Cloud-Exit-Stack — der eigene Foto-, Drive- und Mail-Server

Worum geht es?

Dieses Projekt ist kein Kunden-Auftrag — es ist mein persönlicher, im Alltag genutzter Cloud-Exit-Stack. Ich habe ihn gebaut, weil ich nicht mehr mit ansehen wollte, wie meine Daten als Trainings-Material und Werbe-Profil-Grundlage in US-Clouds landen. Heute ist es zugleich der Beweis-of-Concept, dass ich genau dasselbe für Sie aufsetzen kann.

Was ist im Stack drin?

Was kostet so ein Setup?

Zentraler Server: Werkstatt-M (4 dedizierte vCPU / 8 GB / 80 GB NVMe) für 29 €/Monat, inkl. stacks-panel, Setup, Updates, Backup-Konfig. Reicht bequem für Familie + 5-15 Personen mit allen oben genannten Diensten.

Zusätzliche Storage: Storage-S (1 TB) für 12 €/Monat (Backups + Archiv-Fotos).

Software-Lizenzen: Open-Source — null laufende Lizenz-Kosten.

Domain + TLS: 10-15 €/Jahr Domain. TLS via Let’s Encrypt kostenlos.

→ Gesamt: ~41 €/Monat für einen Stack, der bei den US-Clouds schnell 50-200 €/Monat kostet (Google One Premium + WhatsApp-Business + Dropbox + iCloud zusammen).

Warum ich das überhaupt mache

Weil ich es absurd finde, mit welcher Selbstverständlichkeit personenbezogene Daten heute abgegeben werden — Geo-Locations, Beziehungs-Netze, Zahlungs-Verhalten, Foto-Inhalte, Kalender, ja sogar Schlafdaten. Diese Daten füttern zunehmend KI-Modelle. Und KI-Modelle treffen Entscheidungen über uns: Versicherungs-Tarife, Kredit-Scores, vielleicht morgen Job-Bewerbungen.

Wer heute Daten teilt, übergibt morgen Entscheidungs-Macht.

Das ist keine Verschwörungstheorie — das ist die aktuelle Branchen-Richtung. Lese dazu jeden zweiten Beitrag der BfDI oder des EDPB. Mein Ansatz: nicht mehr mit-machen, wo ich es verhindern kann. Und genau diese Lösungen anderen anbieten.

Transport-Layer: mein eigenes WireGuard-VPN

Cloud-Exit schützt, wo die Daten liegen — das VPN schützt, durch welches Netz sie dort hinkommen. Ich hänge selbst permanent mit Smartphone, Laptop und Heim-Router im eigenen WireGuard-Tunnel zum Werkstatt-Server. Gründe, warum ich es nicht missen möchte:

• Öffentliche WLANs (Café, Hotel, Flughafen, Bahn) — WLAN-Betreiber sehen nur verschlüsselten Traffic, nicht welche Dienste ich anspreche.
• Konsistenter IP-Footprint — Banking, Behörden-Portale und 2FA-Dienste sehen immer dieselbe deutsche IP, auch wenn ich im Ausland bin. Kein ständiges Sperren wegen „ungewöhnlichem Standort”.
• Kein Dritter in der Leitung — anders als bei kommerziellen VPN-Anbietern (die reihenweise an Werbe-Konzerne verkauft werden) weiß ich, dass nichts gelogged wird, weil der Server mir gehört.
• Full-Tunnel auf Reisen — Zugriff auf Nextcloud, Immich, Matrix sieht für den Server aus wie vom Schreibtisch.

Das gesamte Setup biete ich als eigenständige Leistung: VPN — WireGuard ohne Daten-Dritten in der Leitung. Drei Scopes (Road-Warrior, Site-to-Site, Full-Tunnel), als Add-on zum Werkstatt-Server ohne monatliche Extra-Kosten.

Was ich für Kunden anbiete

Siehe die dedizierte Leistung Cloud-Exit & Datensouveränität — drei Pakete, vom Foto-Server für Familien bis zum Komplett-Stack für Kanzleien.

Status

Selbst seit 2024 produktiv im täglichen Einsatz. Keine relevanten Ausfälle, keine Daten-Verluste. Wird kontinuierlich erweitert (Letzte Ergänzung: Audio-Bibliothek mit Audiobookshelf).

• Live unter cloud.stackschmiede.de — Nextcloud-Frontend des Stacks.
• Demo-Landing für Interessierte: demo.stackschmiede.de — zeigt alle Komponenten im Zusammenspiel.

Lessons Learned (wichtig für Kunden-Projekte)

• Einrichtung dauert 2-3 Tage für den Basis-Stack — der laufende Betrieb ist dann komfortabel.
• Updates sind das einzige Risiko — deshalb Watchtower mit Auto-Restart und Health-Checks.
• Familie/Mitarbeiter-Onboarding muss begleitet werden — sonst landen Fotos doch wieder in iCloud. Migrations-Anleitungen sind Teil meiner Leistung.
• Backup ist nicht optional — restic mit täglichem Cron + monatlichem Test-Restore.