Hallo,
ich suche einen datenschutzfreundlichen V-Server für eine Nextcloud aufzuspielen.
Darum sollte der Anbieter Wert auf Datenschutz und Sicherheit legen.
Kennt jemand vertrauenswürdige Anbieter?
MFG
MasterShredder
Hetzner (also 1&1 oder Ionos oder HostEurope - alles das gleiche ;-)) oder OVH.
Bei allen „woanders“ gehosteten Systemen muss man letztendlich dem Betreiber und dessen Admins vertrauen.
1 „Gefällt mir“
OK.
Also vom Preisleistungsverhältnis und Benutzerfreundlichkeit würde ich Ionos wählen. Wie ist dies eigentlich genau? Ich habe meine zur Verfügung gestellten Ressourcen mit Linux(in meinem Fall Ubuntu) ist komplett verschlüsselt also der Festplattenspeicher, der Arbeitsspeicher, die CPU, mein Zugriff und der Datenverkehr? Also Ionos selbst hat keinen Zugriff auf meine Daten oder weiß eigentlich gar nicht was dort geschieht(also jetzt ohne irgendwelche gefährlichen oder illegalen Dinge)? Also ich habe da jetzt nichts ultra Geheimes vor aber mir geht es halt darum, dass meine Daten nicht durchleuchtet werden oder Verhaltens Daten oder ähnliches gesammelt werden. Wie gesagt ich will jetzt in erster Linie eine Nextcloud dort hosten wo ich meine Termine, Daten und Kontakte habe, und auch nur ich Zugriff habe. Später noch vielleicht ein Paar andere Server Spielereien 
.
Auch wenn ich etwas an Verschlüsselung, ohne viel Aufwand, nachrüsten muss ist das in Ordnung(also jetzt auf Software Ebene).
Heißt dies dann so was wie, man weiß, dass z.B. Ionos keinen Zugriff nehmen kann oder auch dies gar nicht beabsichtigt?
Vielen Dank schon mal für die Hilfe 
Grüße MasterShredder
Bei einem V-Server kann der Anbieter alles sehen, was man nicht selbst verschlüsselt hat. In der Praxis hat da sicherlich keiner Zeit das zu machen. Liegt jedoch was offizielles vor, ist man ungeschützt.
Um das zu umgehen, muss man einen Bare-Metal-Server mieten. Also die ganze Maschine. Bei Hetzner in der Serverbörse so um die EUR 30.-/monatlich.
Will man ganz sicher gehen, muss man selbst einen Server erwerben, selber in eigenem Einflussbereich einrichten und fix und fertig verschlüsselt in einen hierfür zu mietenden Rackspace in einem Rechenzentrum stecken (Co-Location).
Da dann nur das Netzwerkkabel und Stromversorgung angeschlossen werden müssen, kann man das Gerät auch zum Rechenzentrum senden und von den Technikern des Providers einbauen lassen.
1 „Gefällt mir“
Hatte mal einen virtuellen Server bei Strato…aber man musste dort alles selbst machen.
Ah OK.
Also dies ist mir definitiv zu Teuer. Ich will nicht mehr als 15€/Monat dafür ausgeben. Daher passt das Angebot von Ionos „VPS Linux- M oder L“ perfekt.
Aber ja, ich habe dort ja root Zugriff, das heißt ja ich kann Ubuntu Server gleich bei Installation verschlüsseln. Und wenn nicht dann im Nachgang. Oder?
Und ich habe auch gesehn Sie bitten auch eine Anleitung an um Nextcloud zu installieren und SSL einzurichten. https://www.ionos.de/digitalguide/server/konfiguration/nextcloud-ubuntu-2204/
Und ich kann die internen Werkzeuge von Nextcloud nutzen um Daten und Transport zu verschlüsseln.
Oder habe ich etwas übersehen? Aber eigentlich müsste es doch so funtionieren?
Ein V-Server verhält sich im wesentlichen nicht anders als ein Bare-Metal-Server. Man hat natürlich auch root-Access und kann sich alles einrichten wie man will. Das ganze läuft eben nur neben anderen V-Servern und die Resourcen werden gemeinsam benutzt.
Verschlüsseln kann man das selbstverständlich auch. Da der Provider -theoretisch- auf den Server zugreifen kann während er läuft, bringt das nicht viel.
Wird die Nextcloud-Verschlüsselung verwendet, liegt das Passwort auf dem Server. Der Vorteil der Nextcloud-Verschlüsselung bezieht sich so gesehen in erster Linie auf die Backups: Man kann die Daten einfach wegschreiben (solange man das nicht auch mit dem Passwort an die gleiche Stelle macht).
Der Transport ist verschlüsselt, wenn HTTPS eingerichtet wurde. Die meisten Anleitungen heute berücksichtigen das.
Nachtrag:
Es gibt auch diverse Anbieter, die den eigenen Raspi im Rechenzentrum betreiben. Da sind die Preise wegen marginalem Stromverbrauch dann niedriger, z.B. https://raspberry-hosting.com/en/order
Den Provider kenne ich selbst nicht, soll nur ein Beispiel sein. Evtl. gibt es auch heimische Anbieter.
Ohh mein Gott wie geil 
.
Also klar kann er auf die Daten zugreifen aber doch nur in verschlüsselter Form?
Aber gut, es laufen dort jetzt keine automatisierten Prozesse die irgendwie Daten sammeln? Darauf kommt es mir an. Und dort wird auch nichts sein wofür man einen größeren Aufwand betreiben würde um es zu finden.
Also im farzieht kann man sagen, dass es ein vertrauenswürdiger Hoster ist?
Man hat die Möglichkeit, den Server bzw. dessen Partition selbst zu verschlüsseln, man muss dann beim Start via SSH entschlüsseln.
Während er dann läuft, ist auch nichts verschlüsselt.
Wenn Nextcloud-Verschlüsselung aktiviert ist, sieht er die Daten nur verschlüsselt. Er kommt aber auch an das Passwort und sieht, welche Software zum Entschlüsseln notwendig ist. Er hat sogar den ganzen Server.
Ob der Hoster vertrauenswürdig ist, kann ich nicht beurteilen.
Bei allen größeren Hostern wird man davon ausgehen können, dass Mechanismen zur Wahrung der DSGVO und Reglementierung des Zugriffs auf Kundendaten implementiert sind.
Dies bedeutet also, sobald ich ihn entschlüssele liegt er in unverschlüsselter Form vor, und dies hat dann auch nichts mit dem spezifischen Benutzer zu tun? Also die Platte im Rechenzentrum wäre dann entschlüsselt und wäre ganz normal zugänglich?
OK, dann werde ich Ihnen mal einen Vertrauensvorschuss geben. Mir ist es im Grunde eigentlich immer lieber wenn man Dienstleistungen auch mit der Absicht betreibt oder ganz klar sagt, dass der Datenschutz und die Privatsphäre strickt eingehalten wird.
Gerade bei solchen Dingen wie einer Cloud, mit sensible Daten, ist dies enorm wichtig. Hier gibt es so viele die das Vertrauen der Kunden ausnutzen, da will man sich schon in guten Händen Wissen.
Warum hast du dich für so eine Lösung entschieden?
- Der Serveranbieter kann alles auf deinem Server einsehen. Von daher gibt es keinen garantierten Datenschutz. Außer wenn du Dateien schon auf deinen Endgeräten vor Transport verschlüsselst. Bei letzterem würdest du aber die ganze Cloud- und Groupware-Funktionalität verlieren, was Nextcloud quasi auf den Stand einfacher File-Server zurückwirft. Nextclouds E2EE-App ist übrigens quasi nicht zu gebrauchen.
- Dadurch dass du ihn selbst managest, hast du die ganze Arbeit, Risiko von Fehlkonfigurationen usw. und kaum Vorteile. Außer du denkst du kannst das besser als professionelle Admins, die eine gemanagte Nextcloud zur Verfügung stellen.
Nextcloud bietet sich daher meiner Meinung nach nur wirklich an, wenn du einen Homeserver verwendest und damit volle Zugriffskontrolle bekommst. Ansonsten wäre eine Cloud-Lösung mit Ende-zu-Ende-Verschlüsselung eine Überlegung wert wie z.B. Proton Drive.
OK. Die hatte ich auch im Auge.
Ja dies ist auch meine ursprüngliche Überlegung. Dies wäre auf jeden Fall vorzuziehen. Ich habe auch noch einen Pi und eine Festplatte über. Nur leider habe ich keine statische IPv4 Adresse und bekomme auch mit IPv6 keine Verbindung. Bei meinen vorigen zahlreichen Versuchen hatte ich Vodafone cable DS-Lite. Und momentan weiß ich gar nicht wirklich was ich habe, also Tarif ist Vodafone LTE 4G(mit Fritzbox), aber wie das dort mit IPv6 ist 
keine Ahnung. Die lassen bei so etwas immer weit blicken.
Eine statische ipv4-Adresse ist nicht nötig und bekommen nur Kunden mit Busniness-Tarif. Aber eine IPv4-Adresse wird benötigt, sonst kann man mit IPv6 nicht darauf zugreifen. Wenn du die willst, musst du anrufen und fragen. Bei manchen Tarifen kann man es dazu buchen, bei anderen nicht.
Es geht theoretisch auch ohne IPv4-Adresse mit einem speziellen Verfahren dessen Namen mir nicht einfällt. Da wird quasi im vorgelagerten ISP-NAT eine Port-Range (meist im höheren Bereich) für den eigenen Gebrauch registriert und weitergeleitet. Diese Port-Range zusammen mit der NAT-IPv4-Adresse kann man dann verwenden. 1und1 bietet das z.B. an.
Das alles benötigst du aber nur, wenn du es öffentlich zugänglich machen willst und das sollte man als Anfänger im Selbst-Hosten lieber unterlassen, bis man sich sehr sicher ist. Offene Ports werden heutzutage innerhalb kürzester Zeit durch Bots entdeckt und bei Fehlkonfigurationen ggf. attackiert. Da bleibt kein Spielraum für Fehlkonfigurationen, das geht manchmal schon innerhalb Minuten. Das gleiche Problem hast du übrigens auch bei einem selbst-gemanagten VPS. Lieber zunächst Zugang nur mit VPN oder Mesh-VPN. Tailscale bietet sich an, ist benutzerfreundlich, sicher und kostenlos. Dann wird auch keine eigene IPv4-Adresse, Portfreigaben, HTTPS usw. benötigt.
Ok, verstehe.
Hört sich interessant an! Nur da gibt es denke ich ein Problem. Ich habe auf meinem Smartphone RethinkDNS fürs tracking usw. laufen und dies simuliert einen VPN-Tunnel. Und so viel ich weiß ist es dann nicht möglich einen zusätzlichen VPN-Tunnel aufzubauen.
Das Verwenden von RethinkDNS ist bei weitem nicht so wichtig wie die Sicherheit deines Servers. Du kannst als Teilersatz NextDNS verwenden oder einen eigenen DNS-Server wie Adguard Home auf deinem Homeserver installieren und in Tailscale als DNS-Server setzen. Zudem kannst du über Tailscale Mullvad-VPN dazubuchen. Solltest du GrapheneOS verwenden kannst du Apps komplett blocken mit der „Netzwerk“-Berechtigung.
Also mal so zu meinem Setup. Ich habe in meinem Heimnetz PiHole hängen, auf meinem Smartphone läuft /e/OS und auf meinem Desktop Rechner und Laptop Ubuntu.
Wenn ich jetzt von außen auf meinen Pihole zugreifen könnte wäre im Grunde genommen schon eine schöne Sache. Ich weiß nur nicht ob dies im alltäglichen Gebrauch so performant wäre. Da ich immer mal irgend was freischalten muss auf die schnelle und ich keine Lust habe mich dann erst zu hause einzuloggen.
Und auch so, bietet RethinkDNS doch eine Menge Vorteile die nicht so einfach zu ersetzen sind.
Und hier werde ich irgendwie nicht schlau drüber was dieses Mullvad überhaupt bringen soll.
Sollte innerhalb des eigenen Landes bei den meisten Internetanschlüssen heutzutage kein Problem sein. Selbst in den Nachbarländern hat das bei mir noch ganz ok geklappt von der Latenz.
DivestOS hat leider das Dokument mit den ganzen Kritikpunkten von /e/OS heruntergenommen, aber die Sicherheits- und Datenschutzmängel von /e/ die da genannt wurden und sich über die Jahre angehäuft haben waren so gravierend, dass man die Verwendung wirklich niemandem empfehlen kann. Kuketz Test von /e/OS war auch nicht rosig. Würde empfehlen auf GrapheneOS oder DivestOS umzusteigen.
Mit Tailscale kannst du es ja so einrichten, dass du auf die Pihole-Admin-Seite Zugriff hast.
Man muss sich halt für ein Übel entscheiden. Ohne VPN/Tailscale und dafür mit öffentlich sichtbaren Services würde ich keinem Anfänger raten etwas selbst zu hosten. Zudem hast du ja teilweisen Ersatz von RethinkDNS durch deinen eigenen DNS.
Tailscale stellt ja nur Verbindungen zwischen deinen Geräten/Server her (Mesh-VPN). Auf alles andere (Internet) greifst du direkt zu von den Geräten ohne Umleitung (ist ja ein Mesh-VPN). Wenn du es zusätzliche mit Mullvad VPN verwendest, wird der Internet-Traffic durch Mullvads Server verschlüsselt geleitet. Das hindert IP-basiertes Tracking, da du dann mit einer Mullvad-VPN-Server IP surfst, die du schnell wechseln kannst und mit vielen anderen Nutzern teilst. Ein öffentliches VPN oder Tor zu verwenden ist ein wichtiger Baustein für Privacy beim surfen.
Ich meinte eigentlich ob dies so ohne weiteres, ohne viel Fummelei geht. Weil so wechsele ich kurz in die App dann wieder rüber, wenn es klappt gut, wenn nicht wieder zur App…
Ah ok verstehe.
Ja gut, ich muss das ganze jetzt mal abwägen und mal sehen wo ich lande.
Aber schon mal danke, auch an alle andern! Jetzt habe ich mal einen Überblick bekommen und ein paar Möglichkeiten kennengelernt.
Zunächst einmal muss sich jeder in Europa ansässige Hoster an die DSGVO halten. Ob er das das dann wirklich auch macht, musst du ihm glauben. Sobald fremde Infrastruktur ins Spiel kommt, hilft halt nur Vertrauen.
Bei einem V-Server ist gar nichts verschlüsselt. Du bekommst einen nackten Server auf Basis von z. B. Ubuntu oder Debian in einer virtualisierten Umgebung. Du teilst dir also mit anderen Kunden den Prozessor, den RAM, die Festplatten. Daten im Arbeitsspeicher müssen verwendet werden können, sind also grundsätzlich nicht verschlüsselt. Auf der Festplatte ist verschlüsselt, was du bzw. deine Anwendung verschlüsselst.
Bei Nextcloud kannst du die gespeicherten Daten verschlüsseln. Das betrifft aber meines Wissens nur die gespeicherten Dateien, nicht aber die Datenbank. Kontakte, Kalender, Aufgaben sind in der Datenbank gespeichert und damit meines Wissens Klartext. Der Provider könnte also darauf zugreifen und lesen, verändern, löschen sowieso. Könnte ist aber Konjunktiv. Er darf es nicht und er wird es nicht. Wenn er sich dabei erwischen lässt, kann er seine Türe von außen zuschließen.
Zu deinem Problem beim Selfhosting: Eine öffentliche IP-Adresse ist natürlich vonnöten. Sie muss nicht statisch sein. Dynamische Adressen kann man per DynDNS an einen statischen Namen binden, sodass man auch sauber mit einem Zertifikat arbeiten kann und immer mit demselben Namen auf seinen Server zugreift. Hat man einen DS-Lite-Anschluss, hat man keine öffentliche IPv4-Adresse. Der Zugriff über IPv6 sollte aber problemlos funktionieren. Sitzt man aber irgendwo in einem reinen IPv4-Netz, hat man ein Problem. Dann kommt man an seinen Server nicht ran.
Was du machen könntest: Du mietest einen vServer, die ganz kleine Variante für 1 Euro im Monat reicht aus. Dort und auf deinem Server zu Hause richtest du Wireguard oder OpenVPN ein. Der Server zu Hause baut einen VPN-Tunnel zum vServer auf. Du kannst nun von jedem Ort der Welt auf den vServer zugreifen und landest über den Tunnel zu Hause. Der vServer hat eine statische IPv4-Adresse und ggf. auch eine statische IPv6-Adresse.
Das funktioniert als Lösung für das IPv4-Problem, birgt aber ähnliche Sicherheitsrisiken wie wenn man von Zuhause ohne VPN hostet.
Bei einigen großen Cloud-Anbietern wurden schon Mitarbeiter dabei erwischt, und es hat dem Anbieter nicht nennenswert geschadet, den erwischten Mitarbeitern natürlich schon. Aber ja, das Risiko hält sich in Grenzen. Ich würde jedenfalls keine Daten unverschlüsselt darauf speichern die bei Veröffentlichung das Leben/Karriere o.ä. schädigen könnten, wie Arztangelegenheiten, Nacktbilder usw. Oder gleich eine andere Lösung wählen, die bessere Zugriffssicherheit der Daten möglich macht.