Unraid Backup: Alle Daten verschlüsselt auf eine Hetzner Storage Box sichern (rclone)
Verschlüsseltes Off-Site-Backup für Unraid mit rclone und einer Hetzner Storage Box – automatisch, günstig und DSGVO-konform.
Ein NAS im Keller ist großartig. Aber was passiert, wenn es brennt, ein Blitz einschlägt oder ein Einbrecher den ganzen Netzwerkschrank mitnimmt? Dann sind nicht nur die Smart-Home-Configs weg, sondern auch 20 Jahre Familienfotos. Darüber will man nicht nachdenken – muss man aber.
Die Lösung heißt Off-Site-Backup: Eine verschlüsselte Kopie aller wichtigen Daten, die physisch woanders liegt. Ich nutze dafür rclone (Open Source, kostenlos){:target=”_blank”} zusammen mit einer Hetzner Storage Box. Das Ganze läuft vollautomatisch jeden Sonntag Nacht auf meinem Unraid-Server, und ich muss mich um nichts kümmern.
Warum Hetzner Storage Box?
- Günstig: Ab ca. 3,50€/Monat für 1TB, Rechenzentrum in Deutschland
- DSGVO-konform: Daten liegen in deutschen Rechenzentren
- SFTP/SSH-Zugang: Perfekt für rclone, kein proprietäres Protokoll
- Snapshots: Hetzner kann serverseitig Snapshots erstellen (zusätzliche Sicherheit)
Alternativen wie Backblaze B2 oder Wasabi funktionieren auch mit rclone, aber für uns in Deutschland ist Hetzner preislich und rechtlich einfach die naheliegendste Wahl.
Das Konzept: Doppelte Verschlüsselung
Mein Setup hat zwei Schichten:
- Transport-Verschlüsselung: Die Verbindung zu Hetzner läuft über SFTP (SSH). Niemand kann die Daten unterwegs mitlesen.
- Datei-Verschlüsselung: rclone verschlüsselt jede Datei bevor sie hochgeladen wird (AES-256). Selbst Hetzner kann eure Daten nicht lesen. Auch die Dateinamen werden verschlüsselt.
Das bedeutet: Selbst wenn jemand Zugang zu eurer Storage Box bekommt, sieht er nur unlesbaren Datenmüll. Hetzner selbst übrigens auch – die haben keine Ahnung, was da liegt. Genau so will ich das.
Schritt 1: rclone auf Unraid installieren
rclone ist in den meisten Unraid-Versionen bereits vorinstalliert. Prüf das kurz über das Terminal:
1
rclone version
Falls nicht vorhanden, installier das NerdTools-Plugin über die Community Applications und aktivier dort rclone.
Schritt 2: SSH-Key erstellen
Wir authentifizieren uns bei Hetzner nicht mit einem Passwort, sondern mit einem SSH-Key. Das ist sicherer und ermöglicht automatische Backups ohne Passwort-Eingabe.
1
2
mkdir -p /boot/config/ssh
ssh-keygen -t ed25519 -f /boot/config/ssh/hetzner_box_key -N ""
Den öffentlichen Key musst du jetzt bei Hetzner hinterlegen:
1
cat /boot/config/ssh/hetzner_box_key.pub
Kopier die Ausgabe und füg sie im Hetzner Robot Panel unter deiner Storage Box → SSH-Keys ein.
Schritt 3: rclone konfigurieren
Du brauchst zwei “Remotes” in rclone: Einen für die SFTP-Verbindung und einen für die Verschlüsselung.
1
rclone config
Remote 1: SFTP-Verbindung
1
2
3
4
5
6
7
Name: hetzner
Type: sftp
Host: uXXXXXX.your-storagebox.de
User: uXXXXXX
Port: 23
Key file: /boot/config/ssh/hetzner_box_key
Shell type: none
(Deine Zugangsdaten findest du im Hetzner Robot Panel unter der Storage Box.)
Remote 2: Verschlüsselungs-Layer
1
2
3
4
5
6
Name: hetzner-crypt
Type: crypt
Remote: hetzner:backup
Filename encryption: standard
Directory name encryption: true
Password: (ein langes, sicheres Passwort eingeben)
⚠️ Dieses Passwort ist der Schlüssel zu euren Daten! Ohne dieses Passwort sind alle Backups auf Hetzner unwiederbringlich verloren. Ich meine das ernst: Speichert es in eurem Passwort-Manager, druckt es aus und legt den Zettel irgendwo hin, wo ihr ihn im Notfall findet.
Schritt 4: Testen
Prüf zuerst, ob die Verbindung steht:
1
rclone lsd hetzner:
Dann teste einen kleinen Upload mit Verschlüsselung:
1
2
echo "Backup-Test" > /tmp/testfile.txt
rclone copy /tmp/testfile.txt hetzner-crypt:test --progress
Kontrollier auf Hetzner, dass die Datei verschlüsselt angekommen ist:
1
2
3
4
5
# So sieht Hetzner die Datei (verschlüsselt):
rclone ls hetzner:backup
# So siehst du die Datei (entschlüsselt):
rclone ls hetzner-crypt:test
Schritt 5: Backup-Script erstellen
Jetzt bauen wir das eigentliche Backup-Script. Ich sichere folgende Daten:
| Was | Warum |
|---|---|
/boot/config | Unraid-Konfiguration (USB-Stick) |
/mnt/user/appdata | Alle Docker-Configs (AdGuard, Immich, UniFi etc.) |
/mnt/user/pictures | Familienfotos |
| Home Assistant VM | Das komplette Smart Home |
Erstell ein Script unter /boot/config/plugins/user.scripts/scripts/hetzner-backup/script:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#!/bin/bash
echo "=== Hetzner Backup gestartet: $(date) ==="
# Unraid Config
rclone sync /boot/config hetzner-crypt:flash-config --progress
# Docker App-Daten
rclone sync /mnt/user/appdata hetzner-crypt:appdata --progress
# Fotos
rclone sync /mnt/user/pictures hetzner-crypt:pictures --progress
# Home Assistant VM-Image
rclone copy /mnt/user/isos/haos_ova-14.2.qcow2 hetzner-crypt:ha-vm --progress
echo "=== Hetzner Backup abgeschlossen: $(date) ==="
Wichtig: Ich nutze rclone sync für die meisten Ordner (synchronisiert = löscht auf Hetzner, was lokal nicht mehr existiert). Für die HA-VM nutze ich rclone copy (kopiert nur, löscht nichts), weil ich dort auch ältere Versionen behalten möchte.
Schritt 6: Automatisierung per User Script
- In Unraid: Settings → User Scripts
- Neues Script anlegen: “hetzner-backup”
- Den Inhalt von oben einfügen
- Zeitplan setzen: z.B.
0 3 * * 0(jeden Sonntag um 3:00 Uhr nachts)
So sieht ein erfolgreicher Backup-Lauf im Unraid User Script Log aus
Wiederherstellung im Notfall
Falls der schlimmste Fall eintritt und du alles neu aufsetzen musst:
1
2
3
4
5
6
7
8
9
10
11
12
# rclone auf einem beliebigen Rechner installieren
# (macOS: brew install rclone, Linux: curl https://rclone.org/install.sh | sudo bash)
# Config anlegen (gleiche Zugangsdaten + gleiches Passwort wie oben)
rclone config
# Alles herunterladen
rclone copy hetzner-crypt: ./restore --progress
# Oder nur bestimmte Ordner
rclone copy hetzner-crypt:pictures ./pictures --progress
rclone copy hetzner-crypt:appdata ./appdata --progress
⚠️ Für die Wiederherstellung immer
rclone copynutzen, niemalsrclone sync! Sonst synchronisiert rclone den leeren lokalen Ordner nach Hetzner und löscht dort alles.
Fazit
Für ein paar Euro im Monat hast du ein vollautomatisches, verschlüsseltes Off-Site-Backup deines kompletten Unraid-Servers. Hetzner sieht nur verschlüsselten Datenmüll, die Übertragung läuft über SSH, und im Notfall kannst du von jedem Rechner der Welt deine Daten wiederherstellen. Einmal einrichten, nie wieder drüber nachdenken.
Klar, man hofft, dass man das Backup nie braucht. Aber wenn doch, ist man verdammt froh, dass es da ist.
Noch keinen Unraid-Server? In meinem Artikel Mini-PC vs. Raspberry Pi erkläre ich, warum sich der Umstieg lohnt. Und in Proxmox vs. TrueNAS vs. Unraid vergleiche ich die Betriebssysteme.