Verschlüsselung (Encryption)
Maximale Sicherheit für Ihre sensiblen Daten.
Die Verschlüsselung Ihrer Backups ist ein entscheidender Schritt, um Ihr Unternehmen vor Datenlecks und unbefugtem Zugriff zu schützen. Das EcomSec Backup Professional Plugin verwendet AES-256-CBC, einen militärischen Verschlüsselungsstandard, um Ihre Backups zu sichern.
Warum ist Verschlüsselung so wichtig?
Aus Sicht der IT-Sicherheit sollten Backups immer verschlüsselt werden. Ein unverschlüsseltes Backup ist ein enormes Sicherheitsrisiko:
- Datendiebstahl: Bei einem Server-Einbruch können Angreifer unverschlüsselte Backups stehlen und auf sensible Kundendaten (Namen, Adressen, Bestellungen) zugreifen.
- DSGVO-Verstöße: Die Speicherung unverschlüsselter personenbezogener Daten kann zu hohen Bußgeldern führen.
- Wettbewerbsspionage: Konkurrenten könnten an Ihre Verkaufsdaten, Kundenlisten und Geschäftsgeheimnisse gelangen.
Fazit: Verschlüsselung ist keine Option, sondern eine Notwendigkeit für jedes verantwortungsbewusste Unternehmen.
Verschlüsselung einrichten
- Gehen Sie zu EcomSec Backup > Encryption.
- Generieren Sie einen neuen Encryption Key. Ein starker, zufälliger Key wird für Sie erstellt.
- Aktivieren Sie die Verschlüsselung mit dem Schalter "Enable Encryption".
- Speichern Sie die Einstellungen.
Ab sofort werden alle neuen Backups automatisch mit diesem Key verschlüsselt.
Key Management - Ihr digitaler Tresorschlüssel
Der Encryption Key ist der einzige Schlüssel, der Ihre Backups entschlüsseln kann. Behandeln Sie ihn wie einen physischen Tresorschlüssel.
⚠️ Den Encryption Key sicher aufbewahren
Wenn Sie den Key verlieren, sind Ihre verschlüsselten Backups ** unwiderruflich verloren!** Es gibt keine Hintertür und keine Möglichkeit, den Key wiederherzustellen.
Best Practices:
- Key herunterladen: Klicken Sie auf "Download Key". Dies ist entscheidend, falls Ihr Shop komplett zerstört wird und Sie keinen Zugriff mehr auf die Admin-Oberfläche haben.
- Passwort-Manager: Speichern Sie den Key in einem sicheren Passwort-Manager (z.B. 1Password, Bitwarden).
- Physische Kopie: Notieren Sie den Key auf Papier und bewahren Sie ihn an einem sicheren Ort auf (z.B. einem Safe).
- NIEMALS teilen: Geben Sie den Key niemals an Dritte weiter oder speichern Sie ihn in unsicheren Orten wie E-Mails oder Textdateien auf Ihrem Desktop.
Kann ich den Key ändern?
Ja, aber beachten Sie:
- Alte Backups, die mit dem alten Key erstellt wurden, können mit dem neuen Key nicht entschlüsselt werden.
- Sie müssen den alten Key aufbewahren, um alte Backups wiederherstellen zu können.
Ändern Sie den Key nur, wenn es absolut notwendig ist (z.B. bei einem Sicherheitsvorfall).
Notfall-Entschlüsselung (Standalone Decrypt Script)
Was passiert, wenn Ihr gesamter Shop zerstört ist und Sie nur noch die verschlüsselte Backup-Datei haben?
Für diesen Fall bieten wir ein Standalone Decrypt Script an. Mit diesem PHP-Skript können Sie ein Backup manuell auf jedem System entschlüsseln, das PHP und OpenSSL installiert hat.
Anwendung:
- Laden Sie das
decrypt.php-Skript von unserem GitHub Repository herunter. - Legen Sie das Skript, die verschlüsselte Backup-Datei (
.tar.gz.enc) und Ihren Encryption Key in dasselbe Verzeichnis. - Führen Sie das Skript im Terminal aus:
php decrypt.php backup.tar.gz.enc your_encryption_key_hereDas Skript entschlüsselt die Datei zu backup.tar.gz, die Sie dann manuell wiederherstellen können.
Dieses Skript stellt sicher, dass Sie immer die Kontrolle über Ihre Daten behalten, selbst wenn das Plugin oder der gesamte Shop nicht mehr zugänglich ist.
Siehe auch:
Technische Details der Verschlüsselung
Für maximale Sicherheit und Performance verwendet das EcomSec Backup Professional Plugin modernste kryptographische Verfahren. Hier sind die technischen Details:
| Eigenschaft | Implementierung | Beschreibung |
|---|---|---|
| Algorithmus | XChaCha20-Poly1305 AEAD | Ein moderner, hochsicherer Verschlüsselungsalgorithmus, der für seine Geschwindigkeit und Sicherheit bekannt ist. Er ist eine Weiterentwicklung von ChaCha20-Poly1305 und bietet eine höhere Sicherheit gegen Nonce-Missbrauch. [1] |
| Key-Länge | 256 Bit | Entspricht dem höchsten Sicherheitsstandard und ist resistent gegen Brute-Force-Angriffe. |
| Nonce (Number used once) | 192 Bit (24 Bytes) | Eine zufällig generierte, einmalige Nummer, die für jede Verschlüsselungsoperation neu erstellt wird. Dies stellt sicher, dass identische Daten bei jeder Verschlüsselung zu einem anderen Chiffretext führen. |
| AEAD (Authenticated Encryption with Associated Data) | Ja | AEAD stellt sicher, dass die verschlüsselten Daten nicht nur vertraulich, sondern auch authentisch und integritätsgeschützt sind. Das bedeutet, dass jegliche Manipulation der verschlüsselten Daten sofort erkannt wird. [2] |
| Implementierung | libsodium | Verwendet die weit verbreitete und hoch angesehene kryptographische Bibliothek libsodium, die als Goldstandard für moderne Kryptographie gilt. [3] |
Warum XChaCha20-Poly1305 statt AES?
Obwohl AES ein bewährter Standard ist, bietet XChaCha20-Poly1305 einige Vorteile, insbesondere in modernen Web-Anwendungen:
- Performance: XChaCha20 ist in Software-Implementierungen oft schneller als AES, was zu einer geringeren Serverlast während des Backup-Prozesses führt.
- Sicherheit: Es ist resistenter gegen bestimmte Arten von Angriffen (z.B. Timing-Angriffe) und einfacher sicher zu implementieren.
- Nonce-Größe: Die größere Nonce (192 Bit) macht es statistisch unmöglich, dass dieselbe Nonce bei zufälliger Generierung zweimal verwendet wird, was die Sicherheit erheblich erhöht.
Durch die Verwendung von XChaCha20-Poly1305 stellt das EcomSec Backup Professional Plugin sicher, dass Ihre Backups mit einem der modernsten und sichersten verfügbaren Algorithmen geschützt sind.
Referenzen
[1] IETF RFC 8439: ChaCha20 and Poly1305 for IETF Protocols [2] Wikipedia: Authenticated encryption [3] libsodium Documentation