Tools / Neuigkeiten / Nextcloud GmbH gibt 367.000 interne Datensaetze ueber einen falsch konfigurierten Elasticsearch-Cluster preis
Presse

Nextcloud GmbH gibt 367.000 interne Datensaetze ueber einen falsch konfigurierten Elasticsearch-Cluster preis

· VaultTools

Cybernews-Forscher fanden eine ungeschuetzte Elasticsearch-Datenbank der Nextcloud GmbH mit rund 367.000 Datensaetzen (8GB), darunter Rechnungen, Vertraege, Mitarbeiterdaten und Setup-Skripte fuer Kunden. Die Panne wurde am 8. Juli 2026 oeffentlich; selbst das Unternehmen hinter der Self-Hosted-Cloud hat eine Hosting-Konfiguration falsch gesetzt.

VaultTools · 16. Juli 2026

Ein Server-Rack in einem dunklen Rechenzentrum, die Art von Infrastruktur, in der ein einziger Konfigurationsfehler eine ganze Datenbank offenlegen kann. Foto auf Unsplash

Inhaltsverzeichnis


Was passiert ist

Die Nextcloud GmbH, das deutsche Unternehmen hinter der weit verbreiteten Open-Source-Plattform fuer selbstgehostete Clouds, liess eine Elasticsearch-Datenbank oeffentlich zugaenglich im Netz stehen. Sicherheitsforscher von Cybernews entdeckten den offenen Cluster am 18. Mai 2026 und berichteten von rund 367.000 Datensaetzen mit insgesamt 7,92GB Daten.

Die Ironie ist kaum zu uebersehen. Nextclouds gesamtes Versprechen lautet Datensouveraenitaet: Betreibe deine eigene Cloud, damit deine Dateien nicht auf fremden Servern liegen. Doch die eigene Hosting-Infrastruktur des Unternehmens war so fehlkonfiguriert, dass interne Geschaeftsdaten fuer jeden erreichbar waren, der danach suchte. Das Cybernews-Team formulierte es so: “Wenn unser Team den offenen Datensatz finden konnte, dann haetten Angreifer das auch gekonnt.”

Was offengelegt wurde

Laut Cybernews mischte der geleakte Datensatz Firmen- und Kundenmaterial: Rechnungen, Vertraege, Mitarbeiterdaten und E-Mail-Adressen, Namen und Adressen von Kundenunternehmen sowie Setup-Skripte fuer Geschaeftskunden. Ein Teil der Informationen war unverschluesselt.

Heise online zeichnete dasselbe Bild und beschrieb rund 360.000 Eintraege und 8GB Daten zu Nextcloud-Kunden, Partnern und Mitarbeitern samt Vertraegen und Skripten fuer Firmenkunden. SC Media wies darauf hin, dass Forscher warnten, automatisierte Bots durchsuchten das Internet permanent nach genau dieser Art von Fehlkonfiguration. Die Daten koennten also kopiert worden sein, bevor sie gesichert wurden, auch wenn Nextcloud keine Hinweise auf Missbrauch fand.

Die Chronologie der Offenlegung

    1. Mai 2026 — Cybernews-Forscher entdecken den oeffentlich zugaenglichen Elasticsearch-Cluster.
    1. Mai 2026 — die Forscher informieren die Nextcloud GmbH, so heise online.
    1. Mai 2026 — Nextcloud schliesst die Luecke und meldet den Vorfall den Aufsichtsbehoerden.
  • 8.-9. Juli 2026 — die Panne wird durch Berichte von Cybernews, heise online und SC Media oeffentlich.

Das Fenster zwischen Entdeckung und Absicherung war kurz. Das Fenster zwischen Offenlegung und Entdeckung ist unbekannt, und genau dieser Teil laesst sich im Nachhinein nicht mehr pruefen.

Nextclouds Reaktion

Nextcloud fuehrte den Vorfall auf “eine Fehlkonfiguration der Hosting-Struktur” zurueck und betonte, dass “die Open-Source-Kollaborationssoftware und ihre Nutzer nicht betroffen waren”. Keine von Kunden betriebenen Nextcloud-Server waren involviert, und das Unternehmen erklaerte: “Uns ist derzeit kein Fall bekannt, in dem die Daten missbraucht wurden.”

Diese Unterscheidung ist wichtig und fair gegenueber Nextcloud: Nicht das Produkt wurde kompromittiert, sondern das eigene Hosting des Unternehmens. Die Reaktion war zudem schnell, die Datenbank war zwei Tage nach der Meldung gesichert. Trotzdem bleibt der Vorfall ein Lehrstueck, denn er zeigt, dass selbst eine Organisation, deren Kernkompetenz der Betrieb von Datei-Infrastruktur ist, eine Datenbank falsch konfigurieren kann.

Warum das fuer browserbasierte Datei-Tools wichtig ist

Die Lehre ist nicht, dass Nextcloud nachlaessig waere. Sondern dass serverseitige Speicherung immer ein Konfigurationsrisiko traegt, egal wer sie betreibt. Ein datenschutzorientiertes Unternehmen mit starken Anreizen und echter Expertise landete trotzdem mit 367.000 Datensaetzen im offenen Internet, weil jede Datenbank, jeder Bucket und jeder Cluster nur eine Einstellungsaenderung von “oeffentlich” entfernt ist.

Dateien, die vollstaendig im Browser verarbeitet werden, haben diesen Fehlermodus nicht. Wenn ein PDF lokal per WebAssembly zusammengefuegt oder ein Bild komprimiert wird, gibt es keinen Upload, keine serverseitige Kopie und keinen Elasticsearch-Cluster, in dem Reste liegen bleiben. Nichts muss spaeter abgesichert werden, weil nie etwas gespeichert wurde. Fuer einmalige Dateiaufgaben ist die sicherste Infrastruktur die, die gar nicht existiert.

Quellen