Identity Standard v1.2 — Ein Passwort für alles

Eigenes Wasser.
Eigene Daten.

Der Stadtfeuerwehrverband Goslar geht seinen eigenen Weg: Raus aus Microsoft 365, rein in eine selbst gehostete Open-Source-Plattform. Eigene Server in Deutschland. Eigene Kontrolle. Eigene digitale Souveränität.

11
Ortsfeuerwehren
900+
Kameradinnen & Kameraden
12
Domains
4
Server in Deutschland
Live-Fortschritt
Projektfortschritt
10%
Gesamtfortschritt
Phase 1: Server-Infrastruktur Ziel: Juli 2026
Analyse
Tenant analysiert, Projektplan erstellt
Genehmigung
Stadtkommando hat zugestimmt
Infrastruktur
Server aufsetzen, Software installieren
Pilot Weddingen
Erste OFW migrieren und testen
Rollout
8 Ortsfeuerwehren parallel
Oker & Goslar
Die zwei größten Wehren
Abschluss
M365 abschalten, Dokumentation
1
Aufgaben erledigt
27
Aufgaben offen
0/11
OFW migriert
0/12
Domains aktiv
0/3
Server bereit
Automatisch aktualisiert — wird geladen...
Migrationsdaten
Datenvolumen im Überblick
📁 OneDrive-Dateien
0 GB / 1.119 GB
Persönliche Dateien aller Kameraden 0%
📧 E-Mail-Postfächer
0 GB / 146 GB
Alle Postfächer inkl. Archive 0%
🌐 SharePoint-Sites
0 GB / 678 GB
Team-Sites, Dokumentbibliotheken & Gruppen 0%
👤 Benutzerkonten
0 / 987 Accounts
Aktive Benutzer im M365-Tenant 0%
👥 Teams & Gruppen
0 / 113 Teams
MS Teams-Gruppen und Kanäle 0%
1,9 TB
Gesamtvolumen
11
Ortsfeuerwehren
12
Domains
✓ Erledigt
M365 abgeschaltet
Das Projekt

Warum EIGENWASSER?

Ein Tanklöschfahrzeug (TLF) führt sein eigenes Wasser mit – unabhängig vom Hydrantennetz. Genau so machen wir es jetzt mit unseren Daten: Eigene Server, eigene Kontrolle, keine Abhängigkeit von US-Konzernen.

Bisher: Microsoft 365

  • Abhängigkeit von Lizenzbedingungen
  • Kostenlose E1-Lizenzen laufen am 13.05.2026 aus
  • US-Konzern, CLOUD Act gilt auch für EU-Daten
  • Alle Features aktiv – müssen konfiguriert werden
  • Kosten bei Neukauf: bis zu 11.520 EUR/Jahr
💪

Neu: EIGENWASSER.digital

  • Server in Nürnberg (Hetzner), deutsches Rechenzentrum
  • Open-Source-Software, keine Lizenzfalle
  • DSGVO-konform, kein US Cloud Act
  • KI-gestützte Automatisierung (Support, Monitoring, Berichte)
  • Budget: 1.920 EUR/Jahr (160 EUR/Monat)
Leistungsumfang

Was wir aufbauen

Eine komplette IT-Infrastruktur für 11 Ortsfeuerwehren und den Stadtfeuerwehrverband – professionell, sicher und wartungsarm.

E-Mail, Kalender & Kontakte

  • Eigener Mailserver (Mailcow), 12 Domains, DKIM/DMARC/SPF
  • Alle bestehenden E-Mail-Adressen bleiben erhalten
  • Webmail mit Single Sign-On + IMAP/SMTP für Apps
  • Kalender-Sync (CalDAV) auf iPhone, Android & Thunderbird
  • Kontakte-Sync (CardDAV) – ein Passwort, kein App-Passwort
  • Spam- und Virenschutz (ClamAV + Rspamd)

Dateien & Zusammenarbeit

  • Cloud-Speicher (Nextcloud)
  • Gruppenordner pro Ortsfeuerwehr
  • Office-Dokumente im Browser bearbeiten
  • Synchronisation auf PC und Handy
  • Versionsverlauf für alle Dateien

Kommunikation

  • Chat & Videoanrufe (Nextcloud Talk)
  • Teams-Chat-Nachrichten werden nach Talk migriert
  • Gruppenchats pro OFW und übergreifend
  • Bildschirm teilen, Dateien austauschen

Identität & Sicherheit

  • Keycloak SSO + LLDAP – ein Login für alle Dienste
  • CalDAV/CardDAV ohne App-Passwort (iPhone, Android, Thunderbird)
  • Dovecot LDAP – E-Mail-Authentifizierung direkt gegen LDAP
  • SSL/TLS, Brute-Force-Schutz, Fail2Ban auf allen Servern
  • Tägliche automatische Backups auf separater StorageBox

KI-Automatisierung

  • HERALD – KI-Support-Bot beantwortet Kameraden-Fragen
  • GUARDIAN – Infrastruktur-Monitoring & M365-Sync
  • ATLAS – Automatische Tagesberichte & Projektsteuerung
  • 24/7 überwacht, KI-gestützt, DSGVO-konform
IT-Sicherheit & Datenschutz

Sicherheit auf allen Ebenen

Von der Passwortverwaltung bis zum Server-Monitoring – jede Komponente ist auf IT-Sicherheit und DSGVO-Konformität ausgelegt.

Identity Standard v1.2

  • Zentrale LDAP-Benutzerdatenbank (LLDAP, ~4 MB RAM)
  • Ein Passwort für alles: Cloud, E-Mail, Kalender, Kontakte
  • Kein App-Passwort nötig – direkte CalDAV/CardDAV-Sync
  • Passwort-Änderung wirkt sofort bei allen Diensten
  • Self-Service Passwort-Reset per Recovery-E-Mail
  • Brute-Force-Schutz mit automatischer Kontosperre

DSGVO & Datensouveränität

  • Alle Server in deutschen Rechenzentren (Hetzner, Nürnberg)
  • Kein US Cloud Act – keine Daten außerhalb der EU
  • Open-Source-Software – volle Transparenz
  • Verschlüsselte Backups auf separater Storage-Box
  • Keine Tracking-Cookies, kein Google, kein Meta

Automatisierte Überwachung

  • GUARDIAN: 24/7 Server- und Container-Monitoring
  • Automatische Sicherheits-Updates (unattended-upgrades)
  • Fail2Ban sperrt Angreifer nach 5 fehlgeschlagenen Versuchen
  • SSL/TLS auf allen Verbindungen – automatische Erneuerung
  • Echtzeit-Alerts per Telegram bei Auffälligkeiten
  • E2E-Monitoring: 23 automatische Funktions-Checks alle 3 Stunden
  • CalDAV, CardDAV, WebDAV, IMAP, SMTP, SSO – alles wird getestet
  • Trendanalyse – Probleme erkennen bevor sie User betreffen

KI-Agenten (DSGVO-konform)

  • HERALD: KI-Support-Bot für Kameraden-Fragen
  • ATLAS: Automatische Tagesberichte und Projektsteuerung
  • GUARDIAN: Infrastruktur-Monitor und Tenant-Sync
  • Alle KI-Workflows auf eigener n8n-Instanz
  • Keine personenbezogenen Daten an externe KI-Dienste
Was wird migriert

Von Microsoft zu Open Source

Jeder Microsoft-Dienst wird durch eine erprobte Open-Source-Alternative ersetzt. Das identische Setup läuft bereits produktiv bei einem Mittelstandskunden.

Microsoft 365 EIGENWASSER.digital Funktion Status
Exchange / Outlook Mailcow E-Mail, Kalender, Kontakte Live
OneDrive / SharePoint Nextcloud Dateien, 108 Gruppenordner, Zusammenarbeit Live
Microsoft Teams Nextcloud Talk Chat, Video, Teams-Chat-Migration Live
Office Online Collabora Online Dokumente im Browser bearbeiten Live
Azure AD Keycloak + LLDAP SSO, CalDAV, CardDAV, IMAP – ein Passwort Live
Exchange / Outlook →
Mailcow
E-Mail, Kalender, Kontakte — Live
OneDrive / SharePoint →
Nextcloud
Dateien, 108 Gruppenordner — Live
Microsoft Teams →
Nextcloud Talk
Chat, Video, Teams-Chat-Migration — Live
Office Online →
Collabora Online
Dokumente im Browser bearbeiten — Live
Azure AD →
Keycloak SSO
Ein Passwort für alle Dienste — Live
Zeitplan

Meilensteine 2026

Stufenmigration: Erst E-Mail, dann Dateien. Von der kleinsten zur größten Ortsfeuerwehr. Jede OFW bekommt einen eigenen Koordinator als Ansprechpartner.

Dez 2025 – Jan 2026
Phase 0: Analyse & Vorbereitung
Vollständige Analyse des Microsoft 365 Tenants: 641 OneDrive-Accounts, 704 aktive Postfächer, 300 SharePoint-Sites und 1,9 TB Daten erfasst. Kostenkalkulation, Risikoanalyse und Migrationskonzept erstellt.
Tenant-Analyse Kostenvergleich Migrationskonzept Präsentationsunterlagen
Abgeschlossen
12. Februar 2026
Zustimmung Stadtkommando
Präsentation vor dem Stadtkommando des SFV Goslar. Einstimmige Zustimmung zum Projekt. Budget und Zeitplan genehmigt. OFW-Koordinatoren für den Rollout benannt.
Projektfreigabe Budgetgenehmigung Koordinatoren benannt
Abgeschlossen
KW 7–10 (Feb/Mär 2026)
Phase 1: Server-Infrastruktur & SSO
3 Server bei Hetzner eingerichtet. Mailcow, Nextcloud, Keycloak SSO live. 12/12 Domains transferiert, SSL aktiv. Custom Passwort-Sync zwischen Keycloak und Mailcow entwickelt – ein Passwort für alle Dienste. KI-Agenten für Support und Monitoring aufgebaut.
3 Server live 12/12 Domains SSO Passwort-Sync KI-Support-Bot 24/7-Monitoring Backup-System
Abgeschlossen
KW 8–10 (Feb/Mär 2026)
Phase 2: User-Migration & Koordinatoren-Onboarding
867 Benutzerkonten aus Microsoft 365 nach Keycloak migriert. 16 Koordinatoren eingewiesen und mit Zugangsdaten versorgt. 108 Group Folders für Teams-Daten angelegt. Selbstbedienungs-Portal für OneDrive-Migration gebaut.
867 User migriert 16 Koordinatoren 108 Group Folders OneDrive-Portal
Abgeschlossen
KW 10–14 (Mär 2026)
Phase 3: SharePoint-Datenmigration
1.160 GB OneDrive-Dateien, 850 GB SharePoint-Daten und 267 GB Teams-Kanäle vollständig übertragen. Eigenes Migrationstool entwickelt – mit automatischem Berechtigungsabgleich aus Microsoft 365. Alle 125 privaten Kanäle nachmigriert.
158 GB Standard done 125 Private Kanäle Berechtigungs-Sync Teams-Chat-Export
Abgeschlossen
KW 14–18 (Apr/Mai 2026)
Phase 4: Schulungen & E-Mail-Cutover
Koordinatoren schulen die Kameraden ihrer Ortsfeuerwehr. MX-Records umstellen – E-Mail fließt dann über den eigenen Mailserver. OneDrive-Dateien per Self-Service-Portal migrieren. Jede OFW bekommt 2 Wochen Intensiv-Support.
900+ Kameraden schulen MX-Cutover 12 Domains OneDrive-Migration 2 Wochen Intensiv-Support
Abgeschlossen
KW 19–22 (Mai/Jun 2026)
Phase 5: Abschluss & M365-Abschaltung
Letzte Daten nachziehen. Microsoft 365 Tenant dekommissionieren. Vollständige Dokumentation erstellen. Lessons Learned mit allen Koordinatoren. Übergabe an den laufenden Betrieb mit KI-gestütztem Support-System.
Daten-Nachzug M365 abschalten Dokumentation Lessons Learned Betriebsübergabe
Abgeschlossen
Häufige Fragen

Was bedeutet das für mich?

Antworten auf die wichtigsten Fragen unserer Kameradinnen und Kameraden.

Muss ich mich um irgendetwas kümmern?

Nein! Das IT-Team migriert alles zentral. Du bekommst rechtzeitig eine Anleitung und neue Zugangsdaten. Dein Koordinator in der Ortsfeuerwehr hilft bei Fragen.

Was passiert mit meinen E-Mails?

Alle E-Mails werden vom IT-Team auf den neuen Server kopiert. Du behältst deine bisherige E-Mail-Adresse (z.B. vorname.nachname@feuerwehr-goslar.de). Der Posteingang sieht etwas anders aus, aber alle Mails sind da.

Was passiert mit meinen Dateien auf OneDrive?

Dafür gibt es ein Self-Service-Tool: Du meldest dich dort mit deinem Microsoft-Konto an und kopierst deine Dateien selbst nach Nextcloud. So hat kein Admin Zugriff auf deine privaten Daten – du behältst die volle Kontrolle.

Funktioniert das auch auf dem Handy?

Ja! Es gibt eine Nextcloud-App (iOS und Android) und die E-Mails lassen sich in jeder Mail-App einrichten. Außerdem gibt es ein Webmail, das im Browser funktioniert – genau wie bisher Outlook.

Warum wechseln wir überhaupt?

Microsoft beendet die kostenlosen Nonprofit-Lizenzen zum 13.05.2026. Statt teure neue Lizenzen zu kaufen, setzen wir auf eigene Server in Deutschland – günstiger, datenschutzkonform und unabhängig.

Kann ich weiterhin Videoanrufe machen?

Ja! Nextcloud Talk funktioniert gut für kleine Video-Runden bis ca. 8 Teilnehmer. Für größere Meetings (Dienstabende etc.) nutzen wir zusätzlich Jitsi Meet – ein bewährtes Open-Source-Videokonferenz-System.

Was ist, wenn etwas nicht funktioniert?

Jede Ortsfeuerwehr hat einen Koordinator als erste Anlaufstelle. Das IT-Team steht dahinter und kümmert sich. In den ersten 2 Wochen nach der Umstellung gibt es Intensiv-Support.

Sind meine Daten sicher?

Ja! Alle Server stehen in deutschen Rechenzentren (Hetzner, Nürnberg). Sämtliche Verbindungen sind SSL-verschlüsselt. Es gibt tägliche automatische Backups und 24/7-Monitoring. Kein US-Unternehmen hat Zugriff.

Kann ich Kalender und Kontakte auf dem Handy synchronisieren?

Ja! Seit März 2026 funktioniert die Kalender- und Kontakte-Synchronisation direkt mit deinem normalen Passwort – auf iPhone, Android und in Thunderbird. Kein separates App-Passwort nötig. Einfach CalDAV/CardDAV-Account einrichten mit der Server-Adresse cloud.feuerwehr-goslar.de/remote.php/dav.

Projektreflexion

Was wir gelernt haben

Eine ehrliche Bilanz nach einem Jahr Projektarbeit – was besser lief als erwartet, und wo wir Kurs korrigieren mussten. Ohne Namen, ohne Schuldzuweisungen.

Was besser lief als erwartet

Single Sign-On von Anfang an

Das SSO-System (ein Passwort für alle Dienste) hat nach der Einrichtung stabil funktioniert. Kein manueller Sync, keine Passwortkonflikte zwischen Diensten – genau das, was 900+ Kameraden benutzbar macht.

Koordinatoren als Multiplikatoren

Das Konzept, pro Ortsfeuerwehr einen Koordinator einzubinden, hat sich als entscheidend erwiesen. Fragen und kleine Probleme wurden dezentral gelöst – ohne dass alles beim zentralen IT-Support landet.

Datenmigration vollständig

Über 2.000 GB Daten aus Microsoft 365 (OneDrive, SharePoint, Teams) wurden verlustfrei übertragen. Kein Datenverlust, keine fehlenden Dateien – trotz der Komplexität der SharePoint-Struktur.

Open-Source-Stack bewährt

Nextcloud, Mailcow, Keycloak und LLDAP liefen in Kombination stabil. Die volle Kontrolle über Konfiguration und Daten hat sich in mehreren Situationen ausgezahlt, in denen schnelles Eingreifen nötig war.

Was wir unterschätzt hatten

Private Kanäle – zweiter Migrationspass

Nicht-öffentliche Teams-Kanäle wurden beim ersten Migrationsdurchlauf nicht erkannt. Erst ein zweiter gezielter Pass hat diese vollständig erfasst. Lesson: Private Strukturen in Microsoft 365 brauchen eigene Inventarisierung.

App-Konfiguration braucht Testsystem

Eine Nextcloud-App hat nach Aktivierung automatisch E-Mail-Benachrichtigungen an alle Nutzer versandt – ohne dass dies in der Dokumentation klar war. Seitdem gilt: neue Apps erst auf einer Testumgebung validieren.

TLS-Zertifikate für Auto-Config

iOS und Outlook benötigen autodiscover.*-Subdomains im TLS-Zertifikat für automatische E-Mail-Einrichtung. Diese fehlten initial und wurden erst nach Nutzerfeedback ergänzt. Lesson: iOS-Autodiscover bei der Zertifikatsplanung von Anfang an mitdenken.

Berechtigungen nach Migration prüfen

Nach der Migration von Inhalten müssen Zugriffsrechte separat verifiziert werden – Berechtigungen werden nicht 1:1 übertragen. Ein systematisches Berechtigungs-Review nach jedem Migrationsschritt ist Pflicht.

Fazit

EIGENWASSER.digital ist ein Beweis, dass Freiwillige Feuerwehren keine Abhängigkeit von US-Cloudanbietern brauchen. Das Projekt war anspruchsvoller als ursprünglich geplant – aber das Ergebnis steht: DSGVO-konform, selbst gehostet, und dauerhaft billiger als Microsoft 365. Die Lessons Learned aus diesem Projekt fließen direkt in zukünftige Rollouts bei weiteren Feuerwehren ein.

Identity Standard v1.2

Ein Passwort für alles

858 Kameradinnen und Kameraden aus 11 Ortsfeuerwehren – mit einem einzigen Passwort für alle Dienste. Keine App-Passwörter, keine Sondereinstellungen, keine Verzögerung bei Passwort-Änderungen.

🔒
SSO Login
Browser & Apps
📅
CalDAV
Kalender-Sync
📞
CardDAV
Kontakte-Sync
📧
IMAP/SMTP
E-Mail-Apps
🌐
Webmail
SOGo SSO

Sofort-Sync

Passwort in Keycloak ändern → sofort bei allen Diensten aktiv. Kein „erst nochmal in Webmail einloggen“, kein manueller Sync, keine Verzögerung. Möglich durch Dovecot LDAP – der E-Mail-Server authentifiziert direkt gegen die zentrale Benutzerdatenbank.

Kein App-Passwort

iPhone, Android, Thunderbird – überall dasselbe Passwort. Kalender und Kontakte synchronisieren sich nativ über CalDAV/CardDAV ohne separate App-Passwörter. Das spart Support-Aufwand bei 900+ Kameraden und macht das Onboarding deutlich einfacher.

Self-Service

Passwort vergessen? Kein Problem. Über eine hinterlegte private E-Mail-Adresse können Kameraden ihr Passwort selbst zurücksetzen – ohne IT-Support anrufen zu müssen. Der Reset-Link ist 5 Minuten gültig und einmalig verwendbar.

Technischer Hintergrund: Die Architektur basiert auf LLDAP als zentralem Benutzer-Speicher (Open Source, Rust, ~4 MB RAM), Keycloak als Identity Provider (SSO/OIDC) und Dovecot LDAP für die E-Mail-Authentifizierung. Dieses Setup läuft identisch auf unserer Demo-Umgebung und bei einem Mittelstandskunden – vom 4-Personen-Büro bis zur 900-Personen-Organisation skalierbar.

Fragen zum Projekt?

EIGENWASSER.digital wird vom Stadtfeuerwehrverband Goslar betrieben – auf Open-Source-Basis, DSGVO-konform und auf deutschen Servern. Bei Fragen zum Projekt stehen wir gerne zur Verfügung.

Kontakt aufnehmen