Identity Standard v1.2 — Ein Passwort für alles

Eigenes Wasser.
Eigene Daten.

Der Stadtfeuerwehrverband Goslar geht seinen eigenen Weg: Raus aus Microsoft 365, rein in eine selbst gehostete Open-Source-Plattform. Eigene Server in Deutschland. Eigene Kontrolle. Eigene digitale Souveränität.

11
Ortsfeuerwehren
900+
Kameradinnen & Kameraden
12
Domains
4
Server in Deutschland
Live-Fortschritt
Projektfortschritt
10%
Gesamtfortschritt
Phase 1: Server-Infrastruktur Ziel: Juli 2026
Analyse
Tenant analysiert, Projektplan erstellt
Genehmigung
Stadtkommando hat zugestimmt
Infrastruktur
Server aufsetzen, Software installieren
Pilot Weddingen
Erste OFW migrieren und testen
Rollout
8 Ortsfeuerwehren parallel
Oker & Goslar
Die zwei größten Wehren
Abschluss
M365 abschalten, Dokumentation
1
Aufgaben erledigt
27
Aufgaben offen
0/11
OFW migriert
0/12
Domains aktiv
0/3
Server bereit
Automatisch aktualisiert — wird geladen...
Migrationsdaten
Datenvolumen im Überblick
Erster Kopiervorgang startet in
--
Tage
--
Stunden
--
Minuten
Tipp: Wer vorher aufräumt, spart Speicherplatz und Migrationszeit!
M365-Lizenzen laufen am 13.05.2026 aus — alle Daten müssen bis dahin migriert sein.
📁 OneDrive-Dateien
0 GB / 1.119 GB
Persönliche Dateien aller Kameraden 0%
📧 E-Mail-Postfächer
0 GB / 146 GB
Alle Postfächer inkl. Archive 0%
🌐 SharePoint-Sites
0 GB / 678 GB
Team-Sites, Dokumentbibliotheken & Gruppen 0%
👤 Benutzerkonten
0 / 987 Accounts
Aktive Benutzer im M365-Tenant 0%
👥 Teams & Gruppen
0 / 113 Teams
MS Teams-Gruppen und Kanäle 0%
1,9 TB
Gesamtvolumen
11
Ortsfeuerwehren
12
Domains
13.05.
Lizenz-Deadline
Das Projekt

Warum EIGENWASSER?

Ein Tanklöschfahrzeug (TLF) führt sein eigenes Wasser mit – unabhängig vom Hydrantennetz. Genau so machen wir es jetzt mit unseren Daten: Eigene Server, eigene Kontrolle, keine Abhängigkeit von US-Konzernen.

Bisher: Microsoft 365

  • Abhängigkeit von Lizenzbedingungen
  • Kostenlose E1-Lizenzen laufen am 13.05.2026 aus
  • US-Konzern, CLOUD Act gilt auch für EU-Daten
  • Alle Features aktiv – müssen konfiguriert werden
  • Kosten bei Neukauf: bis zu 11.520 EUR/Jahr
💪

Neu: EIGENWASSER.digital

  • Server in Nürnberg (Hetzner), deutsches Rechenzentrum
  • Open-Source-Software, keine Lizenzfalle
  • DSGVO-konform, kein US Cloud Act
  • KI-gestützte Automatisierung (Support, Monitoring, Berichte)
  • Budget: 1.920 EUR/Jahr (160 EUR/Monat)
Leistungsumfang

Was wir aufbauen

Eine komplette IT-Infrastruktur für 11 Ortsfeuerwehren und den Stadtfeuerwehrverband – professionell, sicher und wartungsarm.

E-Mail, Kalender & Kontakte

  • Eigener Mailserver (Mailcow), 12 Domains, DKIM/DMARC/SPF
  • Alle bestehenden E-Mail-Adressen bleiben erhalten
  • Webmail mit Single Sign-On + IMAP/SMTP für Apps
  • Kalender-Sync (CalDAV) auf iPhone, Android & Thunderbird
  • Kontakte-Sync (CardDAV) – ein Passwort, kein App-Passwort
  • Spam- und Virenschutz (ClamAV + Rspamd)

Dateien & Zusammenarbeit

  • Cloud-Speicher (Nextcloud)
  • Gruppenordner pro Ortsfeuerwehr
  • Office-Dokumente im Browser bearbeiten
  • Synchronisation auf PC und Handy
  • Versionsverlauf für alle Dateien

Kommunikation

  • Chat & Videoanrufe (Nextcloud Talk)
  • Teams-Chat-Nachrichten werden nach Talk migriert
  • Gruppenchats pro OFW und übergreifend
  • Bildschirm teilen, Dateien austauschen

Identität & Sicherheit

  • Keycloak SSO + LLDAP – ein Login für alle Dienste
  • CalDAV/CardDAV ohne App-Passwort (iPhone, Android, Thunderbird)
  • Dovecot LDAP – E-Mail-Authentifizierung direkt gegen LDAP
  • SSL/TLS, Brute-Force-Schutz, Fail2Ban auf allen Servern
  • Tägliche automatische Backups auf separater StorageBox

KI-Automatisierung

  • HERALD – KI-Support-Bot beantwortet Kameraden-Fragen
  • GUARDIAN – Infrastruktur-Monitoring & M365-Sync
  • ATLAS – Automatische Tagesberichte & Projektsteuerung
  • 24/7 überwacht, KI-gestützt, DSGVO-konform
IT-Sicherheit & Datenschutz

Sicherheit auf allen Ebenen

Von der Passwortverwaltung bis zum Server-Monitoring – jede Komponente ist auf IT-Sicherheit und DSGVO-Konformität ausgelegt.

Identity Standard v1.2

  • Zentrale LDAP-Benutzerdatenbank (LLDAP, ~4 MB RAM)
  • Ein Passwort für alles: Cloud, E-Mail, Kalender, Kontakte
  • Kein App-Passwort nötig – direkte CalDAV/CardDAV-Sync
  • Passwort-Änderung wirkt sofort bei allen Diensten
  • Self-Service Passwort-Reset per Recovery-E-Mail
  • Brute-Force-Schutz mit automatischer Kontosperre

DSGVO & Datensouveränität

  • Alle Server in deutschen Rechenzentren (Hetzner, Nürnberg)
  • Kein US Cloud Act – keine Daten außerhalb der EU
  • Open-Source-Software – volle Transparenz
  • Verschlüsselte Backups auf separater Storage-Box
  • Keine Tracking-Cookies, kein Google, kein Meta

Automatisierte Überwachung

  • GUARDIAN: 24/7 Server- und Container-Monitoring
  • Automatische Sicherheits-Updates (unattended-upgrades)
  • Fail2Ban sperrt Angreifer nach 5 fehlgeschlagenen Versuchen
  • SSL/TLS auf allen Verbindungen – automatische Erneuerung
  • Echtzeit-Alerts per Telegram bei Auffälligkeiten
  • E2E-Monitoring: 23 automatische Funktions-Checks alle 3 Stunden
  • CalDAV, CardDAV, WebDAV, IMAP, SMTP, SSO – alles wird getestet
  • Trendanalyse – Probleme erkennen bevor sie User betreffen

KI-Agenten (DSGVO-konform)

  • HERALD: KI-Support-Bot für Kameraden-Fragen
  • ATLAS: Automatische Tagesberichte und Projektsteuerung
  • GUARDIAN: Infrastruktur-Monitor und Tenant-Sync
  • Alle KI-Workflows auf eigener n8n-Instanz
  • Keine personenbezogenen Daten an externe KI-Dienste
Was wird migriert

Von Microsoft zu Open Source

Jeder Microsoft-Dienst wird durch eine erprobte Open-Source-Alternative ersetzt. Das identische Setup läuft bereits produktiv bei einem Mittelstandskunden.

Microsoft 365 EIGENWASSER.digital Funktion Status
Exchange / Outlook Mailcow E-Mail, Kalender, Kontakte Live
OneDrive / SharePoint Nextcloud Dateien, 108 Gruppenordner, Zusammenarbeit Live
Microsoft Teams Nextcloud Talk Chat, Video, Teams-Chat-Migration Live
Office Online Collabora Online Dokumente im Browser bearbeiten Live
Azure AD Keycloak + LLDAP SSO, CalDAV, CardDAV, IMAP – ein Passwort Live
Exchange / Outlook →
Mailcow
E-Mail, Kalender, Kontakte — Live
OneDrive / SharePoint →
Nextcloud
Dateien, 108 Gruppenordner — Live
Microsoft Teams →
Nextcloud Talk
Chat, Video, Teams-Chat-Migration — Live
Office Online →
Collabora Online
Dokumente im Browser bearbeiten — Live
Azure AD →
Keycloak SSO
Ein Passwort für alle Dienste — Live
Zeitplan

Meilensteine 2026

Stufenmigration: Erst E-Mail, dann Dateien. Von der kleinsten zur größten Ortsfeuerwehr. Jede OFW bekommt einen eigenen Koordinator als Ansprechpartner.

Dez 2025 – Jan 2026
Phase 0: Analyse & Vorbereitung
Vollständige Analyse des Microsoft 365 Tenants: 641 OneDrive-Accounts, 704 aktive Postfächer, 300 SharePoint-Sites und 1,9 TB Daten erfasst. Kostenkalkulation, Risikoanalyse und Migrationskonzept erstellt.
Tenant-Analyse Kostenvergleich Migrationskonzept Präsentationsunterlagen
Abgeschlossen
12. Februar 2026
Zustimmung Stadtkommando
Präsentation vor dem Stadtkommando des SFV Goslar. Einstimmige Zustimmung zum Projekt. Budget und Zeitplan genehmigt. OFW-Koordinatoren für den Rollout benannt.
Projektfreigabe Budgetgenehmigung Koordinatoren benannt
Abgeschlossen
KW 7–10 (Feb/Mär 2026)
Phase 1: Server-Infrastruktur & SSO
3 Server bei Hetzner eingerichtet. Mailcow, Nextcloud, Keycloak SSO live. 12/12 Domains transferiert, SSL aktiv. Custom Passwort-Sync zwischen Keycloak und Mailcow entwickelt – ein Passwort für alle Dienste. KI-Agenten für Support und Monitoring aufgebaut.
3 Server live 12/12 Domains SSO Passwort-Sync KI-Support-Bot 24/7-Monitoring Backup-System
Abgeschlossen
KW 8–10 (Feb/Mär 2026)
Phase 2: User-Migration & Koordinatoren-Onboarding
867 Benutzerkonten aus Microsoft 365 nach Keycloak migriert. 16 Koordinatoren eingewiesen und mit Zugangsdaten versorgt. 108 Group Folders für Teams-Daten angelegt. Selbstbedienungs-Portal für OneDrive-Migration gebaut.
867 User migriert 16 Koordinatoren 108 Group Folders OneDrive-Portal
Abgeschlossen
KW 10–14 (Mär 2026)
Phase 3: SharePoint-Datenmigration
158 GB Team-Daten aus Standard-Kanälen bereits migriert. Aktuell laufen die 125 privaten Kanäle (125 GB) und die Öffentlichkeitsarbeit-Drives (~390 GB). Eigenes Migrationstool geschrieben – mit automatischem Berechtigungsabgleich aus Microsoft 365.
158 GB Standard done 125 Private Kanäle Berechtigungs-Sync Teams-Chat-Export
In Arbeit
KW 14–18 (Apr/Mai 2026)
Phase 4: Schulungen & E-Mail-Cutover
Koordinatoren schulen die Kameraden ihrer Ortsfeuerwehr. MX-Records umstellen – E-Mail fließt dann über den eigenen Mailserver. OneDrive-Dateien per Self-Service-Portal migrieren. Jede OFW bekommt 2 Wochen Intensiv-Support.
900+ Kameraden schulen MX-Cutover 12 Domains OneDrive-Migration 2 Wochen Intensiv-Support
Geplant
KW 19–22 (Mai/Jun 2026)
Phase 5: Abschluss & M365-Abschaltung
Letzte Daten nachziehen. Microsoft 365 Tenant dekommissionieren. Vollständige Dokumentation erstellen. Lessons Learned mit allen Koordinatoren. Übergabe an den laufenden Betrieb mit KI-gestütztem Support-System.
Daten-Nachzug M365 abschalten Dokumentation Lessons Learned Betriebsübergabe
Geplant
Häufige Fragen

Was bedeutet das für mich?

Antworten auf die wichtigsten Fragen unserer Kameradinnen und Kameraden.

Muss ich mich um irgendetwas kümmern?

Nein! Das IT-Team migriert alles zentral. Du bekommst rechtzeitig eine Anleitung und neue Zugangsdaten. Dein Koordinator in der Ortsfeuerwehr hilft bei Fragen.

Was passiert mit meinen E-Mails?

Alle E-Mails werden vom IT-Team auf den neuen Server kopiert. Du behältst deine bisherige E-Mail-Adresse (z.B. vorname.nachname@feuerwehr-goslar.de). Der Posteingang sieht etwas anders aus, aber alle Mails sind da.

Was passiert mit meinen Dateien auf OneDrive?

Dafür gibt es ein Self-Service-Tool: Du meldest dich dort mit deinem Microsoft-Konto an und kopierst deine Dateien selbst nach Nextcloud. So hat kein Admin Zugriff auf deine privaten Daten – du behältst die volle Kontrolle.

Funktioniert das auch auf dem Handy?

Ja! Es gibt eine Nextcloud-App (iOS und Android) und die E-Mails lassen sich in jeder Mail-App einrichten. Außerdem gibt es ein Webmail, das im Browser funktioniert – genau wie bisher Outlook.

Warum wechseln wir überhaupt?

Microsoft beendet die kostenlosen Nonprofit-Lizenzen zum 13.05.2026. Statt teure neue Lizenzen zu kaufen, setzen wir auf eigene Server in Deutschland – günstiger, datenschutzkonform und unabhängig.

Kann ich weiterhin Videoanrufe machen?

Ja! Nextcloud Talk funktioniert gut für kleine Video-Runden bis ca. 8 Teilnehmer. Für größere Meetings (Dienstabende etc.) nutzen wir zusätzlich Jitsi Meet – ein bewährtes Open-Source-Videokonferenz-System.

Was ist, wenn etwas nicht funktioniert?

Jede Ortsfeuerwehr hat einen Koordinator als erste Anlaufstelle. Das IT-Team steht dahinter und kümmert sich. In den ersten 2 Wochen nach der Umstellung gibt es Intensiv-Support.

Sind meine Daten sicher?

Ja! Alle Server stehen in deutschen Rechenzentren (Hetzner, Nürnberg). Sämtliche Verbindungen sind SSL-verschlüsselt. Es gibt tägliche automatische Backups und 24/7-Monitoring. Kein US-Unternehmen hat Zugriff.

Kann ich Kalender und Kontakte auf dem Handy synchronisieren?

Ja! Seit März 2026 funktioniert die Kalender- und Kontakte-Synchronisation direkt mit deinem normalen Passwort – auf iPhone, Android und in Thunderbird. Kein separates App-Passwort nötig. Einfach CalDAV/CardDAV-Account einrichten mit der Server-Adresse cloud.feuerwehr-goslar.de/remote.php/dav.

Aktuelles

Neuigkeiten aus dem Projekt

Regelmäßige Updates zum Fortschritt der Migration.

05. April 2026
Verwaltungs-Dashboard live – verwaltung.feuerwehr-goslar.de
Neues Self-Service-Portal für alle 17 Koordinatoren. Jeder sieht nur seine Ortsfeuerwehr: Kameraden-Übersicht, Stammdaten bearbeiten, Gruppen-Zuordnungen prüfen, PDF-Export, lückenloses Änderungs-Protokoll. Ersetzt die Excel-Listen – alles zentral, immer aktuell.
Meilenstein
05. April 2026
SharePoint Delta-Sync automatisiert
Neue Dateien aus Microsoft SharePoint werden automatisch 2x täglich in die Nextcloud-Teamordner synchronisiert. 750 von 850 GB migriert. Der Übergang läuft nahtlos.
Migration
05. April 2026
Erste OFW-Userliste komplett verarbeitet
27 Austritte deaktiviert, 10 neue Kameraden angelegt, über 90 Gruppen-Zuordnungen aktualisiert – alles über das neue Verwaltungs-Dashboard mit automatischer Synchronisierung.
Koordination
22. März 2026
E2E-Monitoring – 23 automatische Checks alle 3 Stunden
Neues End-to-End-Monitoring testet alle 3 Stunden die komplette Infrastruktur: SSO-Login, Datei-Upload, Kalender, Kontakte, E-Mail-Zustellung, SSL-Zertifikate und Server-Ressourcen. Bei Problemen werden wir sofort per Telegram alarmiert – oft bevor der erste Kamerad etwas bemerkt. Alle Messwerte werden gespeichert für Trendanalysen.
Monitoring
22. März 2026
Identity Standard v1.2 – Ein Passwort für alles
858 Benutzerkonten auf zentrale LDAP-Datenbank migriert. Kalender- und Kontakte-Sync funktioniert jetzt ohne App-Passwort auf iPhone, Android und Thunderbird. Passwort-Änderungen wirken sofort bei allen Diensten – durch Dovecot LDAP-Authentifizierung. Die gleiche Architektur läuft bereits produktiv bei einem Unternehmenskunden.
Meilenstein
16. März 2026
SharePoint-Migration: 125 private Kanäle entdeckt
Ein selbst geschriebenes Migrationstool hat 125 private Teams-Kanäle mit 126 GB Daten identifiziert, die in der ersten Runde fehlten. Berechtigungen werden 1:1 aus Microsoft 365 übernommen – vollautomatisch über die Graph API.
Migration
11. März 2026
Passwort-Sync: Ein Passwort für alle Dienste
Eigene Software-Erweiterung (Keycloak SPI) entwickelt, die Passwörter sicher zwischen SSO-System und E-Mail-Server synchronisiert. Kameraden brauchen sich nur ein Passwort zu merken – für Nextcloud, Webmail und E-Mail-Apps.
Sicherheit
6. März 2026
Alle 12 Domains auf eigenen Nameservern
Sämtliche Feuerwehr-Domains (von feuerwehr-goslar.de bis sfv-goslar.de) laufen jetzt über eigene Hetzner-Nameserver. KK-Transfers und NS-Delegationen erfolgreich bei allen Providern abgeschlossen.
Infrastruktur
3. März 2026
158 GB SharePoint-Daten in 94 Gruppenordner migriert
Die erste große Datenmigration: 94 Team-Ordner aus SharePoint in Nextcloud Group Folders übertragen. Gruppenberechtigungen automatisch aus Microsoft 365 übernommen, 0 Fehler bei der Übertragung.
Migration
20. Februar 2026
KI-Agenten im Einsatz: HERALD, GUARDIAN, ATLAS
Drei KI-Agenten unterstützen das Projekt: HERALD beantwortet Kameraden-Fragen automatisch, GUARDIAN überwacht Server und M365-Tenant rund um die Uhr, ATLAS erstellt tägliche Projektberichte. Alles DSGVO-konform auf eigener Infrastruktur.
KI & Automatisierung
12. Februar 2026
Stadtkommando gibt grünes Licht!
Die Präsentation vor dem Stadtkommando war erfolgreich. Das Projekt EIGENWASSER.digital ist offiziell genehmigt. Budget und Zeitplan stehen, 16 Koordinatoren aus allen Ortsfeuerwehren sind benannt.
Meilenstein
Identity Standard v1.2

Ein Passwort für alles

858 Kameradinnen und Kameraden aus 11 Ortsfeuerwehren – mit einem einzigen Passwort für alle Dienste. Keine App-Passwörter, keine Sondereinstellungen, keine Verzögerung bei Passwort-Änderungen.

🔒
SSO Login
Browser & Apps
📅
CalDAV
Kalender-Sync
📞
CardDAV
Kontakte-Sync
📧
IMAP/SMTP
E-Mail-Apps
🌐
Webmail
SOGo SSO

Sofort-Sync

Passwort in Keycloak ändern → sofort bei allen Diensten aktiv. Kein „erst nochmal in Webmail einloggen“, kein manueller Sync, keine Verzögerung. Möglich durch Dovecot LDAP – der E-Mail-Server authentifiziert direkt gegen die zentrale Benutzerdatenbank.

Kein App-Passwort

iPhone, Android, Thunderbird – überall dasselbe Passwort. Kalender und Kontakte synchronisieren sich nativ über CalDAV/CardDAV ohne separate App-Passwörter. Das spart Support-Aufwand bei 900+ Kameraden und macht das Onboarding deutlich einfacher.

Self-Service

Passwort vergessen? Kein Problem. Über eine hinterlegte private E-Mail-Adresse können Kameraden ihr Passwort selbst zurücksetzen – ohne IT-Support anrufen zu müssen. Der Reset-Link ist 5 Minuten gültig und einmalig verwendbar.

Technischer Hintergrund: Die Architektur basiert auf LLDAP als zentralem Benutzer-Speicher (Open Source, Rust, ~4 MB RAM), Keycloak als Identity Provider (SSO/OIDC) und Dovecot LDAP für die E-Mail-Authentifizierung. Dieses Setup läuft identisch auf unserer Demo-Umgebung und bei einem Mittelstandskunden – vom 4-Personen-Büro bis zur 900-Personen-Organisation skalierbar.

Fragen zum Projekt?

EIGENWASSER.digital wird vom Stadtfeuerwehrverband Goslar betrieben – auf Open-Source-Basis, DSGVO-konform und auf deutschen Servern. Bei Fragen zum Projekt stehen wir gerne zur Verfügung.

Kontakt aufnehmen