Verschlüsseln Ihrer Nextcloud-Dateien auf dem Server

Nextcloud enthält eine App für die serverseitige Verschlüsselung und wenn diese von Ihrem Nextcloud Administrator aktiviert wurde, werden all Ihre Nextcloud-Dateien automatisch auf dem Server verschlüsselt. Die Verschlüsselung gilt für den gesamten Server, d.h. wenn sie aktiviert wurde, ist es nicht möglich, Dateien unverschlüsselt zu lassen. Sie müssen hierfür nichts Besonderes tun - Nextcloud nutzt Ihre Zugangsdaten als Passwort für Ihren einzigartigen privaten Schlüssel. Sie können sich ein- und ausloggen und Ihre Dateien wie gewohnt verwalten und freigeben, genauso können Sie auch jederzeit Ihr Passwort ändern.

Der Hauptzweck besteht darin, Dateien auf entfernten Speicherdiensten, die mit Ihrem Nextcloud-Server verbunden sind, zu verschlüsseln. Dies ist eine einfache Möglichkeit, Ihre Dateien auf entfernten Speichergeräten zu schützen. Sie können Ihre entfernten Dateien wie gehabt über Nextcloud teilen, aber Sie können Ihre verschlüsselten Dateien nicht direkt über den entfernten Dienst teilen, da die Schlüssel auf Ihrem Nextcloud-Server gespeichert und niemals an externe Anbieter weitergegeben werden.

Wenn Ihr Nextcloud-Server nicht mit einem entfernten Speicherdienst verbunden ist, so ist es besser, eine andere Form der Verschlüsselung zu nutzen, wie Dateisystem- oder Datenträgerverschlüsselung. Da die Schlüssel auf Ihrem Nextcloud-Server verbleiben, ist es Ihrem Nextcloud-Administrator möglich, Ihre Dateien einzusehen, und falls der Server kompromittiert wird, könnte der Angreifer Zugriff auf Ihre Dateien erlangen. (Für weitere Informationen vergleichen Sie Encryption in Nextcloud.)

Verschlüsselungs-FAQ

Wie kann die Verschlüsselung deaktiviert werden?

Die einzige Art und Weise, Verschlüsselung zu deaktivieren, besteht darin, das Skript „decrypt all“ auszuführen, welches alle Dateien entschlüsselt und Verschlüsselung deaktiviert.

Ist es möglich, die Verschlüsselung mit dem Wiederherstellungsschlüssel zu deaktivieren?

Ja, wenn jeder Benutzer den Wiederherstellungsschlüssel verwendet, wird „decrypt all“ diesen Schlüssel nutzen, um alle Dateien zu entschlüsseln.

Kann die Verschlüsselung ohne das Passwort des Benutzers deaktiviert werden?

Wenn Sie das Passwort Ihrer Benutzer nicht besitzen, oder den file recovery key, dann gibt es keine Möglichkeit, alle Dateien zu entschlüsseln. Außerdem wäre es gefährlich, es bei der Anmeldung auszuführen, da es wahrscheinlich Timeouts geben würde.

Ist geplant, dies auf die nächste Benutzeranmeldung oder einen Hintergrundjob zu verschieben?

In diesem Fall müssten wir Ihr Anmeldekennwort in der Datenbank speichern. Dies könnte als Sicherheitsproblem angesehen werden, daher ist nichts dergleichen geplant.

Ist eine Gruppenfreigabe mit dem Wiederherstellungsschlüssel möglich?

Meinen Sie damit, dass es auf magische Weise funktionieren sollte, wenn Sie Benutzer zu Gruppen hinzufügen? Leider nein. Dies funktioniert nur mit dem Master-Schlüssel.

Verschlüsselung verwenden

Die Verschlüsselung von Nextcloud ist gewissermaßen vom Typ „Erst konfigurieren, dann vergessen“, dennoch haben Sie einige Einstellungsmöglichkeiten.

Wenn Ihr Nextcloud-Administrator zum ersten Mal Verschlüsselung aktiviert, müssen Sie sich abmelden und anschließend wieder anmelden, um Ihre Schlüssel zu erstellen und Ihre Dateien zu verschlüsseln. Wenn Verschlüsselung auf Ihrem Nextcloud-Server aktiviert wurde, sehen Sie ein gelbes Banner auf Ihrer Dateien-Seite, das sie darauf hinweist, sich ab- und anzumelden:

../../_images/encryption1.png

Wenn Sie sich erneut anmelden, wird dieser Vorgang - je nach Anzahl Ihrer Dateien - einige Minuten in Anspruch nehmen, bevor Sie zu Ihrer standardmäßigen Nextcloud-Seite umgeleitet werden.

../../_images/encryption2.png

Bemerkung

Sie dürfen Ihr Nextcloud-Passwort niemals verlieren, da Sie dadurch den Zugriff auf Ihre Daten verlieren werden. Allerdings gibt es eine optionale Wiederherstellungsmöglichkeit, die Ihr Nextcloud-Administrator aktivieren kann; vergleichen Sie unten den Abschnitt „Rettungsschlüssel-Passwort“.

Verschlüsselte Dateien teilen

Nur Benutzer mit privaten Schlüsseln haben Zugriff auf verschlüsselte Freigaben von Dateien und Ordnern. Benutzer, die noch keine privaten Schlüssel erstellt haben, werden keinen Zugriff auf verschlüsselte Datei-Freigaben haben; sie werden Ordner und Dateinamen sehen, aber keine Möglichkeit haben, die Dateien zu öffnen oder herunterzuladen. Sie werden ein gelbes Banner mit folgendem Hinweis sehen „Verschlüsselungs-App ist aktiviert, aber Ihre Schlüssel sind noch nicht initialisiert, bitte ab- und wieder anmelden.“

Besitzer von Freigaben müssen Ihre Dateien möglicherweise erneut teilen, nachdem Verschlüsselung aktiviert wurde; Benutzer, die auf die Freigabe zugreifen wollen, werden eine Benachrichtigung sehen, den Besitzer der Freigabe aufzufordern, diese erneut mit ihnen zu teilen. Für individuelle Freigaben heben Sie die Freigabe für die Datei auf und erteilen Sie sie erneut. Für Gruppen-Freigaben teilen Sie einfach mit den Personen, die keinen Zugriff auf die Freigabe haben. Dadurch wird die Verschlüsselung aktualisiert, sodass der Besitzer der Freigabe die individuellen Freigaben entfernen kann.

Wiederherstellungs-Passwort

Wenn Ihr Nextcloud-Administrator die Funktion „Rettungsschlüssel“ aktiviert hat, können Sie diese Funktion für Ihr Konto nutzen. Wenn Sie Passwort-Wiederherstellung aktivieren, kann der Administrator Ihre Daten mit einem speziellen Passwort lesen. Durch diese Funktion kann der Administrator Ihre Dateien wiederherstellen, falls Sie Ihr Nextcloud-Passwort verlieren. Falls der Rettungsschlüssel nicht aktiviert ist, gibt es keine Möglichkeit, Ihre Dateien wiederherzustellen, wenn Sie Ihr Anmelde-Passwort verlieren.

../../_images/encryption3.png

Dateien nicht verschlüsselt

Nur die Daten innerhalb Ihrer Dateien werden verschlüsselt, aber weder die Dateinamen noch die Ordnerstruktur. Folgende Dateien werden niemals verschlüsselt:

  • Alte Dateien im Papierkorb.

  • Vorschaubilder aus der Gallerie-App

  • Vorschaubilder aus der Dateien-App

  • Der Suchindex aus der Volltextsuche-App.

  • Drittanbieter App-Daten

Es können nur Dateien auf Freigaben externer Speicherdienstleister verschlüsselt werden, die übrigen Dateien dürfen nicht verschlüsselt werden.

Passwort für den Privaten Schlüssel ändern

Diese Option ist nur verfügbar, wenn das Passwort für die Verschlüsselung vom Administrator nicht geändert wurde, sondern nur das Passwort für die Anmeldung. Dies kann auftreten, wenn Ihr Nextcloud-Anbieter ein externes Benutzer-Backend verwendet (z.B. LDAP) und Ihr Anmelde-Passwort über diese Backend-Konfiguration geändert hat. In diesem Falle können Sie Ihr Verschlüsselungs-Passwort als Ihr neues Anmelde-Passwort festlegen, indem Sie Ihr altes und Ihr neues Anmelde-Passwort angeben. Die Verschlüsselungs-App funktioniert nur, wenn Anmelde-Passwort und Verschlüsselungs-Passwort identisch sind.