Euro-Office wird als Europas Antwort auf Microsoft Office und Google Docs positioniert – entwickelt, um die Abhängigkeit von US-Technologie zu verringern. Doch laut einer Analyse von Cybernews könnte die Software anfällig für russische Manipulationen sein.

Der Text wurde mit dem Kommentar von Nextcloud aktualisiert.

Euro-Office basiert auf der Open-Source-Software OnlyOffice, einem russlandnahen Projekt, und hat dies stets offen kommuniziert. Im März kündigte das Projekt eine Abspaltung an, versprach, den OnlyOffice-Code zu „befreien“, und nannte sowohl technische als auch geopolitische Gründe für diesen Schritt.

Der überwiegende Teil des Codes, auf dem Euro-Office basiert und den es weiterhin importiert, stammt jedoch offenbar von Entwicklern, die in russischen Zeitzonen arbeiten. Das zeigt eine Cybernews-Analyse des Quellcodes.

Nur ein Bruchteil des Codes lässt sich dem europäischen Konsortium hinter Euro-Office zuschreiben, größtenteils dem deutschen Unternehmen Nextcloud. Bis zu 99 Prozent hingegen lassen sich auf Arbeit zurückführen, die nach russischer Uhrzeit verrichtet wurde, so die Ergebnisse.

Recherchen des Cybernews-Infosecurity-Teams, die noch vor dem geplanten Launch am 9. Juni durchgeführt wurden, zeigen, dass Euro-Office auch nach der Abspaltung im März weiterhin frischen russischen Code einbindet, darunter netzwerkrelevante Komponenten. Das wirft Sicherheitsfragen auf.

„Eines der gravierendsten Probleme sei, dass der Code ein Android-Bundle von einer unbekannten Cloud-Ressource abrufe, was Sicherheitsbedenken hinsichtlich dessen Inhalts, der Eigentumsverhältnisse und einer möglichen jederzeitigen Manipulation aufwerfe“, laut Cybernews-Recherche.

Zwischen OnlyOffice und Euro-Office herrscht Streit über die Nutzung des Codes: Das europäische Konsortium lehnt eine Zusammenarbeit wegen der Russland-Verbindungen und Praktiken ab, die es als untransparent bezeichnet.

OnlyOffice ist in Lettland registriert, die Inhaber sitzen in Singapur, und das Unternehmen gibt an, Russland verlassen zu haben. Eine Analyse des eigenen Codes legt jedoch etwas anderes nahe.

Was sagt der Code?

Obwohl sich Euro-Office im März offiziell von OnlyOffice getrennt hat, stellte Cybernews fest, dass das Projekt auch nach der Abspaltung weiterhin ausgewählte Code-Änderungen von OnlyOffice-Entwicklern übernimmt. Insbesondere in den serverseitigen Komponenten, die die Online-Zusammenarbeit ermöglichen, darunter das Anzeigen und Bearbeiten von Tabellen, Dokumenten und Präsentationen.

Jedes Mal, wenn ein Entwickler eine Änderung im Code speichert, erhält diese einen eindeutigen Fingerabdruck-Code. Derselbe Fingerabdruck kann in zwei voneinander unabhängigen Projekten schlicht nicht vorkommen. Cybernews hat den Code von Euro-Office untersucht und dabei festgestellt, dass er Tausende solcher Fingerabdrücke mit OnlyOffice teilt.

Die jüngste gemeinsame Änderung stammt vom 5. März 2026, dem Datum, an dem Euro-Office von OnlyOffice-Version 9.3.1 abgezweigt wurde. Ältere geteilte Änderungen tragen die Signaturen von OnlyOffice-Mitarbeitern, während Euro-Office seither 184 eigene Änderungen hinzugefügt hat.

In der Cybernews-Community wird darüber diskutiert – mach mit und nimm an der Unterhaltung teil.

Die Code-Analyse zeigt, dass Euro-Office weiterhin neuere Entwicklungen von OnlyOffice übernimmt. Änderungen, die mit Entwicklern in der Moskauer Zeitzone zwischen Dezember 2025 und März 2026 in Verbindung stehen, wurden laut Cybernews nach der Abspaltung von Nextcloud-Mitarbeitern in Euro-Office eingebunden.

Euro-Office basiert auf dem OnlyOffice-Code. Die Analyse legt nahe, dass 98,6 Prozent der Dokument-Engine und 99,2 Prozent der Live-Service-Komponente ursprünglich von Entwicklern geschrieben wurden, die nachweislich nach russischer Zeitzone arbeiten, während nur rund 0,5 Prozent auf europäische Entwickler entfallen.

Euro-Office hat etwa 370 Änderungen von OnlyOffice-Entwicklern in den serverseitigen Dienst übernommen, während die eigenen Entwickler lediglich rund 20 Änderungen vorgenommen haben.

OnlyOffice gibt an, dass sein Code von Menschen aus 24 Ländern entwickelt wird. Laut den Cybernews-Redakteuren lässt die Zeitzonenzuordnung keine Rückschlüsse auf Nationalität oder tatsächlichen Aufenthaltsort zu. Sie ist jedoch ein technischer Hinweis darauf, wo die Arbeit geleistet wurde.

„Da einige Länder noch immer zwischen Sommer- und Winterzeit wechseln, ist es aufschlussreich, dass manche Commits die Zeitzone im Winter nie gewechselt haben. Das könnte die Liste der infrage kommenden Länder eingrenzen", so die Recherche.

Eine Cybernews-Analyse von rund 15.600 Änderungen in der OnlyOffice-Codebasis ergab, dass etwa 90 Prozent nach Moskauer Zeit vorgenommen wurden.

Dieser Anteil steigt auf 99,5 Prozent, wenn man die Edits analysiert und Zeitzonen wie Omsk, Jekaterinburg und Samara einbezogen werden. Nur eine einzige Änderung ließ sich Lettland zuordnen, dem Land, in dem das Unternehmen registriert ist.

Russland-Verbindungen als K.o.-Kriterium

Die Euro-Office-Entwickler erklärten auf der GitHub-Seite des Projekts, dass sie die OnlyOffice-Codebasis prüfen und aufräumen, und dass die Abspaltung ein „letzter Ausweg" gewesen sei, ausgelöst durch technische und geopolitische Gründe.

Beiträge zum OnlyOffice-Quellcode seien „unmöglich oder stark erschwert", während das Unternehmen „regelmäßig umstrittene Entscheidungen" treffe und es an Transparenz mangele. Zudem bezeichneten sie OnlyOffice als russisches Unternehmen, „trotz vieler Versuche, dies zu verschleiern".

„Open Source ist ein globales Unterfangen, doch die aktuelle politische Lage erschwert die Zusammenarbeit und macht es schwer, Vertrauen aufzubauen. Vor allem, wenn die Entwicklung weder transparent noch offen ist. Viele Nutzer und Kunden benötigen Software, die nicht potenziell vom russischen Staat beeinflusst oder kontrolliert wird", so die Entwickler.

Nextcloud, eines der federführenden Unternehmen hinter Euro-Office, teilte Cybernews mit, dass „die OnlyOffice-Codebasis, die uns als Grundlage diente, tatsächlich fast vollständig hinter verschlossenen Türen in Russland entwickelt wurde."

„Das Unternehmen hat seitdem Schritte unternommen, um dies zu verschleiern und sich von Russland zu distanzieren. Ungeachtet dessen war dies ein wesentlicher Grund dafür, dass das Euro-Office-Team beschlossen hat, den Code abzuzweigen. Seitdem prüfen und bereinigen wir den Code, nicht nur, um Beiträge zu erleichtern, sondern auch um ihn auf Sicherheitsprobleme und andere Schwachstellen zu untersuchen", sagte Nextcloud-Mitgründer Jos Poortvliet.

„Mit zunehmender Transparenz und mehr Beteiligten steigt auch die Chance, Sicherheitsprobleme frühzeitig zu erkennen", fügte Poortvliet hinzu.

Abgesehen von Nextcloud wird das Projekt außerdem von weiteren europäischen Technologieunternehmen und Organisationen unterstützt, darunter IONOS, Eurostack, Proton, XWiki und OpenProject.

In einer Stellungnahme gegenüber Cybernews erklärte OnlyOffice, das Produkt werde von Ascensio System entwickelt und vertrieben. Einem Unternehmen, das in Lettland registriert ist und dort operiert, einem EU-Mitgliedstaat, und das „vollständig" mit EU-Recht sowie internationalen Vorschriften konform sei.

„Unser Team ist international aufgestellt, wie es bei modernen Technologieunternehmen üblich ist. Wir arbeiten mit Entwicklern und Mitwirkenden aus verschiedenen Ländern zusammen und legen den Fokus auf Expertise, nicht auf geografische Herkunft", sagte OnlyOffice-Vertriebschefin Galina Goduhina. „Wir möchten außerdem darauf hinweisen, dass Versuche, Zusammenarbeit oder Produktbewertungen anhand der Nationalität von Entwicklern statt anhand der Qualität, Sicherheit und Compliance der Software zu beurteilen, ernstzunehmende Bedenken aufwerfen", erklärte Galina Goduhina.

„Ein solcher Ansatz verlagert die Diskussion von professionellen und technischen Kriterien in den Bereich der Diskriminierung und spiegelt ein grundsätzliches Problem in der Branche wider: Manche Unternehmen greifen im Streben nach kommerziellem Gewinn zu fragwürdigen Praktiken, die sich an den Grenzen des fairen Wettbewerbs bewegen", fügte sie hinzu.

---

Entdecke mehr exklusive Cybernews-Reportagen bei YouTube.