Die 3-2-1-Backup-Regel verlangt eine Kopie ausserhalb des Standorts — und genau hier scheitern viele KMU. Ein zweites NAS in einer Aussenstelle ist teuer, ein zweiter Standort gar nicht vorhanden. Cloud-Object-Storage ist die naheliegende Antwort, aber zwischen AWS S3, Azure Blob, Wasabi und Backblaze B2 ist die Kostenstruktur sehr unterschiedlich. Backblaze B2 hat sich für viele KMU als pragmatische Wahl etabliert: S3-kompatibel, transparent abgerechnet und mit TrueNAS Cloud Sync nativ integriert.
Dieser Artikel zeigt, wie ein Cloud-Sync-Task von TrueNAS zu Backblaze B2 sauber eingerichtet wird — inklusive Application-Key-Setup, Verschlüsselung und Bandbreitenmanagement. Konkrete Preise nennen wir bewusst nicht: B2 passt die Preise gelegentlich an, und wer im Quartal Tausende Euro Cloud-Budget verteilt, sollte auf der aktuellen Backblaze-B2-Preisseite nachschauen, nicht in einem Blogartikel.
Warum Backblaze B2 als Cloud-Sync-Ziel?
Backblaze B2 unterscheidet sich von AWS S3 in mehreren wichtigen Punkten:
- Einheitliche Preisstruktur für Storage, kein gestaffeltes Cold-/Hot-Modell
- Transparente Egress-Kosten mit kostenfreien Egress-Volumen aus der Cloudflare-Partnerschaft
- Vollständig S3-kompatible API seit 2020 — Tools, die S3 sprechen, sprechen B2
- Eigene B2-API zusätzlich vorhanden, von TrueNAS nativ unterstützt
- Object-Lock für Immutability — wichtig gegen Ransomware-Angriffe auf das Backup selbst
Im Vergleich zu Wasabi: B2 hat keine 90-Tage-Mindestaufbewahrung. Im Vergleich zu AWS: B2 ist deutlich günstiger pro GB für reine Backup-Ziele ohne hohen Egress. Im Vergleich zu MinIO: B2 ist Cloud-Service ohne eigene Hardware nötig.
Wann B2 nicht passt: Wenn die Daten täglich aus der Cloud zurückgelesen werden müssen (kein Backup-Szenario, sondern aktiver Storage), oder wenn EU-Datenresidenz strikt EU-only sein muss — B2 hat EU-Regionen, aber wer 100% deutsche Hoheit braucht, sollte einen deutschen Provider prüfen.
Voraussetzungen
- TrueNAS SCALE 24.04 oder neuer (Cloud-Sync-Funktion läuft auch auf älteren Versionen, aber neuere Releases haben mehr B2-Optionen)
- Backblaze-Account mit aktiviertem B2-Cloud-Storage
- Genug ausgehende Bandbreite — die erste Synchronisation lädt alle Daten hoch
- Eine durchdachte Auswahl: welche Datasets/Verzeichnisse gehören wirklich offsite?
Schritt 1: Bucket und Application-Key in Backblaze anlegen
In der Backblaze-Console:
-
Neuen Bucket erstellen unter B2 Cloud Storage -> Buckets -> Create a Bucket
- Name: weltweit eindeutig (z.B.
firma-truenas-offsite-prod) - Files in Bucket are: Private
- Default Encryption: Enable (SSE-B2, AES-256, Schlüssel von Backblaze verwaltet)
- Object Lock: Enable (Governance- oder Compliance-Mode, dazu unten mehr)
- Lifecycle Settings: nach Bedarf (z.B. alte Versionen nach 30 Tagen löschen)
- Name: weltweit eindeutig (z.B.
-
Application-Key erstellen unter Account -> Application Keys -> Add a New Application Key
- Name:
truenas-cloud-sync - Allow access to: nur dieser eine Bucket — nie ein Master-Key in TrueNAS
- Type of Access: Read and Write
- File name prefix: leer lassen
- Duration: kein Ablauf, wenn das Backup dauerhaft läuft (alternative: jährlich rotieren)
- Name:
-
keyID und applicationKey sofort kopieren — der applicationKey wird nur einmal angezeigt
Schritt 2: Cloud Credentials in TrueNAS hinterlegen
In TrueNAS unter System Settings -> Credentials -> Cloud Credentials -> Add:
- Name:
Backblaze B2 Offsite - Provider: Backblaze B2
- Key ID: aus Schritt 1
- Application Key: aus Schritt 1
Nach dem Speichern erscheint ein Verify Credential-Button — der prüft per kleinem API-Call, ob das Login funktioniert. Wenn nicht: Application-Key prüfen, ob Bucket-Berechtigung wirklich gesetzt ist.
Schritt 3: Cloud-Sync-Task konfigurieren
Unter Data Protection -> Cloud Sync Tasks -> Add:
| Feld | Wert |
|---|---|
| Description | ”Offsite Backup wichtige Datasets” |
| Direction | PUSH (von TrueNAS nach B2) |
| Transfer Mode | COPY (alternativ SYNC, dazu unten) |
| Path | /mnt/tank/wichtige-daten |
| Credential | Backblaze B2 Offsite (Schritt 2) |
| Bucket | wie in Schritt 1 |
| Folder | Pfad innerhalb des Buckets (z.B. /truenas-prod) |
| Schedule | Custom, z.B. täglich 22:00 |
| Take Snapshot | aktiviert — beim Start einen Snapshot ziehen und vom Snapshot sichern |
| Pre-Script / Post-Script | optional |
| Encryption | aktiviert (siehe unten) |
| Transfers | Anzahl paralleler Uploads (Default 4 ist meist OK) |
| Bandwidth Limit | siehe unten |
| Exclude | z.B. *.tmp, *.lock, Trash-Verzeichnisse |
Transfer Modes: COPY, SYNC oder MOVE?
| Mode | Verhalten | Wann verwenden |
|---|---|---|
| COPY | Lokale Dateien werden ergänzt in den Bucket; nichts wird gelöscht | typischer Backup-Modus |
| SYNC | Bucket spiegelt lokale Quelle; lokal gelöschte Dateien werden auch im Bucket gelöscht | wenn der Bucket exakter Spiegel sein muss |
| MOVE | Dateien werden hochgeladen und lokal gelöscht | Archivierung, nicht Backup |
Wichtige Warnung zu SYNC: Wenn Ransomware lokal alle Dateien verschlüsselt oder löscht und die Cloud-Sync-Task im Sync-Mode danach läuft, werden die Originale auch im Bucket überschrieben/gelöscht. Sync ist kein Backup gegen Ransomware — dafür braucht es zusätzlich Object-Lock + Versionierung.
Schritt 4: Object Lock — Immutability gegen Ransomware
Object Lock auf dem B2-Bucket ist die wichtigste Defensive gegen Ransomware, die das Cloud-Backup mitlöscht oder verschlüsselt. Zwei Modi:
- Governance Mode: Schutz lässt sich von berechtigten Admins überschreiben — sinnvoll für interne Disziplin, aber kompromittierte Admin-Accounts können Daten dennoch verändern
- Compliance Mode: Schutz lässt sich nicht vor Ablauf der Retention überschreiben — auch nicht von Backblaze selbst. Die robusteste Variante gegen Insider-Threats und Ransomware
Empfehlung: Compliance Mode mit Retention von z.B. 30 Tagen. In Verbindung mit Versionierung bedeutet das: Jede Datei-Version, die in den letzten 30 Tagen hochgeladen wurde, ist unveränderbar. Ransomware kann zwar neue (verschlüsselte) Versionen hochladen, aber die alten Versionen bleiben unangetastet — Restore möglich.
Schritt 5: Verschlüsselung — was wird wo verschlüsselt?
Drei Verschlüsselungsebenen, die nicht durcheinandergeraten dürfen:
- TLS während der Übertragung — von TrueNAS HTTPS zur B2-API. Immer an, nicht konfigurierbar.
- Server-Side Encryption (SSE-B2) — B2 verschlüsselt die Objekte auf der eigenen Storage mit B2-verwalteten Schlüsseln. Standardmässig empfehlenswert, kostenlos, transparent.
- Client-Side Encryption — TrueNAS verschlüsselt vor dem Upload mit einem Passwort, das nur in TrueNAS bekannt ist. Backblaze sieht nur verschlüsselte Daten.
Wann Client-Side-Encryption? Wenn die Compliance-Anforderung lautet “auch der Cloud-Provider darf die Daten nicht lesen können”. Nachteil: Beim Restore muss das Passwort verfügbar sein — Passwort-Verlust = Daten-Verlust. Wer Client-Side-Encryption aktiviert, muss das Passwort an zwei Stellen sicher hinterlegen (Passwort-Manager UND offline-Tresor).
In TrueNAS unter Cloud-Sync-Task: Remote Encryption -> Encrypt und ein starkes Passwort + Salt setzen. Passwörter ausserhalb von TrueNAS dokumentieren.
Bandbreitenmanagement
Die erste Synchronisation lädt alle ausgewählten Daten hoch. Bei 5 TB und 100 Mbit/s Upload sind das gut 5 Tage Dauer-Upload — das kann den normalen Internet-Anschluss blockieren.
TrueNAS bietet pro Task ein Bandwidth Limit, das nach Zeitfenstern unterschiedlich gesetzt werden kann:
| Zeitfenster | Bandwidth Limit |
|---|---|
| Mo-Fr 08:00-18:00 | 10 MB/s (= 80 Mbit/s) — Geschäftszeit, schonen |
| Mo-Fr 18:00-08:00 | unlimited — abends/nachts volle Bandbreite |
| Wochenende | unlimited |
Format in TrueNAS: 08:00,10M 18:00,off (auf der UI als “Bandwidth Schedule” eingebbar).
Tipp für die Initial-Synchronisation: Wenn die Datenmenge sehr gross ist (>10 TB), bietet Backblaze auch Backblaze Fireball an — ein vorgefertigtes Storage-Gerät, das physisch hin und her geschickt wird. Das ist meist nur ab grossen Volumina relevant; bei klassischen KMU-Datenmengen reicht die normale Initial-Upload-Phase über das Wochenende.
Restore-Strategie
Ein Backup ist nichts ohne getesteten Restore. Drei Szenarien:
1. Einzelne Datei-Wiederherstellung
In TrueNAS einen zweiten Cloud-Sync-Task anlegen (Direction PULL) und ein temporäres Restore-Verzeichnis als Ziel angeben. Alternativ direkt aus der B2-Web-Console eine Datei herunterladen.
2. Vollständige Wiederherstellung nach Standortverlust
Auf einem neuen TrueNAS-System die gleichen Cloud-Credentials hinterlegen, einen PULL-Task auf das neue Zielsystem anlegen. Bei Client-Side-Encryption das gleiche Passwort verwenden.
3. Restore-Test alle 6-12 Monate
Eine repräsentative Stichprobe (z.B. 100 Dateien aus verschiedenen Datasets) zurückspielen und auf Integrität prüfen. Wer den Restore-Test überspringt, hat kein verifiziertes Backup.
Monitoring und Alerting
Cloud-Sync-Tasks laufen autonom — aber ihre Erfolgsstatus müssen überwacht werden:
- In TrueNAS unter System Settings -> Email die Empfänger für Task-Failures konfigurieren
- TrueNAS-Alerts mit der eigenen Monitoring-Lösung verbinden (Webhook, Email-Forward)
- Mindestens monatlich den Bucket-Inhalt prüfen: Letzte Upload-Zeit, Gesamt-Grösse plausibel?
- Cloud-Sync-Job-Logs in TrueNAS regelmässig durchsehen
Best Practices Zusammenfassung
- Application-Key pro Task mit minimalen Rechten — nie der Master-Key
- Object Lock im Compliance Mode mit Retention nach RPO/RTO
- Versionierung im Bucket aktivieren — Ransomware-Schutz
- Verschlüsselung mindestens SSE-B2, bei Compliance-Anforderung zusätzlich Client-Side
- Bandbreitenfenster so setzen, dass Geschäftsbetrieb nicht leidet
- Snapshot vor Sync in TrueNAS aktivieren — konsistenter Quell-Stand
- Restore-Test mindestens jährlich, dokumentieren
Fazit
Backblaze B2 als TrueNAS-Cloud-Sync-Ziel ist ein praktischer Kompromiss aus Kosten, Bequemlichkeit und Robustheit. Die Einrichtung dauert eine knappe Stunde, die Initial-Synchronisation je nach Datenmenge ein bis mehrere Tage. Was bleibt, ist ein zweiter Datenort, der nicht im selben Brandabschnitt liegt — und das ist nach 3-2-1 nicht optional.
Wichtigste Designs-Entscheidung: Object Lock plus Versionierung aktivieren. Ohne diese beiden Features ist auch das Cloud-Backup ein potenzielles Ransomware-Opfer. Mit ihnen ist es eine echte zweite Verteidigungslinie.
Verwandte Artikel
Mehr zu diesen Themen:
Weitere Artikel
TrueNAS API mit Python: Eigene Reports automatisieren
TrueNAS WebSocket- und REST-API mit Python: API-Key generieren, Beispiele für Pool-Auslastung, Snapshot-Alter, SMART-Status. Konkretes Skript für 80%-Pool-Alert per E-Mail.
Notfallplan für KMU: Was tun bei Server-Totalausfall?
Konkreter 4-Phasen-Notfallplan für KMU bei Server-Totalausfall: Erkennen, Eindämmen, Wiederherstellen, Lernen. Checklisten, Rollen, Wiederherstellungs-Reihenfolge und RTO/RPO.
Cloud-Backup-Anbieter im Vergleich: B2, Storj, Wasabi, AWS
Backblaze B2, Storj, Wasabi und AWS S3 als S3-kompatible Backup-Targets im Vergleich. Bewertungskriterien für KMU: Preis, Egress, Geo-Redundanz, EU-Standort, Mindestlaufzeit — mit klarem Bezug zur 3-2-1-Regel.