TrueNAS Cloud Sync: Offsite-Backup mit S3-kompatiblem Storage

Die 3-2-1 Backup-Regel verlangt mindestens eine Datenkopie an einem externen Standort. Doch viele KMU scheitern genau an diesem Punkt: Ein zweiter Standort ist teuer, manuelle Festplattenrotation unzuverlässig, und klassische Cloud-Backups kosten bei größeren Datenmengen schnell Hunderte Euro monatlich. TrueNAS Cloud Sync löst dieses Problem — mit automatischen, verschlüsselten Offsite-Backups zu S3-kompatiblen Speicheranbietern, direkt aus der TrueNAS-Weboberfläche konfiguriert.

Warum Offsite-Backups unverzichtbar sind

Lokale Backups schützen vor Hardware-Ausfällen und versehentlichem Löschen. Gegen Ransomware, Brand, Überschwemmung oder Diebstahl sind sie wirkungslos — alle Daten befinden sich am selben physischen Ort. Aktuelle Ransomware-Varianten suchen gezielt nach Netzlaufwerken und NAS-Shares, um auch Backup-Daten zu verschlüsseln.

Ein Offsite-Backup stellt sicher, dass mindestens eine Kopie Ihrer Daten physisch und logisch getrennt vom Produktivsystem existiert. Cloud Sync automatisiert diesen Prozess vollständig: Daten werden zeitgesteuert, verschlüsselt und bandbreitenschonend an einen externen S3-kompatiblen Speicher übertragen.

Cloud Sync vs. ZFS-Replikation: Wann was verwenden?

TrueNAS bietet zwei Wege für Offsite-Sicherungen. Die Wahl hängt vom Zielsystem und den Anforderungen ab:

Kriterium	Cloud Sync	ZFS-Replikation
Ziel	S3, Wasabi, Backblaze B2, MinIO	Zweites TrueNAS-System
Protokoll	S3 API (HTTPS)	ZFS Send/Receive (SSH)
Granularität	Dateibasiert	Blockbasiert (Snapshots)
Geschwindigkeit	Gut (Dateien einzeln)	Sehr schnell (nur geänderte Blöcke)
Ziel-Hardware	Kein eigenes System nötig	Eigener TrueNAS-Server erforderlich
Kosten	Ab ~6 €/TB/Monat	Hardware + Strom + Standort

Empfehlung: Wer bereits einen zweiten TrueNAS-Standort betreibt, nutzt ZFS-Replikation für maximale Geschwindigkeit und Konsistenz. Für alle anderen ist Cloud Sync die einfachste und kosteneffizienteste Lösung für Offsite-Backups.

S3-kompatible Anbieter im Vergleich

Nicht jeder S3-Anbieter passt zu jedem Anwendungsfall. Die wichtigsten Unterschiede auf einen Blick:

Anbieter	Speicherkosten/TB/Monat	Egress-Kosten	API-Kosten	Besonderheit
AWS S3 Standard	~23 €	0,09 €/GB	Ja	Volle Feature-Palette, aber teuer
AWS S3 Glacier	~4 €	0,09 €/GB	Ja	Günstig, aber langsame Wiederherstellung
Wasabi	~6 €	Kostenlos	Kostenlos	Kein Egress, min. 90 Tage Speicherdauer
Backblaze B2	~6 €	0,01 €/GB	Gering	Günstig, einfache Preisstruktur
MinIO (Self-Hosted)	Hardware-Kosten	Keine	Keine	Volle Kontrolle, eigene Infrastruktur

Für KMU mit 5–50 TB Offsite-Bedarf sind Wasabi und Backblaze B2 die wirtschaftlichsten Optionen. Wasabi punktet mit komplett kostenfreiem Egress — ein Vorteil, der sich beim Restore bemerkbar macht.

Cloud Credentials einrichten

Bevor Cloud Sync Tasks erstellt werden können, müssen die Zugangsdaten des S3-Anbieters in TrueNAS hinterlegt werden:

1. Credentials > Cloud Credentials > Add öffnen
2. Provider auswählen (z. B. „Amazon S3” oder „S3 Compatible” für Wasabi/MinIO)
3. Access Key ID und Secret Access Key des Anbieters eingeben
4. Bei S3-kompatiblen Anbietern den Endpoint angeben (z. B. s3.eu-central-1.wasabisys.com)
5. Verbindung mit Verify Credential testen
6. Speichern

Beim S3-Anbieter sollte vorab ein dedizierter Bucket erstellt werden — idealerweise mit aktiviertem Object Lock oder Versioning für zusätzlichen Ransomware-Schutz.

Cloud Sync Task erstellen

Unter Data Protection > Cloud Sync Tasks > Add wird der eigentliche Sync-Job konfiguriert:

Direction:        PUSH
Transfer Mode:    SYNC (oder COPY für reine Archivierung)
Credential:       [zuvor erstellte Cloud Credentials]
Bucket:           truenas-offsite-backup
Folder:           /server-name/
Directory:        /mnt/pool/dataset
Schedule:         Täglich 02:00 Uhr

Transfer-Modi erklärt:

• SYNC — Spiegelt den Quell-Ordner exakt ins Ziel. Gelöschte Dateien werden auch im Ziel entfernt. Ideal für aktuelle Offsite-Kopien.
• COPY — Kopiert nur neue und geänderte Dateien. Gelöschte Dateien bleiben im Ziel erhalten. Geeignet für Archivierung.
• MOVE — Verschiebt Dateien ins Ziel und entfernt sie lokal. Selten für Backup-Szenarien geeignet.

Verschlüsselung: Daten vor dem Upload schützen

TrueNAS Cloud Sync unterstützt clientseitige Verschlüsselung direkt im Task. Unter Advanced Options lässt sich die Verschlüsselung aktivieren:

• Encryption auf „Enabled” setzen
• Encryption Password vergeben und sicher dokumentieren
• Optional: Encryption Salt für zusätzliche Sicherheit

Die Daten werden vor dem Upload mit AES-256 verschlüsselt. Der Cloud-Anbieter sieht ausschließlich verschlüsselte Blöcke — selbst bei einem Datenleck beim Provider bleiben Ihre Daten geschützt. Ohne das Passwort ist eine Entschlüsselung praktisch unmöglich.

Wichtig: Bewahren Sie das Verschlüsselungspasswort getrennt vom TrueNAS-System auf. Geht es verloren, sind die Cloud-Daten unwiederbringlich.

Bandbreitenbegrenzung und Zeitsteuerung

Große Datenmengen können die Internetverbindung tagsüber spürbar belasten. Cloud Sync bietet zwei Maßnahmen:

• Bandwidth Limit im Task konfigurieren (z. B. 50M für 50 MBit/s) — so bleibt genügend Bandbreite für den Tagesbetrieb
• Schedule auf Nachtstunden legen (z. B. 22:00–06:00 Uhr), wenn die Leitung nicht produktiv genutzt wird

Beim initialen Upload großer Datenmengen empfiehlt es sich, die Bandbreitenbegrenzung vorübergehend aufzuheben und den Ersttransfer am Wochenende durchzuführen. Danach überträgt Cloud Sync nur noch geänderte Dateien — die tägliche Datenmenge sinkt drastisch.

Kostenbeispiel: 10 TB Offsite-Backup

Was kostet ein Offsite-Backup von 10 TB monatlich bei den gängigen Anbietern?

Anbieter	Speicher/Monat	Egress (1 TB Restore)	Gesamt/Monat	Gesamt/Jahr
AWS S3 Standard	230 €	90 € (einmalig)	230 €	2.760 €
Wasabi	60 €	0 €	60 €	720 €
Backblaze B2	60 €	10 € (einmalig)	60 €	720 €
MinIO (eigene HW)	~15 € (Strom)	0 €	~15 €	~180 €

Wasabi und Backblaze B2 kosten für 10 TB rund 720 Euro pro Jahr — ein Bruchteil dessen, was ein zweiter physischer Standort mit eigener Hardware kosten würde.

Restore: Daten wiederherstellen

Im Ernstfall muss die Wiederherstellung schnell und zuverlässig funktionieren. Zwei Wege stehen zur Verfügung:

Über TrueNAS Cloud Sync: Einen neuen Cloud Sync Task mit Direction: PULL erstellen, der die Daten vom S3-Bucket zurück auf das lokale Dataset schreibt. Bei verschlüsselten Backups muss das gleiche Passwort angegeben werden.

Über rclone (CLI): TrueNAS Cloud Sync basiert auf rclone. Bei einem Totalausfall des TrueNAS-Systems lassen sich die Daten mit rclone auf jedem beliebigen Linux-System wiederherstellen:

rclone copy --progress \
  --s3-provider=Wasabi \
  --s3-access-key-id=ACCESSKEY \
  --s3-secret-access-key=SECRETKEY \
  --s3-endpoint=s3.eu-central-1.wasabisys.com \
  :s3:truenas-offsite-backup/server-name/ /mnt/restore/

Tipp: Testen Sie den Restore-Prozess regelmäßig — mindestens einmal pro Quartal. Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos.

Monitoring mit DATAZONE Control

Cloud Sync Tasks laufen im Hintergrund — und genau das birgt Risiko. Fehlgeschlagene Tasks fallen oft erst auf, wenn Daten dringend benötigt werden. DATAZONE Control überwacht TrueNAS-Systeme zentral und erkennt Probleme frühzeitig:

• Task-Status prüfen — Fehlgeschlagene oder übersprungene Cloud Sync Tasks werden sofort als Alert gemeldet
• Speicherauslastung — Warnungen, wenn der lokale Pool oder der Cloud-Bucket Kapazitätsgrenzen erreicht
• Netzwerk-Monitoring — Bandbreitenauslastung während der Sync-Fenster überwachen
• Backup-Vollständigkeit — Überprüfung, ob alle konfigurierten Tasks im definierten Zeitraum erfolgreich liefen

So wird aus einem automatisierten Cloud Sync ein überwachter, zuverlässiger Bestandteil Ihrer Backup-Strategie.

---

Sie möchten TrueNAS Cloud Sync für Ihr Offsite-Backup einrichten? Kontaktieren Sie uns — wir beraten Sie bei der Auswahl des passenden S3-Anbieters und konfigurieren eine verschlüsselte, automatisierte Backup-Lösung für Ihre TrueNAS-Infrastruktur.