8.2 KiB
Zweites Offsite-Backup-Ziel - Entscheidungsvorlage
Status: Operator-Entscheidung 2026-05-28: bewusst KEIN zweites Off-site. Doku bleibt als Begruendungs-Anker und fuer zukuenftige Reviews.
Audit-Bezug: docs/archive/2026-05/AUDIT_2026-05-25.md Finding F-03 und docs/AUDIT_2026-05-25_TODO.md Sprint 7.
Beschluss 2026-05-28
Aktuelle Backup-Topologie:
| Kopie | Wo | Medium | Standort |
|---|---|---|---|
| 1 | Live-Daten Unraid (Cache + Disk1) | NVMe + HDD | Heim |
| 2 | Borg-Repo lokal /mnt/user/backups/borg/ |
HDD (Disk1) | Heim |
| 3 | Borg-Repo Hetzner Storagebox | Hetzner | Off-site (DE) |
| 4 | H:/ Nearline-Pull am Windows-PC | externe HDD | Heim |
3-2-1-Regel ist erfuellt: 4 Kopien, 3 Medien, 1 Off-site (Hetzner).
Ein zweites Off-site wuerde ausschliesslich das Szenario "Hetzner-Account verloren" zusaetzlich abdecken. Operator-Bewertung: Wahrscheinlichkeit niedrig (etablierter deutscher Anbieter mit Zahlungsweg), Aufwand und laufende Kosten unverhaeltnismaessig zur Risikoreduktion fuer ein privates Familien-Homelab.
Statt zweitem Off-site werden drei Hetzner-Account-Haertungen als Folge-TODOs gefuehrt:
- Hetzner-Account: starkes, einzigartiges Passwort in Vaultwarden + Backup-Zahlungsweg (zweite Karte/SEPA) + Login-Benachrichtigungen per E-Mail. Bewusst keine 2FA (Operator-Entscheidung 2026-05-28 analog zur USV-Risiko-Akzeptanz; 2FA-Aufwand ueberwiegt die fuer ein Familien-Homelab realistische Risiko-Reduktion).
- Borg
--append-only-Mode pruefen (Repoappdata-criticallaeuft aktuell im Modefull). Setup erfolgt server-seitig in Hetzner~/.ssh/authorized_keysmitcommand="borg serve --append-only"fuer den Backup-Key. Schuetzt gegen client-seitige Ransomware, die das Repo loeschen wuerde. - H:/ Pull als Windows Scheduled Task aktivieren (Anker
docs/H_DRIVE_NEARLINE_PULL.md).
Diese drei Massnahmen zusammen schliessen den gleichen Risikoraum wie ein zweites Off-site, ohne neue Provider/Hardware/laufende Kosten.
Review-Trigger
Diese Entscheidung wird neu bewertet, wenn:
- Hetzner-Account-Probleme tatsaechlich auftreten (Payment-Issue, Login-Sperre)
- Hetzner als Anbieter strukturelle Probleme zeigt (Insolvenz-Geruechte, AGB-Aenderungen)
- Im Homelab Daten mit deutlich hoeherem Wiederbeschaffungs-Aufwand dazukommen (z. B. Firefly-III-Finanz-Daten, Smart-Home-Langzeitdaten)
- Operator-Praeferenzen sich aendern
Wenn dieser Trigger eintritt, sind die drei Optionen rsync.net / BorgBase EU2 / Cold-Wechselplatte weiter unten dokumentiert.
Zweck
Aktuell laeuft das Off-site-Backup bei genau einem Anbieter (Hetzner Storage Box). Diese Vorlage stellt drei realistische Optionen fuer ein zweites Off-site-Ziel gegenueber. Die Entscheidung trifft der Operator; dieses Dokument trifft sie nicht.
H:/ am Windows-PC bleibt kein Offsite-Ersatz (siehe docs/CAPACITY_AND_LIFECYCLE.md). H:/ ist Nearline-Kopie am gleichen Standort.
Anforderungen an das zweite Ziel
| Anforderung | Begruendung |
|---|---|
| anderer Anbieter als Hetzner | Provider-Risiko (Account-Sperre, Insolvenz, Region-Outage) wird sonst nicht reduziert |
| anderer physischer Standort als Unraid-Host | Brand-/Diebstahl-/Wasser-Schutz |
| Borg-kompatibel (SSH + Repo-Layout) | bestehendes Borg-UI-Setup soll wiederverwendbar bleiben |
| bezahlbar im Privatrahmen | grobe Zielgroesse: < 10 EUR / Monat fuer ~1 TB |
| stabil ueber Monate | wenig Eingriff, keine taeglichen Quirks |
| keine Konto-Komplexitaet | 2FA-Recovery muss sauber, ohne Telefon-Nummer-Hacks etc. moeglich sein |
Drei Optionen
Option A - rsync.net Borg-Plan
- Was: seit Jahren etablierter Anbieter mit dediziertem Borg-Plan (eingebaute
borg-Binary, SSH-Account, Snapshot-Schutz). - Zielanbindung:
borg init --encryption=repokey-blake2 user@hostname:repo. - Standort: Schweiz/USA (je nach Konto-Region).
- Preis (Stand 2026, grob): ~10-15 USD pro Monat fuer 1 TB; Mindestbestelldauer keine.
- Vorteile: Borg-First, ZFS-Snapshots als zusaetzlicher Schutz vor Repo-Loeschung, sehr lange Track-Record, keine SMB-/CIFS-Quirks.
- Nachteile: USD-Preis, Standort ausserhalb EU je nach Konto, etwas teurer als reine Storage Boxes.
- Konto-Risiko: unabhaengig von Hetzner-Konto.
Option B - BorgBase EU2 (zweite Region beim gleichen Borg-Spezialisten)
- Was: BorgBase ist Borg-as-a-Service mit mehreren Regionen.
- Zielanbindung: identisch zu bestehendem Borg-UI-Pfad.
- Standort: zweite EU-Region als EU1.
- Preis (Stand 2026, grob): ~10 EUR / Monat fuer ~1 TB.
- Vorteile: identisches Borg-Modell, geringer Lernaufwand, einfache Web-UI.
- Nachteile: Anbieter-Risiko nicht vollstaendig getrennt (gleicher Anbieter, andere Region). Bei Account-Sperre/Insolvenz waeren beide Ziele gleichzeitig betroffen.
- Konto-Risiko: gleicher Anbieter, anderes Geo-Risiko.
Option C - Rotierende Cold-Wechselplatte ausser Haus
- Was: zweite externe HDD (z. B. 2x WD Elements 4 TB), die im monatlichen Wechsel zwischen Heim-LAN und vertrauter dritter Person (Familie, Schliessfach, Buero) rotiert.
- Zielanbindung: Borg-Repo lokal auf der eingesteckten Platte; Backup-Lauf nur wenn die Platte gerade vor Ort ist.
- Standort: echtes Ausserhaus, dazwischen offline (Air-Gap).
- Preis (einmalig): zwei Platten ~250 EUR, keine laufenden Kosten.
- Vorteile: echtes Air-Gap, keine Provider-Abhaengigkeit, keine Bandbreitenfrage, keine Konto-Risiken.
- Nachteile: manuelle Disziplin noetig, Recovery-Zeit haengt davon ab, dass die Platte gerade erreichbar ist. Nicht so taggenau wie Cloud-Borg.
- Konto-Risiko: keines (keine Provider-Bindung).
Bewertung gegen die Anforderungen
| Anforderung | Hetzner (Ist) | Option A rsync.net | Option B BorgBase EU2 | Option C Cold-Platte |
|---|---|---|---|---|
| Anderer Anbieter | - | ja | nein (gleicher) | ja (keiner) |
| Anderer Standort | - | ja | ja | ja |
| Borg-kompatibel | ja | ja | ja | ja |
| Preis < 10 EUR/Monat | ja | grenzwertig | ja | einmalig ~250 EUR |
| Stabilitaet | hoch | hoch | hoch | Operator-Disziplin abhaengig |
| 2FA/Konto-Recovery | OK | OK | OK | n/a |
Empfehlung (nicht Entscheidung)
Wenn der Operator die geringste Bedienung bei maximalem Provider-getrennten Schutz will: Option A rsync.net. Echte Anbieter-Trennung gegenueber Hetzner, Borg-First-Anbieter, ZFS-Snapshot-Schutz, keine zusaetzliche Hardware noetig.
Wenn Air-Gap und Null-Provider-Abhaengigkeit am wichtigsten sind und der Operator die monatliche Rotation tatsaechlich diszipliniert macht: Option C Cold-Platte.
Option B (BorgBase EU2) wird nicht empfohlen als zweites Ziel, weil das das Provider-Risiko nicht reduziert.
Was vor einer Buchung zu tun ist
- Operator-Entscheidung Option A vs. C dokumentieren (kein Provider-Kontakt vor Entscheidung).
- Falls Option A:
- Konto bei rsync.net anlegen, Borg-Plan waehlen.
- SSH-Key vom Borg-UI-Container exportieren bzw. dediziertes Key-Pair erzeugen.
borg initgegen das neue Repo durchfuehren (separate Passphrase oder gleiche - bewusst entscheiden).- Borg-UI um zweites Repository erweitern (separater Eintrag, kein Replace).
- Schedule pruefen: erstes Vollbackup als One-Shot, danach inkrementell.
docs/SECRETS_MAP.mdunddocs/EXTERNAL_DEPENDENCIES.mdum neuen Provider ergaenzen.docs/RESTORE_MATRIX.mdunddocs/STORAGE_LAYOUT.mdBackup-Ziel-Liste aktualisieren.
- Falls Option C:
- zwei Platten beschaffen, Filesystem XFS oder ext4 (kein NTFS).
- Rotations-Plan in
docs/STORAGE_LAYOUT.md§8.1 ergaenzen. - Borg-Repo-Init pro Platte; Borg-UI um lokales Repo erweitern (nur aktiv wenn Platte eingesteckt).
- Operator-Disziplin: monatliche Rotation als Kalender-Reminder.
Was bewusst NICHT in dieser Vorlage steht
- Konkrete Hetzner-Konto-Daten, rsync.net-Accountnamen, IBANs, Telefonnummern. Diese Daten gehoeren nirgendwo in dieses Repo.
- Borg-Passphrasen. Bleiben ausserhalb des Repos.
- "Migrieren weg von Hetzner" als Option. Hetzner bleibt; das zweite Ziel ist Ergaenzung, nicht Ablosung.
Offene Punkte
| Status | Punkt | Naechster Schritt |
|---|---|---|
| offen | Entscheidung Option A vs. C | Operator |
| offen | Budget-Freigabe | Operator |
| offen | Provider-/Hardware-Beschaffung | nach Entscheidung |
| offen | Schedule-Anpassung in ops/borg-ui |
nach Provider-Bereitstellung |