Andr\u00e9 Heiner GenAI & LLM Expert Logo
André Heiner — Disaster Recovery für KI-Automatisierung: Backup, Secrets, PC-unabhängig (heiner.io KI-Labor)
KI-InfrastrukturAktualisiert: 19. Juni 2026

Backup, Secrets & Disaster Recovery: deinen KI-/Automatisierungs-Stack ausfallsicher machen

Kurz gesagt

Disaster Recovery für einen KI-/Automatisierungs-Stack heißt: Code, Konfiguration und Secrets sind so gesichert, dass ein Festplatten-Crash oder Rechnerwechsel keine Arbeitsfähigkeit kostet. Das gelingt mit drei entkoppelten Schichten — der Code in privaten Git-Repos, die Secrets (.env, API-Keys, Tokens) age-verschlüsselt in einem separaten Vault-Repo, und die Betriebs-Credentials im Credential-Store der Plattform (z. B. n8n-Cloud, also gar nicht lokal). Entscheidend: Secrets gehören nie im Klartext ins Git; ein einziger Schlüssel im Passwort-Manager plus Offline-Kopie entschlüsselt das Backup. Ein neuer Rechner ist so in Minuten wieder voll arbeitsfähig.

Im EinsatzageGitHubn8nCloudflare R2

Was es bringt

01

Ein Festplatten-Crash kostet keine Arbeitsfähigkeit mehr: Code, Konfiguration und Secrets liegen verschlüsselt off-machine, ein neuer Rechner ist in Minuten wieder produktiv statt nach Tagen.

02

Secrets liegen nie im Klartext im Repo: API-Keys und Tokens werden mit age verschlüsselt; nur ein einziger Master-Schlüssel — im Passwort-Manager plus Offline-Kopie — entschlüsselt das gesamte Backup.

03

Die Betriebs-Credentials der Automatisierung liegen im Credential-Store der Plattform (z. B. n8n-Cloud), nicht auf dem PC — die laufenden Workflows überleben einen Rechner-Ausfall ohnehin.

04

Alles ist versioniert und dokumentiert: Ein Team oder Kunde kann den Stack ohne Wissensverlust übernehmen — die Voraussetzung für eine saubere Projekt-Übergabe.

Das Problem — und die Lösung

Problem

Ein einzelner Rechner ist ein Single Point of Failure: Crasht die Festplatte oder steht ein Rechnerwechsel an, sind Konfiguration und vor allem die verstreuten Secrets (.env-Dateien, API-Keys, Tokens) weg — und ohne sie ist man trotz Code-Backup praktisch arbeitsunfähig. Secrets einfach ins Git zu legen wäre ein Leak-Risiko, selbst in privaten Repos.

Lösung

Ein Drei-Schichten-Backup: Code in privaten Git-Repos, Secrets als age-verschlüsseltes Bündel in einem eigenen Vault-Repo (nur Ciphertext), Betriebs-Credentials im Plattform-Credential-Store. Ein einziger age-Schlüssel im Passwort-Manager plus Offline-Kopie macht alles wiederherstellbar — per Restore-Skript in Minuten.

3

entkoppelte Backup-Schichten (Code, Secrets, Operationen) — alle off-machine und privat

heiner.io (eigenes Setup) (19.6.2026)

Das Backup-Modell
Drei-Schichten-Backup: Code (private Git-Repos), Secrets (age-verschlüsselt im Vault-Repo), Operationen (n8n Credential-Store)
Drei entkoppelte Schichten — alle off-machine, Secrets nur verschlüsselt.

Aus der Praxis

verifiziert

Kompletten Arbeitsstand PC-unabhängig gesichert: Code in privaten GitHub-Repos, der Konfigurations-Layer in einem eigenen Repo und alle lokalen Secrets (.env, Tokens, MCP-Config) als age-verschlüsseltes Bündel in einem separaten, privaten Vault-Repo — entschlüsselbar mit genau einem Schlüssel aus dem Passwort-Manager.

verifiziert

Restore skriptbar gemacht: auf einem neuen Rechner age installieren, den Schlüssel aus dem Passwort-Manager holen, das Vault-Repo klonen — ein Restore-Skript legt alle Secrets automatisch an ihre Original-Pfade zurück.

Häufige Fragen

+Wie sichere ich API-Keys und Secrets richtig?

Verschlüsselt und getrennt vom Code. Lege Secrets nie im Klartext in ein Repo — auch nicht in ein privates. Bewährt: die .env-Dateien mit age verschlüsseln und nur den Ciphertext versionieren; der private Schlüssel liegt im Passwort-Manager plus einer Offline-Kopie. So ist alles gesichert, aber nichts im Klartext auffindbar.

+Gehören .env-Dateien ins Git-Repo?

Nein, nicht im Klartext — .env gehört in die .gitignore. Wenn du Secrets fürs Backup oder eine Übergabe versionieren willst, verschlüssle sie vorher mit age oder SOPS und committe nur die verschlüsselte Datei. Den Schlüssel selbst bewahrst du außerhalb des Repos auf.

+Wie mache ich meinen Dev-Stack PC-unabhängig?

Mit drei Backups: Code in privaten Git-Repos, Secrets age-verschlüsselt in einem Vault-Repo, und Betriebs-Credentials im Credential-Store deiner Plattform (z. B. n8n-Cloud). Auf einem neuen Rechner klonst du die Repos, holst den einen Schlüssel aus dem Passwort-Manager und spielst die Secrets per Restore-Skript zurück.

+Was ist age und warum nicht einfach ein ZIP mit Passwort?

age ist ein modernes, schlankes Verschlüsselungswerkzeug (ein Schlüsselpaar, ein Befehl). Anders als ein ZIP-Passwort ist es für genau diesen Zweck gebaut: stark, skriptbar und in Git-Workflows einsetzbar (auch als Backend von SOPS). Du verschlüsselst mit dem öffentlichen Schlüssel, entschlüsselst mit dem privaten — der nie ins Repo gehört.

+Wie schnell bin ich nach einem Festplatten-Crash wieder arbeitsfähig?

In Minuten, wenn das Backup steht: neuen Rechner aufsetzen, Git-Repos klonen, den age-Schlüssel aus dem Passwort-Manager holen, Restore-Skript laufen lassen — Secrets und Konfiguration sind zurück. Laufende Automatisierungen (z. B. in der n8n-Cloud) arbeiten ohnehin unabhängig vom PC weiter.

André Heiner — AI Engineer & KI-Berater, Rhein-Main

Passt das zu deinem Vorhaben?

André Heiner— GenAI & LLM Expert aus Wiesbaden, tätig im Rhein-Main-Gebiet. Agentic AI, RAG, Workflow-Automatisierung und KI in den Produktivbetrieb. Mehr im KI-Labor.

Kontakt aufnehmen

Weiter im KI-Labor