Linuxguide

Backup-Verschluesselung – DSGVO-konform sichern 2025

Backups korrekt verschluesseln und Schluessel verwalten

S
SeeColors IT11. Juni 20264 Min. Lesezeit41 Aufrufe

Warum Backup-Verschluesselung Pflicht ist

DSGVO Art. 32: "Pseudonymisierung und Verschluesselung
personenbezogener Daten"

Risiko unverschluesselte Backups:
- Backup-Festplatte gestohlen → alle Kundendaten offen
- NAS gehackt → Backups lesbar
- Cloud-Provider-Mitarbeiter kann lesen
- Entsorgte Festplatten (unzureichend geloescht)

Konsequenzen:
- DSGVO-Meldepflicht (72h an Aufsichtsbehoerde)
- Bussgelder bis 4% Jahresumsatz
- Reputationsschaden

Restic: Client-seitige Verschluesselung

# Restic verschluesselt IMMER (AES-256-CTR)
# Kein Plaintext wird das Netzwerk verlassen!

# Starkes Passwort generieren
openssl rand -base64 32

# Passwort-Datei (sicher in Passwort-Manager speichern!)
echo "GENERIERTES-PASSWORT" > /root/.backup-key
chmod 600 /root/.backup-key

# Repository erstellen (verschluesselt)
restic init     --repo s3:https://s3.backblazeb2.com/mein-backup     --password-file /root/.backup-key

# Verschluesselung pruefen
restic key list --repo ... --password-file /root/.backup-key

BorgBackup: repokey vs. keyfile

# repokey: Schluessel im Repository gespeichert (passwortgeschuetzt)
# keyfile: Schluessel lokal gespeichert (sicherer, aber Verlustrisiko)

# Fuer Offsite-Backups: keyfile empfohlen
borg init --encryption=keyfile-blake2 /backup/borg-repo

# Schluessel exportieren und sicher aufbewahren!
borg key export /backup/borg-repo /root/borg-backup.key
# Key in Passwort-Manager oder verschluesselten USB-Stick

# Schluessel-Papierform (fuer Notfall)
borg key export --paper /backup/borg-repo

GPG-Verschluesselung fuer Backups

# GPG-Key erstellen (4096-bit RSA)
gpg --full-generate-key
# Typ: RSA, Bitlaenge: 4096, kein Ablauf (oder 2 Jahre)

# Key-ID ermitteln
gpg --list-keys | grep -A1 "sec"

# Backup mit GPG verschluesseln
tar -czf - /etc /home |     gpg --recipient [email protected] --encrypt     > backup-$(date +%Y%m%d).tar.gz.gpg

# Entschluesseln
gpg --decrypt backup-20250610.tar.gz.gpg | tar -xzf -

# Private Key sichern (kritisch!)
gpg --export-secret-keys [email protected] > private-key.asc
# Sicher aufbewahren: Passwort-Manager, Bankschließfach, ...

Key-Management Best Practices

Schluessel-Verwaltung:
□ Backup-Schluessel IMMER getrennt vom Backup aufbewahren!
  (Schluessel und Backup am selben Ort = Sicherheitsproblem)

□ Mind. 2 Kopien des Schluessels:
  - 1x in Unternehmens-Passwort-Manager (Bitwarden/1Password)
  - 1x ausgedruckt oder auf USB in Tresor/Bankschließfach

□ Schluessel-Rotation jaehrlich

□ Wer hat Zugriff auf Schluessel? Dokumentieren!

□ Notfall-Zugriffsplan: Was wenn Admin krank/verstorben?

Passwort-Manager fuer Keys:
Bitwarden Enterprise: sicher, guenstig
HashiCorp Vault: fuer technische Secrets

FAQ

Muss ich Backups verschluesseln wenn sie nur im eigenen Rechenzentrum liegen?
Fuer DSGVO: empfohlen auch intern. Pflicht: wenn Backups externe Standorte erreichen (NAS beim Mitarbeiter zuhause, Clouds).

Fazit

Backup-Verschluesselung ist DSGVO-Pflicht bei personenbezogenen Daten. Restic und Borg verschluesseln standardmaessig - richtiges Schluessel-Management ist die eigentliche Herausforderung.

Backup und DSGVO fuer KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Backup#Verschlüsselung#DSGVO#Key Management

Verwandte Artikel

Helm – Kubernetes Paketmanager meistern 2025

4 Min.

ArgoCD – GitOps fuer Kubernetes 2025

4 Min.

Terraform – Infrastructure as Code fuer AWS und Azure 2025

4 Min.