PBS verschlüsselt Deine Backups optional bereits auf Deinem Proxmox VE — bevor sie zu uns übertragen werden. Wir bekommen dann nur AES-256-GCM-verschlüsselte Blocks und können sie nicht entschlüsseln. Das ist die saubere Lösung gegen alle Szenarien, in denen Deine Backups bei uns abhandenkommen könnten — Diebstahl, Beschlagnahme, Hacker auf unserer Seite.
Wichtig: ohne den Schlüssel kannst Du die Backups nicht zurückspielen. Der Schlüssel muss also so sicher aufbewahrt werden, dass Du ihn nicht verlierst — aber auch nicht so „sicher”, dass Du im Notfall nicht drankommst.
Schlüssel auf dem PVE-Host erzeugen
Auf der CLI Deines Proxmox VE:
proxmox-backup-client key create /etc/pve/priv/storage/xaweho-pbs.encDabei wirst Du nach einem optionalen Passwort gefragt:
- Passwort gesetzt: Du brauchst Schlüssel UND Passwort, um Backups zu entschlüsseln. Maximale Sicherheit, aber auch zwei Sachen, die Du verlieren kannst.
- Kein Passwort: nur die Schlüsseldatei reicht. Einfacher zu handhaben, aber wer die Datei klaut, kann entschlüsseln.
Für die meisten Setups: kein Passwort, dafür die Schlüsseldatei sicher aufbewahren.
Die erzeugte Datei ist eine JSON-Datei mit dem Schlüsselmaterial. Sieht etwa so aus:
{
"kdf": null,
"created": "2026-05-08T10:23:45Z",
"modified": "2026-05-08T10:23:45Z",
"data": "...long base64 string...",
"fingerprint": "ab:cd:ef:..."
}Schlüssel sicher aufbewahren
Drei Kopien an drei Orten ist die Faustregel:
- Am PVE-Host: bleibt unter
/etc/pve/priv/storage/xaweho-pbs.enc— nur root kann lesen. - In Deinem Passwort-Manager: Bitwarden, 1Password, KeePass — als sicheres Dokument oder Anhang. So hast Du den Schlüssel auch, wenn der PVE-Host komplett ausfällt.
- Offline: einmalig auf USB-Stick oder ausgedruckt im Safe. Klingt altmodisch, ist aber gegen Ransomware der einzige verlässliche Schutz.
Was Du NICHT machen solltest:
- Schlüssel im selben PBS speichern, der die Backups hält — wenn der PBS weg ist, ist der Schlüssel auch weg.
- Schlüssel ohne Passwort in eine ungeschützte Cloud (Dropbox, Google Drive) hochladen.
- Schlüssel per E-Mail an Dich selbst schicken — bleibt für immer in Deiner Mailbox.
Schlüssel im PBS-Storage hinterlegen
Im PVE musst Du dem Storage mitteilen, dass er verschlüsseln soll. Über die GUI:
- Datacenter → Storage, den PBS-Storage editieren.
- Feld Encryption Key auf den Pfad zur Schlüsseldatei setzen.
- Save.
Über die CLI:
pvesm set xaweho-pbs --encryption-key /etc/pve/priv/storage/xaweho-pbs.encWas passiert ab jetzt?
Alle neuen Backups werden mit dem Schlüssel verschlüsselt. Alte Backups, die Du vor der Aktivierung gemacht hast, bleiben unverschlüsselt — die kannst Du auf dem PBS sehen, aber sie sind nicht durch Deinen Schlüssel geschützt.
Wenn Du alle Backups verschlüsseln willst: alte Snapshots löschen (prune-Skript oder GUI), Garbage Collection laufen lassen, dann neu sichern.
Schlüssel rotieren
Du willst den Schlüssel wechseln? Geht — aber alte Backups, die mit dem alten Schlüssel verschlüsselt wurden, bleiben mit dem alten Schlüssel verschlüsselt. Du brauchst beide, bis die alten Backups durch Prune+GC weg sind.
# Neuen Schlüssel erzeugen
proxmox-backup-client key create /etc/pve/priv/storage/xaweho-pbs-2026.enc
# Alten Schlüssel als Reserve aufheben
mv /etc/pve/priv/storage/xaweho-pbs.enc /etc/pve/priv/storage/xaweho-pbs-old.enc
# PVE-Storage auf neuen Schlüssel umstellen
pvesm set xaweho-pbs --encryption-key /etc/pve/priv/storage/xaweho-pbs-2026.encBeim Restore eines alten Backups gibst Du den alten Schlüssel an. Bei neuen Backups wird der neue genutzt.
Häufige Fragen
Kann ich einen vorhandenen Schlüssel auf einem zweiten PVE-Host nutzen?
Ja. Den .enc-File auf den zweiten PVE kopieren (am besten per scp, nicht per Mail oder USB-Stick), denselben Pfad und Storage-Eintrag verwenden. Beide PVE-Hosts können sich dann mit demselben Schlüssel auf den gleichen Datastore sichern.
Was ist der Unterschied zwischen “Schlüssel mit Passwort” und “Schlüssel ohne Passwort”? Mit Passwort musst Du beim Restore zusätzlich das Passwort eintippen. Schützt vor Datei-Diebstahl, ist aber operationell teurer (Passwort vergisst man, wenn man’s lange nicht braucht). Im Notfall ist „Schlüsseldatei aus Passwort-Manager + Restore starten” einfacher als „Datei finden, Passwort raussuchen, dann Restore”.
Kann ich Backups beim Anbieter-Wechsel migrieren? Bei verschlüsselten Backups: nein, nicht ohne Schlüssel. Verschlüsselte PBS-Backups sind ohne Schlüssel wertlos. Wenn Du irgendwann zu einem anderen Anbieter umziehst, ziehst Du die Backups mit Schlüssel um oder sicherst Deine VMs neu zum neuen Anbieter — und behältst die alten Backups bis zur Rotation noch eine Weile.
Was, wenn ich den Schlüssel verloren habe? Dann sind die verschlüsselten Backups verloren. Wir können Dir nicht helfen — wir haben den Schlüssel nicht. Genau das ist der Witz an clientseitiger Verschlüsselung.
Weiter geht’s
Erste Anmeldung am Proxmox Backup Server — Was Du in der GUI siehst
Nach der Bestellung kommt die Login-Mail. Hier ein Überblick über die wichtigsten Bereiche der PBS-GUI — Datastore, Sync, Tape, User, Notifications.
Datastore in Proxmox VE als Backup-Ziel einrichten
In wenigen Klicks Deinen xaweho-PBS-Datastore in Deinem Proxmox VE eintragen — über GUI oder CLI, mit Fingerprint und Login.
Erstes Backup zum PBS laufen lassen — Schritt für Schritt
Manuelles Test-Backup einer einzelnen VM, um zu prüfen, dass der Datastore korrekt angebunden ist und alles läuft.
Backup-Job in Proxmox VE konfigurieren — Zeitplan, Retention, Verschlüsselung
So legst Du einen automatischen Backup-Job an, der regelmäßig Deine VMs und Container zum PBS schickt.