fairlane.systems

SERVER & INFRASTRUKTUR · SERVICE

Server & Infrastruktur: Ubuntu, Docker, Monitoring – aufgesetzt, gehärtet, übergeben

Eigener Server auf Hetzner oder DigitalOcean. Ubuntu 24.04, Docker, nginx, SSL, Fail2ban, CrowdSec, Monitoring. Pauschal ab CHF 1200.

Recherche & Faktencheck: · Stand: 2026-05

Was umfasst der Server-Setup?

Wir setzen Ihren Server auf – Hardware-Auswahl, Betriebssystem-Installation, Firewall, Docker, Reverse-Proxy mit SSL, Monitoring und Backup. Gehärtet nach aktuellem Stand, dokumentiert, an Sie übergeben. Der Server läuft auf Ihrem Account (Hetzner, DigitalOcean oder ein anderer EU-Anbieter Ihrer Wahl), nicht auf unserem. Das ist Teil des Datenschutz-Versprechens: wir haben kein Mit-Konto, kein Master-Passwort, keine Hintertuer.

Die Standardkonfiguration umfasst: Ubuntu 24.04 LTS (Server-Edition), UFW-Firewall mit restriktiven Default-Regeln, Fail2ban gegen SSH-Brute-Force, CrowdSec mit Community-Threat-Intel, Docker und Docker-Compose, nginx als Reverse-Proxy, Let's-Encrypt-Zertifikate via Certbot mit Auto-Renewal, automatische Sicherheits-Updates (unattended-upgrades), und ein Monitoring-Stack auf Wunsch (Prometheus, Grafana, Loki oder Uptime Kuma).

Varianten: Basic (CHF 1200) mit Grundkonfiguration und Doku. Plus Monitoring (CHF 1700) mit Grafana-Dashboard und Alerts via Telegram oder E-Mail. Plus Offsite-Backup (CHF 2200) mit verschlüsseltem täglichem Backup zu einem zweiten Standort. Hardening & Security-Audit (CHF 1400) als getrenntes Modul, wenn der Server schon läuft und nur eine Prüfung benötigt.

Server-Mietkosten laufen direkt auf Ihren Account – typisch CHF 30 bis 120 pro Monat je nach Grösse. Wir empfehlen, beraten und konfigurieren – aber die Rechnung kommt von Hetzner zu Ihnen, nicht zu uns.

Warum eigene Infrastruktur

Drei Gründe stehen hinter der Empfehlung „eigener Server" statt einer reinen SaaS-Cloud.

Erstens: Datenstandort. Hetzner-Rechenzentren stehen in Falkenstein und Nürnberg (EU-DE), Helsinki (EU-FI), und neu Singapur. DigitalOcean bietet Amsterdam und Frankfurt. Wer Mandantendaten verarbeitet oder dem Berufsgeheimnis unterliegt (Treuhand, Anwalt, Arzt), kann mit einem EU-Server den revDSG-Datenexport-Streit umgehen. Mit einer US-SaaS-Lösung nicht.

Zweitens: Kostenkontrolle. Eine dedizierte AX42 von Hetzner (8 Kerne AMD Ryzen 7, 64 GB RAM, 2 NVMe) kostet rund EUR 50 pro Monat. Eine vergleichbare Cloud-VM mit äquivalenter Last wäre bei AWS oder Azure das Dreifache bis Fünffache. Bei KI-Workloads – die viel RAM und CPU brauchen – ist der Unterschied dramatisch.

Drittens: Vendor-Lock-in. Ein Server auf Ubuntu mit Docker ist portabel. Wechseln Sie morgen von Hetzner zu OVH oder Infomaniak, ziehen wir die Container in einem halben Tag um. Eine SaaS-Lösung haben Sie, oder Sie haben sie nicht – ein Wechsel ist ein Re-Projekt.

Und schliesslich: die Haertung. Ein neu installierter Hetzner-Server steht offen im Internet und wird innerhalb von Minuten SSH-Login-Versuchen ausgesetzt. Ohne Fail2ban und CrowdSec ist das eine offene Tür. CrowdSec sammelt seit 2020 Angriffs-IPs über das ganze Community-Netzwerk und teilt sie – Ihr Server profitiert von Angriffen, die andere bereits abgewehrt haben.

Wie der Setup abläuft

Der Setup läuft in fünf Blöcken, über zwei bis fünf Tage je nach Variante.

Block 1 – Hardware und Provider: Wir bestimmen zusammen die Server-Grösse – typisch eine AX-Reihe von Hetzner für KI-Workloads, eine EX-Reihe für ressourcenarme Setups, oder ein DigitalOcean-Droplet für kleine Pilotprojekte. Sie bestellen den Server auf Ihrem Account, wir bekommen einen Zugriff zur Einrichtung.

Block 2 – Basis-Installation: Ubuntu 24.04 LTS frisch installiert, automatische Sicherheits-Updates aktiv, Root-Login deaktiviert, SSH-Key-Authentication erzwungen, Passwort-Login abgeschaltet, ein neuer admin-User mit sudo. UFW-Firewall: standardmässig alles dicht ausser SSH (auf nicht-Standard-Port verschoben), HTTP und HTTPS.

Block 3 – Sicherheitsschicht: Fail2ban gegen SSH-Brute-Force (3 Fehlversuche, 24h Bann). CrowdSec mit dem nginx-Bouncer und SSH-Szenario. Auto-Update der CrowdSec-Hub-Szenarien per cron. Optionale Cloudflare-Verbindung mit Origin-Cert, sodass der Hetzner-Server nicht direkt zur Welt antwortet.

Block 4 – Anwendungsschicht: Docker und Docker-Compose installiert, nginx als Reverse-Proxy konfiguriert, Certbot mit Let's Encrypt und Auto-Renewal eingerichtet. Logrotate, Cron, systemd-Timers. Ein Health-Check-Endpoint pro Service, von Uptime Kuma extern gepingt.

Block 5 – Monitoring und Übergabe: Bei Variante „+ Monitoring": Prometheus mit node_exporter, Grafana mit vordefinierten Dashboards (CPU, RAM, Disk, Network, Container-Health), Loki für Log-Aggregation, Alerts via Telegram oder E-Mail. Übergabe: Doku-PDF mit Zugangsdaten, Architektur-Diagramm, Runbook für die häufigsten Störungen.

Setup-Workflow in 6 Schritten

  1. 01Provider und Hardware wählen: Hetzner AX/EX/GEX oder DigitalOcean, je nach RAM- und CPU-Bedarf.
  2. 02Server-Bestellung auf Ihrem Account, Zugriffsfreigabe für das Setup-Fenster.
  3. 03Basis-Installation: Ubuntu 24.04 LTS, SSH-Key-only, UFW-Firewall, neuer admin-User.
  4. 04Sicherheitsschicht: Fail2ban, CrowdSec mit Community-Threat-Intel, automatische Sicherheits-Updates.
  5. 05Anwendungsschicht: Docker, nginx, Certbot mit Let's Encrypt, Reverse-Proxy-Konfiguration.
  6. 06Monitoring und Übergabe: Grafana-Dashboards (optional), Doku-PDF, Runbook, Credentials in Ihrem Tresor.

Wann eigene Infrastruktur

Eigene Infrastruktur lohnt sich, wenn (a) Sie sensible Daten verarbeiten, die nicht zu einem US-SaaS-Anbieter sollen, (b) Sie KI-Workloads mit unklarer Kostenstruktur betreiben wollen (LLM-Inference, Vektor-DB, Embedding-Pipelines), (c) Sie mehrere Services kombinieren möchten (RAG, n8n, Bot-Backend, Dokumentenablage), oder (d) Sie eine kontrollierte Umgebung für Compliance-Anforderungen brauchen.

Konkrete Konstellationen: Eine Treuhand mit einem RAG-Pilot für Mandanten-Akten – Daten müssen in der EU bleiben, der Datenfluss muss dokumentierbar sein. Ein KMU mit 30 n8n-Workflows – auf n8n Cloud wäre die Workflow-Anzahl Pflicht-Pricing-Faktor, self-hosted ist sie egal. Eine Anwaltskanzlei mit Berufsgeheimnis-Daten – ein US-SaaS ist hier wegen StGB Art. 321 heikel, ein EU-Server mit Verschlüsselung deutlich kontrollierbarer.

Für KI-Workloads gilt: ab etwa 50 GB RAM Bedarf wird Cloud teuer. Hetzner liefert bis 1024 GB RAM in der GEX-Linie zu Kosten, die bei AWS/Azure Faktor 4 bis 6 höher liegen würden. Wer ein lokales Sprachmodell (Ollama, vLLM) oder eine grosse Vektor-DB betreiben will, kommt um Dedicated nicht herum.

Wann NICHT

Eigene Infrastruktur ist die falsche Wahl, wenn (a) Sie nur eine reine SaaS-Lösung suchen und gar keine eigene Schicht wollen, (b) Ihr Datenvolumen so klein ist, dass eine Cloud-Funktion ausreicht (z.B. 5 GB Dokumente, 50 Anfragen pro Tag), oder (c) Sie keine Person im Haus haben, die SSH und Docker grundsätzlich versteht.

Der dritte Punkt ist der häufigste. Ein eigener Server braucht jemanden im Betrieb, der die Doku liest und im Notfall reagieren kann – oder ein Managed-Service-Vertrag, der diese Rolle übernimmt. Wer beides nicht hat, ist mit einer kuratierten SaaS-Lösung besser bedient. „Server hingestellt und vergessen" funktioniert nicht.

Ebenfalls falsch ist der eigene Server, wenn Sie höchste Verfügbarkeit (99.99 Prozent, Multi-Region-Failover) brauchen. Ein einzelner Hetzner-Dedicated-Server liefert etwa 99.9 Prozent – das sind 9 Stunden Downtime pro Jahr im Worst Case. Wer das nicht akzeptieren kann, braucht eine Cloud mit Auto-Failover oder ein Multi-Server-Setup mit Lastverteilung – das ist ein anderes Preisniveau.

Vor- und Nachteile

STÄRKEN

  • Datenstandort EU oder Schweiz, revDSG-tauglich
  • Faktor 3 bis 5 günstiger als äquivalente Cloud-VMs bei KI-Workloads
  • Portabel: Docker-Container ziehen in halbem Tag zu anderem Provider um
  • CrowdSec-Community schlägt Angreifer ab, die andere bereits gemeldet haben
  • Pauschalpreis ab CHF 1200 – keine Stundenfalle

SCHWÄCHEN

  • Braucht jemand in Ihrem Betrieb, der die Doku lesen kann – oder einen Managed-Service-Vertrag
  • Eine einzelne Dedicated-Maschine liefert ca. 99.9 Prozent Verfügbarkeit, keine Multi-Region-Hochverfügbarkeit
  • Server-Mietkosten laufen direkt bei Ihnen – Sie tragen die Provider-Beziehung
  • Setup-Termin notwendig – kein „heute bestellt, heute live"

Häufige Fragen

Hetzner oder DigitalOcean – was empfehlen Sie?

Hetzner bei RAM-starken Workloads (KI-Inference, Vektor-DB) und Kosten-Sensibilität. DigitalOcean bei einfachen Setups, wenn Sie deren Managed-DBs oder Spaces (Objektspeicher) brauchen wollen. Für 80 Prozent unserer Mandanten ist Hetzner die richtige Wahl – EU-Rechenzentren, gutes Preis-Leistungs-Verhältnis, etablierte Community-Doku.

Was passiert, wenn der Server ausfällt?

Bei einer Hetzner-Dedicated-Maschine sind das in der Regel Hardware-Defekte oder Netzwerk-Störungen. Hetzner tauscht defekte Hardware innerhalb von 4 bis 24 Stunden. Mit dem „+ Offsite-Backup" stellen wir den Server in dieser Zeit auf einer Ersatzmaschine wieder her – das letzte tägliche Backup als Stand. Mit Managed Service Pro ist die Reaktion definiert (siehe Managed-Service-Modul).

Wer hat danach Zugriff auf den Server?

Sie. Standardmässig gehen alle Zugänge an Sie – das Passwort für den Hetzner-Account war nie bei uns, der SSH-Key wird beim Setup auf Ihren Schlüssel umgestellt. Wenn Sie Managed Service buchen, behalten wir einen getrennten Admin-Account mit Audit-Log – sonst nicht. Bei Übergabe schliesst sich unser Zugriff.

Brauche ich Cloudflare zusätzlich?

Empfohlen, nicht zwingend. Cloudflare schützt vor DDoS, beschleunigt statische Inhalte via CDN und versteckt die Hetzner-IP. Kostet null im Free-Plan, lohnt sich fast immer. Beim Setup richten wir Origin-Certs ein, sodass der Hetzner-Server nur Verbindungen über Cloudflare akzeptiert – das schliesst Direkt-Angriffe auf die IP weitgehend aus.

Verwandte Themen

AI-READINESS AUDIT · SERVICEAI-Readiness Audit: Wo Ihr Betrieb heute mit KI steht – in ein bis fünf Tagen geklärtMULTI-LLM GATEWAY · SERVICEMulti-LLM Gateway: Acht Anbieter, ein Eingang, Compliance-RoutingRAG MIT EIGENEM WISSEN · SERVICERAG mit eigenem Wissen: Antworten aus Ihren Dokumenten – mit Quelle, nicht erfundenHETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenSELF-HOSTED VS. CLOUD · AI-KONZEPTSelf-Hosted vs. Cloud-LLM: Entscheidungs-Framework für KMU und Treuhand

Quellen

  1. Hetzner Community – Installing and setting up CrowdSec to protect SSH · 2026-02
  2. Hetzner Community – Centralized CrowdSec Management with Web UI · 2026-03
  3. Daniel Tenner – Setting up and hardening a Hetzner server · 2026-01
  4. OneUptime – Installing Ubuntu Server on a Dedicated Server from Hetzner/OVH · 2026-03
  5. CrowdSec – Official documentation · 2026-04

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen