Ein Backup ist nur so gut wie sein Schutz. Proxmox Backup Server bringt alles mit, was man für serverseitige Verschlüsselung braucht — aber sie ist nicht standardmäßig aktiv. Das ist der Haken, den viele erst dann bemerken, wenn es zu spät ist.

Was PBS-Verschlüsselung leistet

PBS verschlüsselt Backup-Chunks mit AES-256-GCM, noch bevor sie auf den Datastore geschrieben werden. Der Schlüssel verlässt den Client nie. Das bedeutet: Wer Zugang zum Backup-Server hat, sieht nur chiffrierten Datenmüll. Das ist keine Paranoia — das ist saubere Sicherheitsarchitektur.

Der Fingerprint des Schlüssels dient zur Verifikation. Er sollte an einem sicheren Ort abgelegt werden, der vom Backup-System selbst unabhängig ist — etwa in einem Passwort-Manager wie Vaultwarden als Secure Note.

Einrichtung Schritt für Schritt

Im Proxmox-Interface öffnet man den gewünschten Backup-Job und wählt im Reiter "Encryption" die Option "Encryption Key". PBS generiert daraufhin einen neuen Schlüssel, zeigt den Fingerprint an und speichert ihn lokal im PBS-Keystore.

Beim nächsten Backup-Durchlauf erscheint in den Logs die Zeile INFO: enabling encryption — das ist die Bestätigung, dass alles greift. Bestehende Snapshots bleiben unverschlüsselt und werden als "mixed" markiert, bis sie durch die Retention-Regeln auslaufen.

Was es bringt — technisch

Selbst wenn jemand physischen Zugang zur Festplatte bekommt, auf der die Backups liegen, sind die Daten wertlos ohne den Schlüssel. Das gilt auch für den Hosting-Anbieter, für Diebstahl, für kompromittierte Zugangsdaten zum Storage-Backend.

Außerdem schützt die Verschlüsselung bei der Übertragung zu einem externen Mirror: Daten verlassen den eigenen Perimeter in einem Zustand, den niemand anders lesen kann.

Was es bringt — kaufmännisch

Für jeden, der Daten von anderen Menschen oder Unternehmen verarbeitet, ist Backup-Verschlüsselung keine optionale Maßnahme. Die DSGVO verlangt geeignete technische Schutzmaßnahmen. Ein unverschlüsseltes Backup, das kompromittiert wird, ist ein meldepflichtiger Datenschutzvorfall mit möglichen Bußgeldern.

Wer als Freelancer oder kleines Unternehmen Kundendaten hält, schützt mit Backup-Verschlüsselung nicht nur die Daten — er schützt sich selbst vor Haftungsrisiken, die in keinem Verhältnis zum Aufwand der Einrichtung stehen.

Der Schlüssel kostet nichts. Das Vergessen des Schlüssels kann alles kosten.