:

  • TOTP (Time-based One-Time-Password): Standard. App auf dem Smartphone (Aegis, 2FAS, Apple-Passwort-Manager).
  • WebAuthn / FIDO2: Hardware-Key wie YubiKey. Sicherste Variante.
  • U2F: ältere FIDO-Variante, ähnlich WebAuthn.
  • Backup-Codes: einmalig nutzbare Recovery-Codes.

Aus unserer Empfehlung: TOTP als Haupt-Methode, dazu Backup-Codes ausgedruckt im Safe. WebAuthn als zusätzliche Schicht für sehr sicherheitskritische Setups.

Setup TOTP

  1. Aktivieren in Persönlichen Einstellungen.
  2. QR-Code mit TOTP-App scannen.
  3. Code zur Bestätigung eintippen.
  4. Backup-Codes generieren und speichern.

Bei jedem Login zukünftig: Username + Passwort + 6-stelliger TOTP-Code.

Setup Backup-Codes

Im 2FA-Bereich auf Backup-Codes klicken → Liste von 10 Codes wird generiert, einer davon ist beim Login einsetzbar (jeder Code nur einmal).

Wichtig: drucken oder im Passwort-Manager speichern. Wenn Du Smartphone verlierst, kommst Du nur mit einem Backup-Code wieder rein.

2FA-Pflicht für andere User durchsetzen

Als Admin in Verwaltungs-Einstellungen → Sicherheit:

  • 2FA-Erzwingung für bestimmte Gruppen aktivieren — typisch für admin-Gruppe.

User der erzwungenen Gruppe müssen beim nächsten Login 2FA einrichten. Vorher kein Zugriff auf Files.

Aus unserer Empfehlung:

  • admin-Gruppe: 2FA pflicht
  • Standard-User-Gruppe: 2FA empfohlen, nicht erzwungen
  • Geschäftliche User mit sensiblen Daten: 2FA pflicht

Bei kompletten Pflicht für alle User wird oft die Akzeptanz schwieriger — manche User finden 2FA nervig. Diskutier das im Team und entscheide, was angemessen ist.

App-Passwörter

Wenn Du 2FA aktiv hast, können Mailclients (Outlook, Apple Mail) und Sync-Clients (Nextcloud Desktop, Mobile-Apps) keine 2FA-Codes nutzen. Stattdessen nutzen sie App-Passwörter.

App-Passwort erstellen:

  1. Persönliche Einstellungen → Sicherheit → Geräte und Sitzungen.
  2. App-Name vergeben (z.B. „Apple Mail iPhone”, „Desktop Win 11”).
  3. Erstellen klicken.
  4. App-Passwort wird angezeigt — einmalig sichtbar, danach nur als Hash gespeichert.

In der App: das App-Passwort als Login-Passwort verwenden, nicht das Hauptpasswort.

Pro Client ein eigenes App-Passwort

Aus unserer Empfehlung: pro Client ein eigenes App-Passwort, mit sprechendem Namen. Vorteile:

  • Verlust eines Geräts → genau dieses App-Passwort widerrufen, andere bleiben aktiv.
  • Übersicht in Geräte und Sitzungen: welche Geräte sind verbunden?
  • Logging: pro App-Passwort sieht man im Audit-Log, wer von wo zugegriffen hat.

Mehr in App-Passwörter (folgt in Tranche 2).

Brute-Force-Schutz

Nextcloud hat eingebauten Brute-Force-Schutz: nach mehrfachen falschen Login-Versuchen wird die IP-Adresse gedrosselt.

In Verwaltungs-Einstellungen → Sicherheit:

  • Anzahl erlaubter Login-Versuche: 5 (Standard, gut)
  • Sperrzeit: zunehmend mit jedem Versuch

Plus: wir haben auf Server-Seite Fail2ban-ähnlichen Schutz, der hartnäckige IP-Blocks erzwingt.

Sicherheits-Hinweise im Admin-Bereich

In Verwaltungs-Einstellungen → Übersicht zeigt Nextcloud regelmäßig Sicherheits-Hinweise. Beispiele:

  • „HSTS-Header nicht gesetzt”
  • „Default-Phone-Region nicht konfiguriert”
  • „Maintenance Mode aktiv”

Was Du tun sollst:

  • Anwendungs-Themen: kannst Du selbst lösen (Default-Phone-Region in den Einstellungen setzen, etc.).
  • Server-Themen: Ticket öffnen, wir kümmern uns auf Server-Seite. Beispiele: HSTS-Header, OPcache-Tuning, Datenbank-Indizes.

Was Du nicht tun sollst: in Admin-Optionen, die Du nicht verstehst, herumprobieren. Fail-Cases können dazu führen, dass User sich nicht mehr einloggen können.

Geräte und Sitzungen verwalten

In Persönliche Einstellungen → Sicherheit → Geräte und Sitzungen siehst Du alle aktiven Logins:

  • Browser-Sessions
  • App-Passwort-basierte Verbindungen
  • Mobile-App-Logins

Pro Eintrag:

  • Letzter Zugriff: wann war das?
  • IP-Adresse: woher kam der Zugriff?
  • Browser/App: was war’s?

Bei verdächtiger Aktivität: Widerrufen klicken. Der jeweilige Login-Token wird sofort ungültig.

Empfehlungen für sicheren Betrieb

1. Eindeutige, starke Passwörter für jeden User. Aus dem Passwort-Manager generiert.

2. 2FA für Admins zwingend. Optional für andere — empfehlen, nicht erzwingen.

3. App-Passwörter pro Gerät. Sprechende Namen, regelmäßig aufräumen.

4. Sharing-Defaults konservativ setzen. Passwort-Pflicht, Ablaufdatum, siehe Sharing-Links mit Schutz.

5. Audit-Log aktivieren bei sensiblen Setups (App admin_audit).

6. Sicherheits-Hinweise nicht ignorieren. Wenn was rot oder gelb wird: Ticket bei uns oder Mike-Kontakt.

7. Updates zeitnah einspielen. Wir machen das proaktiv. Falls Du Auffälligkeiten siehst, bevor wir gehandelt haben — sagen.

Häufige Fragen

Was tun, wenn ich mein TOTP-Gerät verloren habe? Wenn Du Backup-Codes hast: einer davon nutzen, neu einrichten. Wenn nicht: Ticket öffnen, wir setzen 2FA per OCC zurück, Du musst Dich gegenüber uns identifizieren (z.B. per Mail vom hinterlegten Mail-Account).

Was, wenn ein User vergisst, dass er 2FA hat? Du als Admin kannst es ihm ausschalten — Benutzer-Edit → 2FA-Status. Dann sich neu einloggen lassen, dabei 2FA neu einrichten.

Funktioniert 2FA mit dem Desktop-Client? Ja, indirekt — über App-Passwörter. Beim Setup des Clients gibst Du das App-Passwort an, nicht TOTP. Der Client braucht keine 2FA, weil er ein dediziertes App-Passwort nutzt.

WebAuthn / Hardware-Keys vs TOTP — was ist besser? WebAuthn ist sicherer (resistent gegen Phishing), aber abhängig von Hardware. TOTP ist einfacher zu beginnen, ausreichend sicher für die meisten Setups. Wenn Du sehr hohe Compliance hast: WebAuthn als zweiter Faktor neben TOTP.

Kann ich 2FA auch wieder deaktivieren? Ja, in den persönlichen Einstellungen. Wenn 2FA Server-weit erzwungen ist (Admin-Konfiguration), kannst Du nicht — nur Admin kann das auflockern.

Wie sehe ich, ob meine Nextcloud Login-Versuche von außen erlebt? Verwaltungs-Einstellungen → Sicherheit → Brute-Force-Schutz zeigt blockierte IPs. Plus im Audit-Log.

Was, wenn jemand unser Passwort kennt und 2FA umgeht? Bei korrekt eingerichteter 2FA ist das nicht möglich — 2FA fragt nach dem zweiten Faktor zwingend. Wenn jemand 2FA komplett deaktivieren konnte (etwa mit Backup-Code, den er stolen hatte), dann das Passwort ändern, alle App-Passwörter widerrufen, alle aktiven Sessions schließen.

Weiter geht’s

Passende Produkte
Nextcloud Nextcloud Server
Tags
nextcloud sicherheit 2fa totp
Weitere Artikel zu Nextcloud

Erste Anmeldung als Nextcloud-Admin

Was Du nach der Bereitstellung Deiner Nextcloud machst — Login, Profil, wichtige erste Einstellungen, was wir machen und was Du machst.

Admin-GUI Übersicht — was Du wo findest

Die Verwaltungs-Einstellungen in Nextcloud sind groß. Hier eine Tour durch die wichtigsten Bereiche und was sie tun.

Benutzer und Gruppen anlegen

User für Familie, Verein oder Team anlegen, Gruppen organisieren, Quotas setzen, Login-Verhalten kontrollieren.

Sharing — Files mit anderen teilen, intern und extern

Files in Nextcloud teilen — innerhalb Deiner Cloud mit anderen Usern, mit Gruppen, oder extern per Sharing-Link.
Alle Artikel zu Nextcloud →

Hat dieser Artikel Dir geholfen?

Wenn nicht, schreib uns ein Ticket. Wenn ja, freuen wir uns über eine Empfehlung — beide bekommen 25 € Guthaben aufs Kundenkonto.

Mehr Wissens-Artikel Empfehlungsbonus