Cloud-Dienste und Datensynchronisation in Eigenregie
Privatsache
Wer seine Daten fernab der großen Anbieter online verfügbar ablegen möchte, greift zum Eigenbau mit ownCloud, Nextcloud und Co. iX fühlt den etablierten Lösungen auf den Zahn.
Heutzutage scheint irgendwie alles Cloud zu sein. Elektrohändler bewerben selbst simple Festplatten mit Netzwerkanschluss als Private Cloud. Der Begriff Cloud hat sich breitgemacht, auch für Konzepte, die mit der ursprünglichen Natur des Cloud-Computings nichts zu tun haben. Die klassische Definition von Cloud-Computing ist, dass ein Anbieter seine Kunden mit virtueller Rechenleistung (Compute) und virtuellem Speicherplatz (Storage) versorgt. Und zwar on demand: Nur Dienstleistungen, die der Kunde tatsächlich abruft, stehen am Ende auf der Rechnung. Braucht der Kunde Ressourcen nicht mehr, räumt er sie frei und ist einen Ausgabenposten los, Kosten entstehen nur für verbrauchte Ressourcen.
Von Amazon und Azure bis zu Dropbox
Folgt man dieser Definition, landet man schnell bei klassischen Providern wie AWS, Azure oder GCP. Hier zieht man die Kreditkarte durch, klickt sich eine virtuelle Maschine zusammen und wird dadurch tatsächlich zum Cloud-Kunden alter Prägung. Natürlich bieten diese Unternehmen auch Storage-on-Demand, und Amazons S3 ist zum Gattungsbegriff für das gesamte Prinzip geworden. Dass Cloud-Firmen auch nur Compute oder nur Storage anbieten können, beweist seit Jahren das Beispiel Dropbox: Die Firma ist ausgesprochen erfolgreich damit, virtuellen Speicher zu verkaufen, auch ohne den On-Demand-Aspekt. Dropbox-Kunden müssen zwischen vom Anbieter festgelegten Paketen wählen, ganz klassisch und gar nicht Cloud.
Vor allem für deutsche und europäische Kunden gibt es allerdings gute Gründe, genauer zu bedenken, wem man seine Daten anvertrauen möchte. Unternehmen, deren Muttergesellschaften in den USA registriert sind, können von den dortigen Behörden zur Herausgabe von Daten gezwungen werden, und zwar auch dann, wenn diese auf Servern außerhalb der USA liegen. National Security Letters verhindern dabei unter Strafandrohung, dass die Kunden der Unternehmen informiert werden.
Für europäische Kunden ist die Situation brandgefährlich: Datenschutzregeln wie die DSGVO sind mittlerweile so streng, dass eine Strafe eine empfindliche Höhe erreichen kann. Das Auslagern sensibler Daten zu US-Anbietern scheidet heute in vielen Fällen von vornherein aus – teils wegen der Reputation, teils sogar weil klare gesetzliche Verbote dies verhindern.
Aber auf die Annehmlichkeiten von Cloud-Diensten wie einen zentralen Speicher, der von überall aus nutzbar ist, wollen viele Unternehmen und Privatanwender trotzdem nicht verzichten. Hier kommen die in dieser Marktübersicht beschriebenen Private-Cloud-Lösungen ins Spiel. Sie richten sich an Unternehmen wie private Anwender und bieten meist deutlich mehr als nur Storage. Entscheidend ist dabei die Möglichkeit, Hard- und Software im eigenen Haus zu betreiben, zu 100 Prozent unter eigener Kontrolle.
Viele Anbieter
Und der Markt solcher Systeme ist mittlerweile heiß umkämpft: Insbesondere tut sich der Open-Source-Bereich hervor, in dem eine ganze Reihe passender Produkte zur Verfügung stehen. Die bekanntesten im Feld, ownCloud und dessen Fork Nextcloud, definieren den von der iX gewählten Ansatz: Zwar bieten die beiden Platzhirsche für manche Anwender womöglich schon wieder zu viel Komplexität und zuviele Features in ihren umfangreichen Webportalen. Aber vollausgestattet taugen sie auch für Firmen, die damit einen Großteil des benötigten Intranets abbilden. Die Bandbreite der angebotenen Erweiterungen ist riesig und geht an mancher Stelle selbst über das umfangreiche von Microsoft gebotene Portfolio hinaus. Von einer einfachen Anwendung mit Browser-Upload über eigene iOS- und Android-Apps bis hin zur Collaboration-Suite mit Office, Kanban-Board, RSS-Aggregator, Aufgabenverwaltung, Videokonferenz und Chat reicht das, was die Anbieter als Private Cloud definieren. ownCloud und Nextcloud bringen sogar eine Versionskontrolle für alle hochgeladenen Dateien mit.
Es überrascht nicht, dass sowohl bei Funktionsumfang wie auch bei Qualität der Integration die großen Anbieter im Vergleich zu punkten wissen. Die Grenze zwischen „nice to have“ und „wichtige Funktion“ ist da nicht immer leicht zu ziehen. Die iX-Redaktion entschied sich für den Ansatz, ein Kernset an Funktionen zu definieren, bei den Herstellern abzufragen und gegebenenfalls bei einzelnen Werkzeugen weitere Features gesondert hervorzuheben. Wichtigster Faktor ist und bleibt die Möglichkeit, Dateien so online zu hinterlegen, dass sie schnell und sicher von anderen Geräten abrufbar sind. Damit eine Lösung es in den Test schaffte, musste sie zudem on Premises installierbar sein, ohne auf Onlinedienste von Firmen wie Amazon, Microsoft oder Google zu setzen. So blieben sechs Probanden übrig: ownCloud und Nextcloud, Seafile, SparkleShare, Pydio und Syncthing (siehe Tabelle „Marktübersicht für Portale und Software zur Datensynchronisation“). Die ersten drei finden sich auch im Angebot von Univention im Rahmen seiner Unternehmens-Linux-Distribution und stehen als Download zum Test zur Verfügung (siehe Artikel auf Seite 74).
| Marktübersicht für Portale und Software für die Datensynchronisation („Private Clouds“) | ||||||
| ownCloud | Nextcloud Hub | Seafile | SparkleShare | Pydio | Syncthing | |
| Webseite | https://owncloud.com/de/ | https://nextcloud.com/hub/ | https://de.seafile.com | https://www.sparkleshare.org/ | https://pydio.com | https://syncthing.net/ |
| App-Store | https://marketplace.owncloud.com/ | https://apps.nextcloud.com/ | – | – | – | – |
| Version | 10.3.2 | 18 | Community Edition: 7.0.5, 7.1 als Beta, Professional Edition: 7.0.11 | 3.28 | 2.0.2 | 1.3.3 |
| Lizenz | AGPL/GPLv2/proprietär | AGPLv3 | AGPLv3/GPLv2/GPLv3/proprietär | GPL 3 / LGPL 3 | AGPLv3/proprietär | MPL 2.0 |
| verfügbare Downloads | Tar-Archiv, Linux Repositories (Ubuntu/openSUSE/SLE/RHEL/Debian/CentOS/Fedora), Docker-Image, Univention Appliance | Zip-Datei oder Tar-Archiv vom Hersteller, aus der Community: VM, Docker, Snap und Raspberry Pi Images, dazu Pakete für Synology, Linux Repositories (Ubuntu/openSUSE/SLE/RHEL/Debian/CentOS/Fedora) | Tar-Archiv, Images (Rasperry Pi), Repositories (Ubuntu/openSUSE/SLE/RHEL/Debian/CentOS/Fedora), Professional-Version auf Anfrage | Flatpak, Windows MSI, Zip-Archiv, Repositories | Zip-Archiv, Docker- und VM-Images | Repositories, Tar- und Zip-Archive für BSD, Solaris, macOS und Windows |
| offizielle Docker-Images | ✓ | ✓ | ✓ | k. A. | k. A. | ✓ |
| Hosting-Angebote | ownCloud Online http://www.owncloud.online | via Partner | via Partner | – | via Partner | – |
| Produktvarianten | Community Edition, Enterprise Edition | Open Source | Community Edition, Professional Edition | Open Source | Pydio Core (Open Source) und Pydio Enterprise | Open Source |
| Server | ||||||
| Abhängigkeiten | PHP, Apache Web Server, Datenbank (MySQL/MariaDB, PostgreSQL, Oracle DB), Redis | PHP 7.2+, Apache/nginx, Datenbank (SQLite, MySQL, MariaDB, Oracle DB, PostreSQL …) | Python 2/3, Datenbank (MySQL oder MariaDB), als Reverse Proxy, Apache/nginx, Elasticsearch, OpenJDK8 | Git | Datenbank | k. A. |
| Programmiersprache | PHP/JavaScript | PHP, Go, JavaScript | diverse, vor allem C, Python und React | C# | Go | Go |
| max. User/Server (Empfehlung) | ca. 500 | ca. 500 | k. A., im Cluster Set-up ohne Limit | k. A. | k. A. | k. A. |
| WebGUI für Installation/Konfiguration | ✓ | ✓ | – | – | – | – |
| Clients | ||||||
| Mobile Client for Android/iOS | ✓ / ✓ | ✓ / ✓ | ✓ / ✓ | – / – | ✓ / ✓ | ✓ / – |
| Clients for Windows/macOS/Linux | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Ready-made Devices | ✓ | von Partnern | von Partnern | k. A. | – | – |
| Mobile View | ✓ | ✓ | ✓ | – | ✓ | – |
| WebDAV / Einbinden als Netzwerklaufwerk | ✓ / ✓ | ✓ / ✓ | ✓ / ✓ (WebDAV und Seadrive) | ✓ / – | ✓ / ✓ | k. A. |
| Security | ||||||
| SSL/TLS | ✓ | ✓ | ✓ | ✓ (via Git) | ✓ | ✓ |
| Passwortsicherheit | via Policies | NIST-kompatibel mit automatischen Policies | Mindest-Passwortlänge und Passwortstärke | – | ✓ | – |
| U2F/2FA/FIDO | via Partner | ✓ / ✓ / ✓ | – / ✓ / – | – / – / – | – / – / – | – / – / – |
| verschlüsselte Laufwerke | via Partner | ✓ | ✓ | – | – | – |
| SAML / Kerberos LDAP / Open ID Connect | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | – / – / – | – / – / – | – / – / – |
| File Firewall / Antivirus / Audit | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | – / – / – | – / – / – | – / – / – |
| End-to-End Encryption | ✓ | ✓ | ✓ | – | – | – |
| Mobile Device Management / App Access Rights / automatischer Foto-Upload vom Mobilgerät | ✓ / – / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | – / – / – | – / – / ✓ | – / – |
| Features | ||||||
| Instant Messaging /Voice and Video Messaging | via Partner | ✓ / ✓ | – / – | – / – | – / – | – / – |
| Collaboration and Groupware Features | via Partner | ✓ | ✓ | – | – | – |
| Projektmanagement | via Partner | ✓ | – | – | – | – |
| Kalender/To-dos/Notizen | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | – / – / – | – / – / – | – / – / – | – / – / – |
| Fediverse Support (Mastodon via Acitvity Pub) | – | ✓ | – | – | – | – |
| Office-Software | Collabora Online, OnlyOffice, Microsoft Office Online Server | OnlyOffice, Collabora Online, Microsoft Office Online Server | OnlyOffice, Collabora Online, Microsoft Office Online Server | – | – | – |
| kollaboratives Editieren / Versionierung / Volltextsuche | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | – / ✓ / ✓ | – / – / – | – / – / – | – / – / – |
| Accessibility | ✓ (WCAG-2.0-AA-konform, iOS-App WCAG 2.0 AAA, Screenreader wird unterstützt) | ✓ (WCAG-2.0-AA-konform, Screenreader wird unterstützt, Themen mit hohem Kontrast, lesefreundliche Schriftarten) | k. A. | – | – | – |
| Custom Branding | ✓ | ✓ | ✓ | – | – | – |
| Role-based User-Management | ✓ | ✓ | ✓ | – | – | – |
| Enterprise-Features | ||||||
| Admin-Interface | ✓ | ✓ | ✓ | – | ✓ | – |
| Multi-User / Qutoa Support | ✓ / ✓ | ✓ / ✓ | ✓ / ✓ | – / – | ✓ / ✓ | –/– |
| Storage Backends | lokal/NFS, S3, SMB/CIFS | lokal, S3, WebDAV, NFS, SMB, SharePoint, Google Drive, Dropbox | lokal, WebDAV, SMB/CIFS, NFS, CEPH, Swift und S3, Virtual Files oauf Windows 10 | – | k. A. | – |
| Guest Account | ✓ | ✓ | ✓ | – | ✓ | – |
| Sharing intern / extern / via Link / Federations | ✓ / ✓ / ✓ / ✓ | ✓ / ✓ / ✓ / ✓ | ✓ / ✓ / ✓ / – | – / – / – / – | – / – / – / – | – / – / – / – |
| Dokumentenmanagement | ||||||
| Document Classification | ✓ | ✓ | ✓ | – | – | – |
| Secure View Sharing (kein Bearbeiten kein Download, Wasserzeichen, kein Copy-and-Paste) | ✓ | ✓ | ✓ | – | – | – |
| Comment-only Sharing (kein Bearbeiten, kein Download) | ✓ | ✓ | – | – | – | – |
| Review-only Sharing (kein Bearbeiten, kein Download, erzwungene Änderungsverfolgung) | ✓ | ✓ | – | – | – | – |
| File Locking Conflict Prevention / File Integrity Checking / File Lifecycle Management | ✓ / ✓ / ✓ | ✓ / ✓ / ✓ | ✓ / ✓ / – | – / – / – | – / – / – | – / – / – |
| Pricing | ||||||
| Standard-Edition (Standard-Features + 8×5-Support) | 3000 € für 50 User | 3400 € für 50 User | 2200 für 50 Anwender (44 € pro User, bis 250 Lizenzen) | – | ~5000 € für bis zu 200 User | – |
| ✓: ja / vorhanden / trifft zu; –: nein / nicht vorhanden / trifft nicht zu; k. A.: keine Angaben. Tabelle beruht auf Herstellerangaben sowie auf öffentlich verfügbaren Informationen. | ||||||
Best of Breed oder eine für alles?
Der große Funktionsumfang muss aber nicht zwangsläufig von Vorteil sein und führt schnell zu der Frage, mit der Endanwender und Unternehmen bei der Einführung einer Software stets konfrontiert sind: Ist „Eine Anwendung für alles“ wirklich ein sinnvoller Ansatz? Oder verspricht „Best of Breed“ den größeren Erfolg? Dabei setzen Unternehmen nicht auf eine einzelne Software mit möglichst vielen Funktionen, sondern nutzen für jede Aufgabe die beste Applikation aus dem Fundus. Dann aber spielen Art und Umfang der Integration der einzelnen Komponenten untereinander eine viel größere Rolle: Kümmert sich eine Anwendung um das Speichern von Dateien und bietet sie zugleich Office- und Kollaborationsfunktionen an, wird man auf dem Speicherdienst schon vorhandene Dateien meist problemlos etwa im Textprogramm öffnen können. Sind die beiden Tools nicht Teil desselben Programms, etwa in der Kombination ownCloud und Google Docs, stellt sich die Frage, ob und wie Inhalte aus dem einen System ins andere kommen.
Im Vorfeld der Recherchen fielen zahlreiche Produkte durch das Raster, beispielsweise weil insbesondere Anbieter proprietärer Lösungen ihre Kunden auch für den angebotenen Webspace unter Vertrag nehmen möchten – was dem Anspruch widersprach, nur selbst gehostete Lösungen zu betrachten. Ein Beispiel dafür ist pCloud, die zwar in Sachen Datenschutz und Funktionsumfang mit mancher genannten Lösung mithalten können, aber alle Daten eben ausschließlich auf pCloud-Servern vorhalten. Vollverschlüsselt zwar, aber nicht unter der Kontrolle der Kunden. Ebenso nicht in den Vergleich schafften es Produkte von Anbietern wie OpenXchange, Kopano/Zarafa, Microsoft oder Google, bei denen die gewünschten Features nur am Rande oder als Erweiterungen des Geschäftsmodells eine Rolle spielen oder wo datenschutzrechtliche Bedenken zur Vorsicht mahnen.
ownCloud: der Klassiker
Beinahe zwangsläufig an erster Stelle im Vergleich findet sich ownCloud (Abbildung 1): Die Lösung hat die Idee des privaten Filesharings per Internet zwar nicht erfunden. Sie war aber zweifellos das erste Programm, das dem Ansatz Aufmerksamkeit verlieh und ihn breiteren Anwenderschichten zugänglich machte. Entstanden ist ownCloud aus fast schon typischen Open-Source-Motiven: KDE-Entwickler Frank Karlitschek war 2010 auf der Suche nach einer Alternative zu Onlinespeicherdiensten wie dem schon erwähnten Dropbox oder AWS.
Die etablierten Werkzeuge wie SFTP oder gar FTP ohne SSL-Verschlüsselung waren schon vor zehn Jahren keine Option mehr. Von konkurrierenden Schreibzugriffen bis zur Konfliktlösung bei inzwischen geänderten Dateien, die erst bei der Synchronisation bemerkt werden, ist bei den Klassikern bis heute einiges ungelöst. Im schlimmsten Fall überschreibt ein Fileserver-Client eine Datei, die sich zwischenzeitlich verändert hat, mit einer älteren Version. Oder er nervt den Anwender mit Locking-Fehlern und -Warnungen. Moderne Cloud-Dienste haben dafür Lösungsstrategien, und auch nach anfänglichen Problemen erweist sich ownCloud heute als sehr stabil und fehlertolerant.
Weil Karlitschek von keiner damals verfügbaren Lösung überzeugt war, fing er an, eine eigene Software zu schreiben. Kurz danach gingen die ersten ownCloud-Versionen an den Start. Bis heute lässt sich ownCloud mit einem grafischen Installer auf jedem Linux-System installieren. Einzige Voraussetzung sind ein Webserver und eine Datenbank. MariaDB genügt völlig und lässt sich auf allen gängigen Distributionen in Sekundenschnelle einrichten. Im Rahmen des ownCloud-Set-ups verknüpft der Anwender ownCloud noch mit der Datenbank und verrät dem Programm, wo es den Speicherplatz zum Lagern von Dateien findet – fertig ist der Lack. Die Installation per Installer ist auch für weniger versierte Anwender ohne tief greifende Linux-Kenntnisse zu meistern, ein Pluspunkt für das Tool.
Eine Vielzahl an Clients
ownCloud soll in erster Linie ein komfortabler und einfach bedienbarer Onlinespeicher für das Ablegen von Dateien sein. Besonderen Wert legt man deshalb auf die Clients, mit denen Anwender auf die hinterlegten Dateien zugreifen: Separate Anwendungen stehen für Windows, Linux, macOS und einige andere Unix-artige Betriebssysteme zur Verfügung. Zusammen mit dem Webclient deckt ownCloud alle relevanten Plattformen ab und ist auch im mobilen Umfeld präsent: Wer von unterwegs aus auf eine ownCloud zugreifen möchte, kann das per Android-Smartphone oder -Tablet ebenso tun wie von Apple-Geräten. Für Windows stehen MSI-basierte Dateien zur Verfügung, für Linux liefert der Anbieter Pakete im RPM- und DEB-Format, mobil finden sich Apps in den App-Stores.
Eine zentrale Aufgabe der Desktop-Clients besteht darin, Dateien im Hintergrund mit dem Cloud-Speicher synchron zu halten. Auf diese Weise stellt der Nutzer einerseits sicher, dass bestimmte Dateien in der Cloud stets den gewünschten Stand haben. Andererseits lädt er automatisch Updates von anderen Clients auf das lokale System herunter. Zudem binden die Clients Laufwerke aus ownCloud auf Wunsch auch in bestehende Dateisystemstrukturen ein – mittels einer WebDAV-Schnittstelle lässt ownCloud sich sogar so integrieren, dass es etwa in Dateimanagern wie ein lokales Laufwerk aussieht.
Große Relevanz für die ownCloud-Entwickler hat die Anbindung anderer Tools. Seit einiger Zeit lassen sich zum Beispiel die Weboffice-Suiten Collabora Online oder OnlyOffice direkt an ownCloud anbinden. Auch zu klassischen Cloud-Speicherdiensten wie Amazon S3 gibt es eine Anbindung. Und über CalDAV und WebDAV steht eine Verbindung zu weiteren Programmen offen: Einen eigenen Kalender zeigt ownCloud auf Wunsch ebenso an wie PDF- und Word-Dateien mittels eines für diesen Zweck eigens gebauten Viewers.
Endanwender und Firmen
Während die bisher beschriebenen Funktionen ownCloud eher wie eine Lösung im Endanwenderkontext aussehen lassen, bietet das Programm auch handfeste Enterprise-Funktionen. Die Benutzerverwaltung lässt sich per LDAP anbinden, OAuth2 und Zwei-Faktor-Authentifizierung sind ebenso kein Problem wie die Verschlüsselung der Dateien im Speicher, und die Übertragung über SSL/TLS-Verbindungen versteht sich von selbst. In der neuesten Version von ownCloud umfasst das Programm erstmals Funktionen, die bis auf die Ebene einzelner Dateien deren Lebenszyklus verwalten (von ownCloud-Mitarbeitern gerne File-Firewall genannt): So lässt sich per Konfigurationseintrag festlegen, wer eine Datei verändern oder löschen darf. Pro Datei führt ownCloud dann auch Buch darüber, welche Änderungen auf wen zurückführen. Das ergibt einen Audit Trail, der im Kontext von Zertifizierungen nötig ist.
Obendrein verfügt ownCloud über eine Plug-in-Schnittstelle, über die sich beinahe jede denkbare Funktion nachrüsten lässt. Beispielhaft erwähnt seien zwei Plug-ins, die ownCloud an Blutdruckmessgeräte koppeln oder auf Laufwerken abgelegte E-Books darstellen. Da zeigt sich, dass der Plattformgedanke mit Erweiterungs-APIs, zentralem App-Store und integrierter Erweiterungsverwaltung in der Admin-Oberfläche funktioniert und Dritthersteller erfolgreich zur Arbeit an ownCloud zu animieren vermag.
Nicht zuletzt richtet sich ownCloud mit der Enterprise-Variante ganz bewusst an Firmenkunden: Sie hat ein paar zusätzliche, exklusive Features wie echte Ende-zu-Ende-Verschlüsselung. Insbesondere bietet sie kommerziellen Support. ownCloud darf als zuverlässiges Werkzeug gelten, wenn Anbieter einen privaten Filestore bauen wollen, der viele praktische Zusatzfeatures hat. Im Grunde ist ownCloud bereits eine kleine Groupware-Lösung, auch wenn zentrale Features wie die Bearbeitung von Dokumenten über externe Werkzeuge realisiert sind.
Nextcloud: Wie ownCloud, aber anders
Die Existenz von Nextcloud (Abbildung 2 und 3) erschließt sich nicht, ohne den Werdegang von ownCloud nochmals zu beleuchten. Bis 2016 stand Frank Karlitschek der von ihm im Rahmen der ownCloud-Entwicklung gegründeten Firma ownCloud (sowie deren US-Ableger) vor. Ende 2016 kam es unter den Entwicklern jedoch zu einem tief greifenden Zerwürfnis.
Frank Karlitschek verließ ownCloud, gründete Nextcloud und nahm dabei zahlreiche Entwickler, aber auch Kunden mit. Der Fork Nextcloud etablierte sich schnell als Alternative zu ownCloud, aber Karlitscheks Schritt brachte seine Ex-Kollegen von ownCloud zunächst in große Schwierigkeiten. Binnen weniger Tage musste die amerikanische Tochter ownCloud Inc. geschlossen und renommierte Mitarbeiter mussten entlassen werden. Neue Investoren, Entwickler und Kunden trugen zwischenzeitlich dazu bei, dass die Zukunft beider Unternehmen gesichert ist.
Ähnliche Features, gemeinsame Codebasis
In Sachen Funktionsumfang schenken sich beide Systeme nicht viel. Vor dem Hintergrund, dass ownCloud und Nextcloud vor wenigen Jahren noch dasselbe Produkt waren und auch heute noch eine große gemeinsame Codebasis nutzen, wundert es nicht, dass die Features der beiden Lösungen weitgehend vergleichbar sind. Bekommt ein Produkt eine Funktion, findet sich diese nicht selten bald darauf auch bei der Gegenseite. Allerdings entsteht oft der Eindruck, als ob sich ownCloud mehr auf Skalierbarkeit und große Kunden konzentriert, während Nextcloud Marketing und Community-Management besser beherrscht. Die nächsten Jahre werden zeigen, ob diese Aufteilung für beide Firmen funktioniert. Generell scheint der Kunde vom Wettbewerb zu profitieren: Nextcloud bietet heute viele Features, für die man bei ownCloud die Enterprise-Version kaufen muss. Verschlüsselung von Ende zu Ende ist dafür ein Beispiel – Nextcloud kann das ab Version 13.
Auch Nextcloud lässt sich problemlos in jedem Linux-System ausrollen und braucht eine Datenbank im Hintergrund, Sync-Clients stehen für alle gängigen mobilen und Desktop-Betriebssysteme zur Verfügung. Ein maßgeblicher Unterschied ergibt sich beim kommerziellen Angebot. Anders als bei ownCloud findet sich bei Nextcloud keine Enterprise-Variante mit Features, die in der freien Version nicht zur Verfügung stehen. Die Gründe dafür liegen im Lizenzverständnis von Frank Karlitschek selbst: Die Idee einer kommerziellen Produktvariante mit Features, die nicht unter einer freien Lizenz stehen, ist für das KDE-Urgestein undenkbar. Die Community-Version von Nextcloud enthält insofern stets den kompletten Featureumfang des Programms. Auf ein kommerzielles Supportangebot müssen die Kunden jedoch nicht verzichten: Das ist nach aktiven Nutzern gestaffelt und kommt in verschiedenen Stufen daher, aus denen Nutzer – je nach Anwendungsfall – ein passendes Produkt wählen.
Mehr Groupware
Dass Nextcloud nicht ewig eine Zukunft als Feature-Klon von ownCloud beschert sein soll, wird in den neueren Nextcloud-Versionen deutlich. Hier tendieren die Entwickler eher dazu, Nextcloud zu einer ausgewachsenen Groupware zu machen, bei der das zentrale Speichern von Dateien nur noch ein Aspekt unter vielen ist. An mancher Stelle ist man schon weiter als die Konkurrenz: Features wie den integrierten Chat-Server mit Videokonferenz sucht man in ownCloud bisher vergebens. Kurz vor Redaktionsschluss veröffentlichte Nextcloud zudem die Version 18, die endgültig zur vollständigen Collaboration-Suite werden soll. Möglich macht es die Kooperation mit der schon an ownCloud interessierten Firma OnlyOffice: Mit dieser zusammen hat das Nextcloud-Team ein Office-Produkt entwickelt, das zentral gehostet wird und es in Sachen Featureumfang mit Office 365 oder Google Docs aufnehmen können soll. Anbindungen an Standarddienste wie E-Mail, Kalender, Adressbücher und weitere Features bietet Nextcloud, das sich ab sofort Nextcloud Hub nennt, ebenso.
Das klingt strategisch, Nextcloud nimmt offensichtlich eine neue Zielgruppe ins Visier: Wer künftig überhaupt nicht mehr von Unternehmen wie Microsoft oder Google abhängen möchte, kann sich eine Groupware mit integrierten Office-Funktionen selbst hosten. Das Featureset von Nextcloud Hub geht weit über klassische Online-Fileserver hinaus, und weil Nextcloud auf eine proprietäre Enterprise-Edition verzichtet, lässt sich die gesamte Suite problemlos testen.
Seafile
Mit weniger Funktionen, aber dennoch gut ausgestattet verdient auch Seafile eine nähere Betrachtung. Im Kern dient die Anwendung eher dazu, Dateien zwischen verschiedenen Clients synchron zu halten und zu teilen. Hinzu gesellt sich allerdings ein Wiki, das Unternehmen oder Privatleute auch verwenden können, um Informationen, die nicht in Dateiform vorhanden sind, an einer zentralen Stelle zu sammeln (Abbildung 4).
Die kleinste Verwaltungseinheit in Seafile ist dabei die Bibliothek: Die entspricht, zieht man den Vergleich mit Dateisystemen heran, am ehesten einem einfachen Ordner. Wie bei Dateisystemen kann eine Bibliothek Unterordner haben, was dabei hilft, die Übersicht zu behalten.
Das Thema Sicherheit spielt bei Seafile eine große Rolle: Verschlüsselung von Daten auf dem Übertragungsweg versteht sich von selbst, Seafile bietet aber auch die Möglichkeit, Dateien verschlüsselt zu speichern. Der Zugriff auf in Seafile abgelegte Inhalte ist auch mit physischem Zugriff auf den Server nicht möglich.
Komfortfunktionen und externe Anbindungen
Vor allem das Bildungsumfeld in Deutschland setzt stark auf Seafile und hat dafür gesorgt, dass sich in der Lösung professionelle Features finden. Seafile kommt etwa ab Werk mit umfassenden Backup- und Restore-Möglichkeiten, die einen aus dem Tritt gekommenen Server komfortabel wiederherstellen. Ebenso lässt sich Seafile als Backup-Target aus anderen Anwendungen heraus nutzen. Für in Seafile abgelegte Dateien gilt nicht nur ein umfassendes Locking, das die parallele Bearbeitung durch mehrere Leute verhindert, Seafile schreibt auch für jede Datei mit, wer sie wann wie verändert hat. So entsteht ein Audit-Log, das in mancher Sicherheitszertifizierung von großem Nutzen sein kann.
Auch in Sachen OS-Support gibt sich Seafile keine Blöße und läuft auf allen relevanten Servern und Clients. Praktisch ist unter Windows auch die Möglichkeit, auf eine Seafile-Instanz als Netzlaufwerk zuzugreifen. Das macht Seafile auch ganz ohne spezifischen Client zu einem normalen Storage-Laufwerk.
Features auf der Dateiebene
Darüber hinaus haben die Entwickler viele Funktionen auf der Ebene der einzelnen Dateien implementiert. Für diverse Dateiarten steht eine Vorschau zur Verfügung, kommentieren lassen sich Dateien ebenfalls, sobald sie hochgeladen sind. Eine eingebaute Versionsverwaltung für Dateien ist auch Teil des Pakets. Und für das einfache Bearbeiten von Dateien reicht der integrierte Markdown-Editor vollständig aus. Wer mehr Kollaboration in Seafile möchte, bindet OnlyOffice, Collabora Online oder Microsoft Office Online an. Das ist dann zwar noch nicht die All-inclusive-Lösung, wie Nextcloud sie neuerdings bietet, immerhin ist es in einem solchen Set-up aber möglich, Dateien aus Seafile unmittelbar in den jeweiligen Office-Suiten zu bearbeiten.
Seafile ist in mehreren Editionen erhältlich: Auf der einen Seite richtet sich die Community-Version an Endanwender, wobei Seafile darauf verzichtet, relevante Funktionen in eine Professional-Variante auszulagern. Der Umfang der Community-Edition reicht für viele Anwender völlig aus, die Profi-Variante richtet sich vielmehr an anspruchsvolle Enterprise-Kunden in Organisationen wie Universitäten oder Unternehmen, die die Synchronisation mit LDAP-Benutzerverzeichnissen oder eine Anbindung an den Objektspeicher Ceph brauchen. Auch die Fähigkeit, in einer Seafile-Installation mehrere Mandanten zu pflegen, zeugt von der Zielgruppe der Firmenkunden. Aber eines hat die Community-Edition sogar der Pro-Variante voraus: Sie läuft auch auf einem Raspberry Pi. Für die Profi-Version schreibt der Hersteller stattdessen einen ausgewachsenen Linux-Server vor, was bei der zu erwartenden Last angemessen scheint.
Insgesamt präsentiert sich Seafile als gut geeignet für das Onlinespeichern von Dateien, um die Grenzen einzelner Clients zu überwinden. Wer es nicht ganz so ausgefuchst wie bei ownCloud oder Nextcloud mag, ist hier wahrscheinlich gut aufgehoben.
SparkleShare: GNOMEs Git-Cloud
Aus dem GNOME Usability Hackfest 2010, einer Linux-Desktop-Entwicklerkonferenz in London, entsprang SparkleShare. Den Entwicklern des beliebten Linux-Desktops fiel seinerzeit auf, dass es zwar viele Kollaborationswerkzeuge gibt, dass diese jedoch entweder völlig auf proprietären Füßen standen oder nicht annähernd den Funktionsumfang hatten, den man sich beim GNOME-Projekt wünschte. Und man ging das Problem an, wie man in der Open-Source-Community ein Problem üblicherweise angeht: Man entwickelte eine Alternative zu bestehenden Produkten.
SparkleShare ist klar darauf ausgelegt, on Premises betrieben zu werden, also vor Ort bei den eigentlichen Anwendern. Wie bei ownCloud, Nextcloud und Co. ist also die erste Entscheidung zu treffen, wo man die SparkleShare-Instanz betreiben möchte (lokal oder beim Hoster, in der eigenen Cloud etc.) SparkleShare ist ein Dienst, der auf der einen Seite Dateien in Git ablegt und verwaltet und der andererseits diese Dateien zwischen verschiedenen Clients synchronisiert. Die Idee, Git als Kern der Anwendung zu nutzen, erweist sich als effizient, spart sich das Team doch die Notwendigkeit, Lösungen für verschiedene Probleme wie etwa das revisionssichere Ablegen von Dateien selbst zu entwickeln (Abbildung 5).
Die enge Verwandtschaft mit Git führt allerdings auch zu unerwünschten Nebeneffekten. Ein eigener Client existiert für SparkleShare zwar schon. Er hat aber als Hauptaufgabe, die Daten eines definierten SparkleShare-Ordners mit dem entfernten Speicher synchron zu halten. Viel mehr leistet das Programm auch nicht – eigentlich handelt es sich nur um ein simples GUI, das im Hintergrund das SparkleShare-CLI Dazzle (siehe unten) aufruft. Umgekehrt lassen sich Repos auf SparkleShare-Basis auch per Git von der Kommandozeile betanken. Aus Sicht der Entwickler (die tagein, tagaus mit Git arbeiten) ergibt das sicher Sinn, allerdings wird nicht jeder Anwender, der auf der Suche nach einem Onlinedienst für Dateisynchronisierung ist, Ahnung von Git haben oder sich diese aneignen wollen. GUIs funktionieren zwar mit SparkleShare-Verzeichnissen ebenfalls. Damit ein Anwender diese sinnvoll nutzen kann, muss er aber auch zumindest ungefähr verstanden haben, wie Git funktioniert. Und das ist eine echte Einstiegshürde.
Clientseitige Verschlüsselung
Unter SparkleShare übernimmt das angesprochene Kommandozeilenprogramm Dazzle Hintergrundaufgaben wie das Anlegen von Bibliotheken. Hier haben die Entwickler auch einen Schalter eingebaut, mit dem sich Dateien AES-256-CBC-verschlüsseln lassen, bevor sie ihren Weg in den Onlinespeicher antreten. Am Ende liegen die auf diese Weise verschlüsselten Dateien in einem Git-Verzeichnis, was aber wiederum wichtige Features von Git unbrauchbar macht, beispielsweise die Versionskontrolle: Git kann den Inhalt der Dateien, wenn sie verschlüsselt sind, nicht mehr vergleichen. Das wiederum macht es schwierig, Concurrent Writes zu verhindern, sodass ein Nutzer Gefahr läuft, Änderungen eines anderen zu überschreiben. Aber das Problem ist ja eigentlich nicht SparkleShare-spezifisch, sondern liegt in der Natur der clientseitigen Verschlüsselung. Unschön ist jedoch, dass ein entsprechender hilfreicher Hinweis sich nur an versteckter Stelle in der Dokumentation von SparkleShare findet. Hier liegen ownCloud und Nextcloud deutlich vorne.
Auch SparkleShare lässt sich über verschiedene externe Plug-ins anreichern und um neue Features erweitern. Wer etwa ein Git-Verzeichnis nutzen möchte wie ein Dateisystem, erreicht dieses Ziel mit der Erweiterung git-fs. Die ist allerdings gar nicht SparkleShare-spezifisch, sondern steht ebenso für jedes Git-Verzeichnis zur Verfügung. Insgesamt wird klar: SparkleShare ist nicht als Alleskönner für Datei-Sharing gedacht, sondern orientiert sich an einer kleinen Zielgruppe von Entwicklern, die wissen, was sie tun, und die sich gut mit Git auskennen.
Pydio: Microservices aus der Zelle
Pydio lässt sich auf einem Linux-Server vor Ort installieren und zielt klar auf den On-Premises-Einsatz. Gleichzeitig hat das Programm erst jüngst einen harten Schnitt hinter sich gebracht: Die alte Version 8 von Pydio ist den Pydio Cells gewichen, die auf einer Microservice-Architektur basieren. Das Ziel des Herstellers ist, Pydio skalierbar zu machen. Wo vorher der Pydio-Dienst ein Flaschenhals war, ist es in Zukunft möglich, zusätzliche Instanzen der einzelnen Pydio-Dienste zu starten (Abbildung 6).
Und anders als beispielsweise SparkleShare möchte Pydio keineswegs eine Lösung sein, die nur Geeks sinnvoll einsetzen können. Zwar geht es im Kern auch bei Pydio darum, Dateien online sicher abzulegen und zentral zugreifbar zu machen. Der Anbieter kombiniert das mit diversen Features und bisweilen praktischen Zusatzfunktionen. Wer etwa verhindern will, dass eine Datei nach einem bestimmten Zeitpunkt noch in Pydio existiert, definiert für sie ein entsprechendes Ablaufdatum.
Der Zugriff funktioniert auf mehreren Wegen: Sowohl im eigenen Browser als auch in eigenen Applikationen ist es möglich, Pydio zu öffnen. Linux-Nutzer schauen allerdings in die Röhre: Ein Client, der Dateien zwischen Pydio und Linux synchronisiert, existiert nicht, da bleibt nur das Webinterface.
Auch lässt sich Pydio an externe Tools wie Collabora Online oder OnlyOffice anbinden. Es implementiert zwar selbst keine Groupware-Funktionen im Office-Stil, kann für diese aber zumindest das Storage-Ziel sein. Im Backend bindet es Storage verschiedener Arten an und integriert diverse Log-in-Mechanismen auf der Basis von LDAP und Active Directory. Allerdings gibt es das nur in der Enterprise-Version für Unternehmen.
Anwender muss das aber nicht stören. Wie Seafile ist es auch Pydio gelungen, die für Endanwender relevanten Features in ein freies Produkt zu gießen und die Enterprise-Features passend für Unternehmen auszuwählen. So erhält der Nutzer Pydio als Software unter der AGPL und kann sie im Heimeinsatz für den vorgesehenen Zweck nutzen. Unternehmen, die besondere Funktionen brauchen, kaufen License-Packs, die bestimmte Mengen an Nutzern abdecken. Und der Hersteller weist auch gleich darauf hin, dass Mengenrabatte möglich sind.
Syncthing: Eher für private Anwender
Während ownCloud und Nextcloud daran arbeiten, sich kontinuierlich mit neuen Features zu übertreffen, spielt der letzte Proband, Syncthing, seine Stärken gelassener aus. Die Entwickler definieren Syncthing als simples Tool für den Datenaustausch, gemäß der uralten IT-Regel „One Job, one Tool“. Ihnen geht es ausschließlich darum, Dateien online auf einem Server zu hinterlegen, um darauf von woanders aus wieder zugreifen zu können.
Das Sync-Ding spiegelt auf Zuruf den Inhalt einzelner lokaler Ordner kontinuierlich ins Netz. Ähnlich wie bei Rsync-Set-ups mit Rsyncd kommt dabei eine Server-Client-Architektur zum Einsatz, sodass Syncthing auf beiden Seiten des Set-ups laufen muss (Abbildung 7).
Syncthing lässt sich sowohl auf einem zentralen Server betreiben als auch für die Synchronisation zwischen zwei Clients verwenden, wenn diese über vorhersagbare IP-Adressen verfügen. Will man Syncthing als zentralen Speicher nutzen, setzt man das Programm idealerweise auf einem gehosteten Server auf. Gegen Missbrauch schützt sich die Software dabei durch einen Mechanismus, der auf dem Prinzip der Kopplung der beiden Seiten basiert: Der Admin richtet die Verbindung einmalig ein, anschließend kommunizieren Server und Client über eine verschlüsselte Verbindung.
Praktisch: Alle zentralen Einstellungen nimmt man über ein GUI vor, das nach dem Start von Syncthing auf dem lokalen System an Port 8384 lauscht. Komfortabel ist die Syncthing-Nutzung allerdings nur am Computer: Für Android gibt es zwar einen Wrapper, der die eigentlich für GTK verfasste Anwendung dort zum Laufen bringt – wirklich hübsch ist das jedoch nicht. Immerhin steht die Applikation im Google Play Store direkt zum Download bereit. Wer iOS nutzt, hat hingegen Pech: Für diese Plattform steht Syncthing gar nicht zur Verfügung.
Vor diesem Hintergrund kann man darüber streiten, ob das Programm sich überhaupt in die Riege der Lösungen für Private Clouds einreiht. Das primäre Ziel des Tools besteht eher darin, mehrere Geräte untereinander synchron zu halten – das erledigt die Anwendung aber zuverlässig.
Gretchenfrage: Wo ausrollen?
Der Vergleich zeigt: An technisch potenten Lösungen für private Datenspeicher mangelt es nicht. Frei nach dem Open-Source-Motto „Es gibt mehr als einen Weg zum Ziel“ bestechen die einzelnen Probanden durch Funktionen, die sie für einen bestimmten Benutzerkreis besonders attraktiv machen. Wer den Betrieb eines der vorgestellten Produkte ernsthaft in Erwägung zieht, sieht sich allerdings früher oder später einem ganz anderen Problem gegenüber: Wo soll die Software laufen?
Wenn die großen Cloud-Anbieter ausscheiden, könnten Endanwender oder kleine Unternehmen in Versuchung geraten, das Problem über die heimische Leitung und einen kleinen PC zu lösen. CPU- und RAM-technisch käme das vermutlich hin, die Mailinglisten zeugen von vielen glücklichen Anwendern, aber das Problem ist in der Regel die Netzanbindung. Vor allem die Upstream-Raten im deutschen Netz sind immer noch nicht überall für derlei Datendienste ausgelegt, gerade in ländlichen Regionen. Für den ernsthaften Unternehmenseinsatz gilt ohnehin: Soll die Private Cloud zuverlässig sein, gehört sie in ein RZ, normalerweise beim Hoster. Übrig bleiben dann im Grunde nur gehostete virtuelle Server oder der klassische Root-Server. Hetzner, Strato und Co. bieten entsprechende Systeme günstig an und unterliegen deutschen Gesetzen, sodass auch hier das Versprechen „Datenschutz made in Germany“ gilt. Dennoch schadet es nicht, die Daten in der Cloud verschlüsselt zu speichern; immerhin beherrschen das ja fast alle Probanden.
Föderationen: Produktübergreifend mit Open Cloud Mesh
Ein viel beachtetes Feature, das bisher nur ownCloud und Nextcloud bieten, sind Föderationen (Federations). Föderierte ownCloud- beziehungsweise Nextcloud-Server nutzen Ressourcen gemeinsam, wobei Anwender sich nur einmal authentifizieren müssen, um Ressourcen gezielt freizugeben. Zwar gibt es unter den Seafile-Entwicklern seit einigen Jahren eine Diskussion dazu, und immerhin bietet die Enterprise-Version ein SAML-Federation-Plug-in für eine föderierte Authentifizierung, doch so einfach und transparent wie bei ownCloud/Nextcloud gelingt das (noch) nicht. Besonders schick ist, dass das Teilen von Dateien und Informationen auch produktübergreifend funktioniert. Nextcloud und ownCloud unterstützen das weltweite, 2015 von ownCloud für Universitäten und Forschungseinrichtungen ins Leben gerufene Projekt Open Cloud Mesh (OCM, Abbildung 8) und implementieren seine API, Seafile arbeitet daran und möchte das noch 2020 umsetzen.
Bei den großen Kollegen gelingt das schon heute ausgesprochen komfortabel: Ein ownCloud- oder Nextcloud-Anwender teilt eine Datei, indem er im Client oder Webinterface einen Haken setzt und gegebenenfalls Zugangsberechtigungen einträgt oder einen Link generiert, den er Dritten schickt. Und unter Linux finden KDE-Anwender vorbildliche Desktop-Integration fürs Teilen von Dateien im Kontextmenü der rechten Maustaste. Die Information über die neu zur Verfügung stehende Datei erreicht den föderierten Adressaten per Pop-up, ähnlich einer Benachrichtigung über neue Mails. Nur liegt im Idealfall schlicht eine neue Datei im lokalen Dateisystem vor, der Anwender braucht nicht aktiv zu werden.
Anstatt einer Mailadresse kommen dabei Federated Cloud IDs zum Einsatz, bei ownCloud beispielsweise in der Form Username@Domain/owncloud. Damit das transparent und problemlos klappt, muss der Admin einmal beide Cloud-Server verknüpfen und eine Vertrauensbasis schaffen. Das gelingt im Browser, im Admin-Interface (Abbildung 9 und bei älteren Versionen noch mit ein paar occ-Befehlen auf der Kommandozeile. Auch separate Federation Shares sind so möglich – die lassen sich am ehesten mit gemeinsamen Ordnern oder Postfächern auf Exchange- oder SharePoint-Servern vergleichen.
Wer sich die Dokumentation zu den föderierten Clouds bei ownCloud und Nextcloud ansieht, stellt schnell fest, wie ähnlich sich die beiden Produkte noch immer sind. Fast identisch im Wortlaut, fast exakt gleich im Ablauf, gelingt die Konfiguration.
Fazit
Wenig überraschend teilt sich der Markt der betrachteten Produkte in Funktionsmonster und Puristen. ownCloud, Nextcloud und Seafile geben sich wenig Blöße und erweisen sich als erstaunlich interoperabel. Wer Individualität und Erweiterungen, Online Office, Groupware und Features wie Webmail oder Projektmanagement bei gleichzeitiger Integration in die übliche Firmenlandschaft (LDAP, Ceph, Active Directory) wünscht, findet bei den drei Anbietern sicher das Richtige. Für alle anderen gibt es spezialisierte Lösungen wie das für Git-Experten und GNOME-Fans geeignete SparkleShare oder das an ein Rsync-Frontend erinnernde Syncthing. (mfe@ix.de)
- Martin Gerhard Loschwitz
-
ist Cloud Platform Architect bei Drei Austria und beackert dort Themen wie OpenStack, Kubernetes und Ceph.