Bei der Nextcloud GmbH war eine interne Datenbank mit rund 367.000 Datensätzen zeitweise frei aus dem Internet erreichbar. Darin lagen unter anderem Rechnungen, Verträge, interne E-Mails, Angaben zu Mitarbeitern sowie Skripte für Kundenprojekte. Nach Darstellung des Unternehmens machte eine Fehlkonfiguration in der eigenen Hosting-Infrastruktur den Zugriff möglich. Dabei ist eine klare Abgrenzung wichtig: Das Leck betraf nach aktuellem Stand weder die Nextcloud-Software selbst noch von Kunden betriebene Instanzen. Auch Server von Partnern oder anderen Nutzern seien nicht betroffen gewesen, erklärte die Nextcloud GmbH.

Elasticsearch-Cluster stand offen im Netz
Sicherheitsforscher von Cybernews entdeckten den Vorfall am 18. Mai 2026. Der öffentlich erreichbare Elasticsearch-Cluster umfasste knapp acht Gigabyte Daten. Unternehmen nutzen Elasticsearch, um große Datenbestände schnell zu durchsuchen. Fehlt der Zugriffsschutz, wird aus dem Suchsystem allerdings ein offenes Archiv. Genau das war hier offenbar der Fall. Nach dem Hinweis an die Nextcloud GmbH schloss das Unternehmen den Zugang innerhalb von zwei Tagen. Seit dem 27. Mai ist der Bestand nicht mehr öffentlich erreichbar.
Rechnungen, Verträge und interne E-Mails betroffen
In dem Cluster lagen zahlreiche interne Dokumente. Dazu gehörten Rechnungen, Verträge, E-Mail-Dateien sowie Informationen zu Mitarbeitern und Geschäftskunden der Nextcloud GmbH. Unter den unverschlüsselten Unterlagen fanden die Forscher Rechnungen, die das Unternehmen an Kunden verschickt oder selbst erhalten hatte. Darin standen Unternehmensnamen, Anschriften und E-Mail-Adressen. Auch Kontakte zu Hosting-Anbietern, Behörden und weiteren öffentlichen Stellen tauchten auf. Mehrere E-Mail-Dateien lagen vollständig offen. Dabei waren nicht nur die Nachrichtentexte, sondern auch Absender, Empfänger und Zeitstempel einsehbar. Außerdem enthielt der Datenbestand Listen von Personen, die sich für Beta-Funktionen oder Integrationen angemeldet hatten, wobei teilweise vollständige Namen und geschäftliche E-Mail-Adressen vermerkt waren.
Kundenspezifische Skripte mit Zugangsdaten
Besonders heikel sind Skripte, die die Nextcloud GmbH offenbar für einzelne Kunden erstellt hatte. Darunter befanden sich Shell- und Python-Skripte für Einrichtung, Verwaltung und Betrieb von Nextcloud-Umgebungen. Einige Dateien enthielten nach Angaben der Forscher fest eingetragene Datenbank-Zugangsdaten. Solche Informationen können Angreifern Hinweise auf Aufbau, Konfiguration und eingesetzte Systeme liefern. Für einen direkten Zugriff auf ein Kundensystem dürfte ein solches Skript zwar nicht ausreichen. Es verrät Angreifern aber unter Umständen genug über Aufbau und Konfiguration, um gezielter nach Schwachstellen zu suchen.
Nextcloud GmbH meldete den Vorfall an die Datenschutzbehörde
Die Nextcloud GmbH erklärte gegenüber Cybernews, den Vorfall sofort untersucht und behoben zu haben. Außerdem meldete das Unternehmen den Fall der zuständigen Landesdatenschutzbehörde. Hinweise auf einen tatsächlichen Missbrauch liegen nach Angaben der Nextcloud GmbH bislang nicht vor. Das lässt jedoch keine sichere Aussage darüber zu, ob niemand auf die Daten zugegriffen hat. Öffentlich erreichbare Datenbanken stehen regelmäßig im Fokus automatisierter Scanner.
Phishing-Risiko für Mitarbeiter und Kunden
Die größte unmittelbare Gefahr liegt beim Social Engineering. Rechnungen, Verträge und interne E-Mails liefern genug Kontext, um überzeugende Phishing-Nachrichten zu bauen. Mit Namen, Ansprechpartnern, Geschäftsbeziehungen und Vertragsdetails können sich Angreifer glaubwürdig als Mitarbeiter der Nextcloud GmbH, als Kunde oder als Dienstleister ausgeben. Solche Nachrichten wirken deutlich authentischer als gewöhnlicher Spam. Auch Mitarbeiter betroffener Kundenunternehmen könnten ins Visier geraten. Denkbar sind gefälschte Rechnungen, imitierte Ansprechpartner oder technische Anfragen, die sich auf echte Projekte beziehen.
Kein Fehler in der Nextcloud-Software
Der Vorfall trifft die Nextcloud GmbH zu einem ungünstigen Zeitpunkt. Die Nextcloud-Software gilt häufig als europäische Alternative zu Microsoft 365, Google Workspace, Dropbox oder SharePoint. Gerade Behörden und öffentliche Einrichtungen setzen auf die Plattform, weil sie ihre Daten selbst kontrollieren wollen. Das Leck stellt dieses Grundmodell jedoch nicht infrage. Nach aktuellem Stand lag keine Schwachstelle in der Nextcloud-Software vor. Auch selbst betriebene Kundeninstanzen waren nicht betroffen.
Och, wie harmlos… lassn wir doch noch ein paar Jahre vergehen.. ich freue mich schon auf die ersten Millionen Datensätze der Gesundheitskarte (eGK), des E-Rezept, der Telemedizin usw.
Wir werden und noch sehr sehr wundern.
Au weia, die Fortschrittsoptimisten haben mal wieder eine Ansage erhalten!
Cloud-Lösungen sind einfach grob fahrlässig und Datenlecks oder andersartige Probleme sind eben KEINE singulären Ereignisse sondern systemimmanent!
Noch einmal zur Erinnerung:
Im Jahr 2025 betrugen die finanziellen Schäden durch IT-Hacks oder anderen IT-Problemen laut BSI weit über 200.000.000.000.- € !!!
Alleine mit dem Geld hätte man wahrlich etwas Anderes anfangen können aber die von der IT-Industrie eingeseiften Digitaljunkies halten das – wenn überhaupt – nur für vernachlässigbare Kollateralschäden.
Und noch was zum darüber nachdenken:
In der Industrie gelten Gewinnmargen von 10% schon als propper. Um 200 Milliarden IT-Schäden zu erwirtschaften müsste diese Wirtschaft (selbst wenn man diverse Buchhaltungstricks nutzt) über den Daumen mal eine Billionen Euro Umsatz machen. Das entspricht mal so ganz grob dem Doppelten des Deutschen Staatshaushalts….
Und selbst wenn es nur 10% davon wären, in Zeiten wo im Sozialen, Infrastruktur und bei Investitionen gespart werden muß und Schulden in astronomischen Größen angehäuft werden, können wir uns als Volkswirtschaft solche „Reibungsverluste“ überhaupt nicht leisten.
Wofür arbeiten wir denn eigentlich noch?
„Der Laie staunt und der Fachmann wundert sich“, bei wie vielen Firmen so einfach und schmerzlos Kundendaten „verloren“ gehen.
Bedenkt man es richtig, könnte das – oder ist es das gar schon? – eine erquickliche Umsatzquelle sein.
Man verscherbele – oder lasse sich entwenden – Kundendaten zu höheren Eurobeträgen each und schwuppdiwupp steigt umgekehrt proportional zum Datenschwund irgendwo in der Welt ein Bankkonto an.
Darauf erhebe man ein großes Geschrei ob der Missetat böser Mächte und / oder der Unfähigkeit eigener Mitarbeiter und / oder des Versagens neumodischer Technik und stimme im stillen Kämmerlein unter Abbrennen von Wunderkerzen das weihnachtliche Kinderbescherungslied „Alle Jahre wieder…“ an.
„Das Leben ist ein ewiges Wechselspiel aus Nehmen und Behalten.“
Henry Ford