# Backup Encryption: Datenschutz & Vertraulichkeit im Archiv
TL;DR / Management Summary Ein Backup ohne Verschlüsselung ist ein riesiges Sicherheitsleck. Wer Zugriff auf das Backup-Target hat, besitzt alle Firmendaten – ganz ohne Passwörter. Ein Senior Admin implementiert eine End-to-End Verschlüsselung: Daten werden auf dem Client verschlüsselt (In-Flight) und bleiben auf dem Storage verschlüsselt (At-Rest). Wir nutzen den Industriestandard AES-256 und trennen den Zugriff auf die Daten strikt von der Verwaltung der kryptografischen Schlüssel.
# 1. Verschlüsselungs-Ebenen
Wo wird der Riegel vorgeschoben?
- Encryption In-Flight (Übertragung): Nutzt TLS/SSL, um Daten während des Versands über das Netzwerk (z.B. ins Internet) zu schützen.
- Encryption At-Rest (Speicherung): Schützt die Daten auf den Festplatten des Backup-Servers. Selbst wenn jemand die SSD klaut, ist sie wertlos.
- Source-side Encryption (Empfohlen): Die Daten werden bereits auf dem Proxmox-Host verschlüsselt. Der Backup-Server sieht niemals den Klartext.
# 2. Algorithmen & Standards
Die Wahl der Waffen.
- AES-256 (GCM): Der Goldstandard. Bietet höchste Sicherheit bei gleichzeitig exzellenter Performance durch Hardware-Beschleunigung (AES-NI).
- ChaCha20-Poly1305: Eine schnelle Alternative, besonders für mobile Endgeräte oder CPUs ohne native AES-Befehle (Artikel 566).
# 3. Deep Dive: Key Management
Wer hütet die Schlüssel?
Das größte Risiko bei verschlüsselten Backups ist der Verlust des Schlüssels.
- Passwort-basiert: Einfach, aber riskant bei Mitarbeiterfluktuation.
- Key-based (RSA/Certificates): Der öffentliche Schlüssel verschlüsselt das Backup, der private Schlüssel (im Safe) entschlüsselt es.
- Hardware-Sicherheit (TPM/HSM): Speichert die Keys in einem physisch manipulationssicheren Chip (Artikel 479).
# Proxmox Backup Server (PBS) Key Logic
PBS nutzt pro Datastore ein Key-File.
- Aktion: Erstellen Sie nach dem Setup zwingend ein Papier-Backup (QR-Code) des Keys. Wenn der PBS-Server verbrennt, ist dies Ihre einzige Möglichkeit, die Daten aus der Cloud wiederherzustellen.
# 4. Day-2 Operations: Performance Impact
Sicherheit kostet Zeit.
Verschlüsselung benötigt CPU-Zyklen.
- Tuning: Aktivieren Sie AES-NI in den VM-Einstellungen Ihres Hypervisors.
- Benchmark: Ohne AES-NI sinkt die Backup-Performance oft von 500 MB/s auf unter 50 MB/s.
# 5. Troubleshooting & “War Stories”
Wenn der Tresor nicht aufgeht.
# Top 3 Fehlerbilder
-
Symptom: “Invalid Encryption Key” beim Restore.
- Ursache: Verwechslung von Passwörtern oder Verlust des Key-Files.
- Lösung: Nutzen Sie den Papier-Export des Keys.
-
Symptom: Deduplikations-Rate ist miserabel.
- Ursache: Die Verschlüsselung findet vor der Deduplikation statt. Jedes Backup sieht für den Server komplett anders aus.
- Lösung: Nutzen Sie Backup-Systeme, die Deduplication-Aware Encryption beherrschen (wie PBS). Hier werden Chunks erst gehasht und dann verschlüsselt.
-
Symptom: Hohe Latenz auf dem Produktions-Server während des Backups.
- Ursache: Source-side Encryption überlastet die Kerne der Applikations-VM.
# “War Story”: Der “Perfekte” Datenschutz
Ein Unternehmen verschlüsselte alle Backups mit einem hochkomplexen 64-stelligen Passwort. Das Passwort war nur im Kopf des Senior-Admins gespeichert. Die Katastrophe: Der Admin verunfallte schwer und war wochenlang nicht ansprechbar. Genau in dieser Zeit fiel das Haupt-SAN aus. Das Ergebnis: Die Firma hatte Backups, konnte sie aber nicht nutzen. Der finanzielle Schaden war existenzbedrohend. Lehre: Nutzen Sie ein Vier-Augen-Prinzip und einen Notfall-Umschlag (physisch) oder einen Tresor im Passwort-Manager für alle Master-Backup-Keys.
# 6. Monitoring & Reporting
Verschlüsselungs-Audit.
# Compliance Check
Integrieren Sie den Verschlüsselungsstatus in Ihre Berichte:
- Metrik:
% of Jobs Encrypted. Ziel: 100%. - Metrik:
Key Rotation Status. Wann wurde das Passwort zuletzt geändert?
# 7. Fazit & Empfehlung
Verschlüsselung ist kein “Optionales Feature”, sondern eine Grundvoraussetzung für IT-Sicherheit.
- Empfehlung: Nutzen Sie Zertifikatsbasierte Verschlüsselung (RSA) statt einfacher Passwörter für Server-Workloads.
- Wichtig: Testen Sie den Restore-Prozess regelmäßig mit einem neuen Admin, der die Passwörter nicht auswendig kennt, sondern den Dokumentationspfad nutzen muss.
# Anhang: Cheatsheet (PBS Key Management)
| Aufgabe | Befehl |
|---|---|
| Key erstellen | proxmox-backup-client key create |
| Key anzeigen | proxmox-backup-client key show |
| Papier Backup | proxmox-backup-client key paper-key > key.pdf |
| Key Passwort ändern | proxmox-backup-client key change-passphrase |