Die harte Realität der Datensicherung
Wer einen Homeserver betreibt – egal ob als fettes NAS, kleinen Mini-PC oder Raspberry Pi –, sammelt über die Zeit unweigerlich einen Schatz an Daten an. Nextcloud-Instanzen, Fotobibliotheken, Paperless-Datenbanken und ein Dutzend Docker-Container wollen gesichert werden. Die bittere Erkenntnis jedoch: Ein RAID-Verbund ist kein Backup. Er schützt vor Hardwareausfällen, aber nicht vor Ransomware, Verschlüsselungstrojanern oder dem klassischen Kaffee über dem Mainboard.
Was wirklich zählt, ist die eiserne 3-2-1-Regel: Drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine außer Haus. Ein System, das diese Regel konsequent umsetzt, muss weder kompliziert noch teuer sein. Es lässt sich mit vier Open-Source-Tools in drei logischen Schritten aufbauen und läuft danach komplett automatisiert im Hintergrund.
Schritt 1: Das Fundament – Docker Volume Backup
Der erste Schritt widmet sich dem Fundament des modernen Homeservers: den Docker Containern. Die Konfigurationen und Datenbanken von Diensten liegen in der Regel in Volumes. Diese einfach mittels cp oder rsync wegzusichern, ist ein beliebter Anfängerfehler. Das Problem: Datenkonsistenz. Wird eine Datenbank gesichert, während sie noch läuft und schreibt, entsteht ein inkonsistenter Zwischenzustand. Die Folge: Das Backup existiert, lässt sich aber im Ernstfall nicht wiederherstellen.
Das Tool Docker Volume Backup löst dieses Problem elegant. Es wird selbst als minimaler Docker-Container deployt und lässt sich komplett über die docker-compose.yml konfigurieren. Das Tool bringt eine entscheidende Funktion mit: Über das Label docker-volume-backup.stop-during-backup: true kann man Container kurzzeitig anhalten, bevor das Backup läuft, das Volume sichern und den Container im Anschluss automatisch wieder starten. Die kurze Downtime mitten in der Nacht merkt kein Nutzer, aber sie garantiert saubere Daten. Alternativ lassen sich Pre-Backup-Befehle definieren, etwa um einen sauberen MySQL-Dump zu ziehen. Das Tool packt die Daten komprimiert als tar.gz-Archiv und kann diese wahlweise lokal, auf ein Netzlaufwerk oder direkt in einen S3-kompatiblen Cloud-Speicher schieben.
Schritt 2: Heavy Duty – Deduplizierung und Snapshots
Nachdem die Docker-Basis gesichert ist, geht es an die großen Datenberge auf dem Server. Hier reicht einfaches Kopieren nicht mehr hin, da es zu viel Speicherplatz und Zeit frisst. Die Lösung sind moderne Backup-Tools, die auf Deduplizierung und Snapshots setzen. Anstatt jeden Tag alle Dateien neu zu sichern, werden die Daten in kleine Blöcke zerlegt. Nur Blöcke, die sich geändert haben, landen im Repository. Jeder Backup-Lauf erzeugt einen Snapshot – einen eingefrorenen Zustand, zu dem man jederzeit zurückreisen kann, ohne dass dies massiv Speicherplatz kostet.
Hier duellieren sich zwei exzellente Open-Source-Tools:
Restic ist der Goldstandard für Terminal-Fans. Es ist schlank, plattformunabhängig und verschlüsselt das Repository zwingend von Haus aus mit AES-256. Es gibt keine Option für unverschlüsselte Backups – ein enormer Sicherheitsgewinn, besonders im Hinblick auf Offsite-Backups. Das absolute Highlight ist der Befehl restic mount, der das gesamte Backup-Repository als normales Verzeichnis ins System einhängt. Man kann per Copy & Paste wie in einem Netzlaufwerk Dateien aus der Vergangenheit herausziehen, ohne kryptische Restore-Befehle zu tippen. Der Nachteil: Restic erfordert die Kommandozeile und eigene Cronjobs zur Automatisierung.
Kopia ist technisch ähnlich (AES-256, Deduplizierung, zusätzliche Kompression), bringt aber eine grafische Oberfläche (UI) mit. Policies, Aufbewahrungsregeln (Retention) und Ignorier-Muster für Cache-Ordner lassen sich per Mausklick konfigurieren. Für alle, die den Homeserver lieber visuell verwalten und nicht in der Shell skripten wollen, ist Kopia die deutlich zugänglichere Alternative.
Beide Tools erledigen den gleichen Job exzellent – die Wahl ist reine Geschmackssache.
Schritt 3: Das Offsite-Backup mit Rclone
Nun liegen die Daten verschlüsselt und dedupliziert auf dem eigenen Server. Was passiert aber bei einem Brand oder Einbruch? Genau dann zeigt sich, warum die dritte Kopie außer Haus liegen muss. Das Werkzeug der Wahl hierfür heißt Rclone. Es wird oft als das rsync für Cloud-Speicher bezeichnet und unterstützt über 70 Anbieter – von AWS S3 und Backblaze B2 über OneDrive bis hin zu WebDAV oder einer Nextcloud bei Freunden.
Wichtig für das Verständnis: Rclone ist kein Backup-Tool im eigentlichen Sinn. Es ist ein Logistikdienstleister. Sein Job ist es, das von Restic oder Kopia in Schritt 2 erstellte, bereits verschlüsselte Repository aus dem Haus zu schaffen. Da das Repository durch die End-to-End-Verschlüsselung der Vor-Tools als reiner Datenmüll für den Cloud-Anbieter vorliegt, spielt es auch keine Rolle, wem der Speicherplatz gehört. Rclone schiebt den Datenberg sicher ins Netz und hält ihn synchron.
Fazit: Automatisierung schlägt Motivation
Die vorgestellte Architektur aus Docker Volume Backup, Restic/Kopia und Rclone ist mehr als die Summe ihrer Teile. Sie zwingt Nutzer dazu, Konsistenz bei Datenbanken herzustellen, setzt auf moderne Verschlüsselung und Deduplizierung und automatisiert den lästigen Weg ins Offsite.
Die kritische Einordnung an dieser Stelle: Ein solches System ist exzellent aufgebaut, aber es ersetzt nicht den Restore-Test. Die bittere Wahrheit der IT-Sicherheit lautet: Ein Backup existiert erst dann, wenn man es mindestens einmal erfolgreich auf einem frischen System wiederhergestellt hat. Wer die Tools einmal eingerichtet hat, sollte zwingend einen Probelauf machen. Ist dieser erfolgreich, schläft man deutlich besser – denn dann überleben die Daten wirklich alles.
Quelle: c't 3003
