Wie kann ich Backups verschlüsseln bevor sie hochgeladen werden?

Ab Version 3.6 findest du in BackWPup Pro die Möglichkeit, deine Backups verschlüsselt zum Backup-Ziel hochzuladen – ein Feature für die Sicherheit deiner Daten und die deiner Kunden und User.
Und für alle diejenigen, die personenbezogene Daten in ihren Backups speichern und ihren Sitz in der EU haben bzw. Daten von Nutzern aus der EU in ihrer WordPress Installation vorliegen haben, ein Muss aufgrund der DSGVO-Regelung.

Was genau ist ein verschlüsseltes Backup und warum solltest du dieses Feature nutzen?

Wenn du ein Backup mit BackWPup oder einem anderen Backup Plugin erstellst, wird dieses in der Regel zu einem Backup-Ziel hochgeladen, beispielsweise auf deinen FTP Server, nach Google Drive oder zu anderen Cloud-Diensten.

Für den Fall, dass jemand Zugang zum Backup-Ziel bekommt, kann er die Daten, die sich in deinem Backup befinden, ohne Probleme lesen. Unverschlüsselte Backups sind eine Sicherheitslücke und bergen die Gefahr, dass deine Daten und die deiner Kunden und User in falsche Hände geraten.

Ein Backup verschlüsseln bedeutet, dass die Daten mittels eines Verschlüsselungs-Verfahrens unlesbar gemacht werden. Hierfür generierst du vor der Verschlüsselung erst einen Schlüssel (oder ein Schlüssel-Paar) und hebst ihn an einem sicheren Ort auf. Dieser wird in dem Verschlüsselungsalgorithmus benötigt, um die Daten unlesbar zu machen und ebenfalls für die Entschlüsselung der Daten. Nur wer im Besitz des Schlüssels ist, kann das Backup wieder lesbar machen.

Achtung: Verlierst du den Schlüssel, hast auch du keine Möglichkeit mehr an die Daten heranzukommen.

Verfahren für die Verschlüsselung

BackWPup stellt zwei Verfahren für die Verschlüsselung zur Verfügung: ein symmetrisches und ein asymmetrisches Verfahren.

Das symmetrische Verfahren arbeitet mit einem einzigen Schlüssel und basiert auf dem bekannten AES-256-Verfahren (Advanced Encryption Standard). Der Schlüssel zum Verschlüsseln und Entschlüsseln sind identisch.

Beim asymmetrischen Verfahren nutzen wir den  RSA-Algorithmus und das AES-Verfahren. Wir generieren einen zufälligen AES-256-Schlüssel, den wir zum Verschlüsseln der Daten verwenden. Zusätzlich findet eine Kodierung des AES-Schlüssels selbst mit dem RSA-Verfahren statt (hybrides Vorgehen).

Für das RSA-Verfahren wird ein Schlüssel-Paar benötigt bestehend aus einem öffentlichen (public key) und einem privaten Schlüssel (private key). Diese kannst du mit BackWPup Pro generieren. Den privaten Schlüssel musst du an einem sicheren Ort aufbewahren und kennst nur du.

Wenn du dich fragst, welche der beiden Methoden du verwenden solltest, hier die Vor- und Nachteile:

• Das symmetrische Verfahren ist einfacher zu handhaben, da wir den Schlüssel nach der Generierung in der Datenbank von BackWPup Pro speichern. Du musst dich nicht selbst um die Aufbewahrung des Schlüssels kümmern: Du kannst den Schlüsselwert kopieren und einfügen, der in BackWPup Pro → Einstellungen auf der Registerkarte Verschlüsselung verfügbar ist. Trotzdem empfehlen wir immer dringend, eine Kopie deines Schlüssels zu erstellen und aufzubewahren. Dein Backup ist sicher, solange die Datenbank deiner WordPress Installation nicht kompromittiert wird: Wenn deine Datenbank beschädigt ist, könntest du den Schlüssel verlieren und dein Backup nicht mehr entschlüsseln – es sei denn, du hast eine Kopie des Schlüssels. Nachdem der Schlüssel in deinem System generiert wurde, muss er also über den entsprechenden Button heruntergeladen werden, da sonst die Verschlüsselung nicht richtig aktiviert werden kann.
• Das asymmetrische Verfahren ist sicherer, da zwei Schlüssel benutzt werden. Einen davon besitzt nur du. Nachteil: du musst dich um die sichere Aufbewahrung des privaten RSA-Schlüssels kümmern. Wenn du ihn verlierst, kommst du nicht mehr an deine Daten heran. Auch in diesem Fall ist nach der Generierung der Download des privaten Schlüssels erforderlich.

Schlüssel für die Verschlüsselung generieren

Bevor du ein verschlüsseltes Backup mit BackWPup Pro erstellen kannst, musst du erst einmal den Schlüssel generieren:

1. Gehe zu BackWPup Pro → Einstellungen und dort auf den Tab Verschlüsselung.
2. Wähle das gewünschte Verfahren für die Verschlüsselung aus: symmetrisch oder asymmetrisch.
3. Klicke auf Generiere Schlüssel.
   • Beim symmetrischen Verfahren wird ein einziger Schlüssel generiert, der in BackWPup Pro gespeichert wird. Hebe ihn aber am besten auch noch an einem sicheren Ort auf.
   • Beim asymmetrischen Verfahren generiert BackWPup ein RSA-Schlüssel-Paar. Die beiden Schlüssel werden dir zum Herunterladen angeboten. Lade zumindest den privaten Schlüssel herunter. Klicke anschließend auf Nutze diese Schlüssel.
4. Klicke auf Änderungen speichern.

Backup bei der Erstellung verschlüsseln

Für jeden Backup-Job kannst du einzeln entscheiden, ob die Backups mit oder ohne Verschlüsselung erstellt werden sollen. Setze hierfür beim Anlegen oder Editieren eines Backup-Jobs den Haken bei Verschlüssele Archiv.

Wiederherstellen von verschlüsselten Backups

Ein Backup ist dafür da, um im Notfall deine Seite wiederherstellen zu können. Unser BackWPup Pro Restore Feature kann sowohl verschlüsselte als auch unverschlüsselte Backups wiederherstellen. Gehe hierbei wie in unserer BackWPup Restore-Anleitung beschrieben vor. 

Ein Backup wieder entschlüsseln

Für den Fall, dass du ein verschlüsseltes Backup entschlüsseln möchtest, lade es bitte über das Backend deiner WordPress Installation wie folgt herunter:

1. Gehe zu BackWPup Pro → Backups.
2. Fahre mit der Maus über das gewünschte Backup.
3. Klicke auf Herunterladen.
4. Das Backup wird hierbei entschlüsselt. Hast du die asymmetrische Methode zum Verschlüsseln gewählt, musst du deinen privaten RSA-Key in dem sich öffnenden Fenster angeben. Andernfalls musst du den symmetrischen Schlüssel eingeben.

Hinweis: zum Entschlüsseln des Backups benötigst du zwingend BackWPup Pro. Eine Entschlüsselung mit anderen Tools ist nicht möglich.