Wenn Sie Ihren Mac mit einem Netzwerklaufwerk verbinden und Time Machine zu sichern beginnt, arbeitet im Hintergrund ein ausgeklügeltes Protokoll, um diese Übertragung schnell, zuverlässig und sicher zu machen. Dieses Protokoll ist SMB3 — das Server Message Block Protokoll, Version 3 — und es ist die Grundlage, die Cloud-basierte Time Machine Backups möglich macht.

Sie müssen SMB3 nicht verstehen, um es zu nutzen (Ihr Mac erledigt alles automatisch), aber zu verstehen, wie es funktioniert, kann Ihnen helfen, die Sicherheit Ihrer Backups zu schätzen und fundierte Entscheidungen über Ihre Datenschutzstrategie zu treffen. Dieser Artikel erklärt SMB3 in praktischen Begriffen — was es tut, warum Apple es gewählt hat und wie es Ihre Backup-Daten sicher hält.

Was ist SMB?

SMB (Server Message Block) ist ein Netzwerk-Dateifreigabeprotokoll. Einfach gesagt: Es ist die Sprache, mit der Computer Dateien über ein Netzwerk teilen. Wenn Sie auf einen freigegebenen Ordner in Ihrem Büro-Netzwerk zugreifen, Dateien auf einem NAS (Network Attached Storage) durchsuchen oder sich mit einem Dateiserver verbinden, ist es fast sicher SMB, das diese Verbindung herstellt.

SMB wurde ursprünglich in den 1980er Jahren von IBM entwickelt und später von Microsoft erheblich erweitert. Trotz seines Ursprungs im Windows-Ökosystem ist SMB zu einem plattformübergreifenden Standard geworden. macOS, Linux und praktisch jedes Netzwerkspeichergerät unterstützen es.

Eine kurze Geschichte

  • SMB1 (1983–2006) — die Originalversion. Funktional, aber langsam und mit erheblichen Sicherheitslücken. Apple und Microsoft haben SMB1 wegen der Sicherheitsrisiken abgekündigt.
  • SMB2 (2006) — eine grosse Überarbeitung, die die Performance verbesserte, die Geschwätzigkeit reduzierte (weniger Netzwerk-Roundtrips) und besseres Fehlerhandling einführte. Eingeführt mit Windows Vista.
  • SMB3 (2012) — fügte Verschlüsselung hinzu, verbesserte die Performance über Weitverkehrsnetze und führte Funktionen ein, die für Cloud-Speicher unerlässlich sind. Diese Version wird vom modernen macOS für Netzwerk-Backups genutzt.
  • SMB 3.1.1 (2015) — die neueste Revision, fügt Pre-Authentication-Integritätsprüfungen hinzu und erfordert sichere Aushandlung. Unterstützt von macOS Catalina und neuer.

Warum Apple SMB3 für Time Machine Netzwerk-Backups nutzt

Apples Geschichte mit Netzwerk-Dateifreigabe ist interessant. Viele Jahre lang nutzte macOS sein eigenes Protokoll namens AFP (Apple Filing Protocol) für Netzwerk-Dateifreigabe und Time Machine Netzwerk-Backups. Die mittlerweile eingestellte Time Capsule nutzte AFP exklusiv.

Beginnend mit macOS Big Sur begann Apple den Übergang von Time Machine Netzwerk-Backups von AFP zu SMB3. Mit macOS Monterey wurde SMB3 zum bevorzugten Protokoll für Time Machine Netzwerk-Ziele. Es gab mehrere Gründe für diesen Wechsel:

1. Eingebaute Verschlüsselung

SMB3 enthält native Transportverschlüsselung mit AES-128-CCM oder AES-128-GCM. Das bedeutet, alle Daten, die zwischen Ihrem Mac und dem Backup-Server reisen, sind auf Protokollebene verschlüsselt — keine zusätzliche VPN- oder Verschlüsselungsschicht ist strikt notwendig (auch wenn das Hinzufügen einer solchen Verteidigung in der Tiefe bietet).

AFP unterstützte ebenfalls Verschlüsselung, doch SMB3s Implementierung ist moderner, besser getestet und breiter von der Sicherheitsgemeinschaft überprüft.

2. Bessere Performance über das Internet

SMB3 wurde mit Blick auf Weitverkehrsnetz-Performance entworfen. Es enthält Funktionen wie:

  • Multichannel-Unterstützung — Nutzung mehrerer Netzwerkverbindungen gleichzeitig für höheren Durchsatz
  • Grosse MTU-Unterstützung — grössere Datenpakete bedeuten weniger Roundtrips und bessere Effizienz
  • Verzeichnis-Leasing — Caching von Verzeichnislisten, um unnötigen Netzwerkverkehr zu reduzieren
  • Verbessertes Compounding — Bündelung mehrerer Operationen in einzelne Anfragen

Diese Funktionen sind besonders wichtig für Cloud-Backup, wo der Netzwerkpfad zwischen Ihrem Mac und dem Server mehrere Netzwerke durchqueren und höhere Latenz als eine lokale Verbindung haben kann.

3. Industriestandard

Mit der Einführung von SMB3 hat Apple sich an einem weit unterstützten Industriestandard ausgerichtet. Das bedeutet, Time Machine kann mit jedem SMB3-kompatiblen Server arbeiten — nicht nur mit Apple-Hardware. Es öffnete die Tür für Dienste wie Capsule Backup, Cloud-gehostete Time Machine Ziele bereitzustellen, ohne proprietäre Apple-Server-Software zu erfordern.

4. Widerstandsfähige Verbindungen

SMB3 führte transparentes Failover und persistente Handles ein. Wenn die Netzwerkverbindung kurz unterbrochen wird (Ihr WLAN bricht für einen Moment ab, Ihr Provider hat einen kurzen Aussetzer), kann SMB3 die Sitzung fortsetzen, ohne von vorne zu beginnen. Das ist kritisch für Backup-Operationen, die grosse Datenmengen über potenziell instabile Internetverbindungen übertragen können.

Wie SMB3-Verschlüsselung funktioniert

Das Verständnis der Verschlüsselung in SMB3 erfordert einen Blick auf zwei separate Phasen: Authentifizierung und Datenübertragung.

Authentifizierung

Wenn Ihr Mac sich mit einem SMB3-Server verbindet, muss er zuerst seine Identität nachweisen. SMB3 unterstützt mehrere Authentifizierungsmethoden:

  • NTLMv2 — ein Challenge-Response-Authentifizierungsprotokoll, das Ihr Passwort niemals über das Netzwerk sendet
  • Kerberos — ein ticketbasiertes Authentifizierungssystem, das in Unternehmensumgebungen genutzt wird

In beiden Fällen wird Ihr Passwort niemals im Klartext übertragen. Der Authentifizierungsprozess nutzt kryptografische Challenges und Responses, die beweisen, dass Sie das Passwort kennen, ohne es preiszugeben.

Transportverschlüsselung

Einmal authentifiziert, verschlüsselt SMB3 alle Daten in der Übertragung mit AES-128-CCM oder AES-128-GCM (mit SMB 3.1.1, das AES-256-CCM und AES-256-GCM unterstützt). Das bedeutet:

  • Jede Datei, die zwischen Ihrem Mac und dem Backup-Server übertragen wird, ist verschlüsselt
  • Jeder Befehl (Datei erstellen, Datei löschen, Verzeichnis lesen) ist verschlüsselt
  • Dateinamen, Metadaten und Verzeichnisstrukturen sind in der Übertragung verschlüsselt
  • Wer den Netzwerkverkehr abfängt, sieht nur verschlüsselte Daten

Das ist Transportschicht-Verschlüsselung — sie schützt Daten, während sie sich durch das Netzwerk bewegen. Es ist vergleichbar mit HTTPS für Web-Verkehr. Ihre Daten können von niemandem gelesen oder verändert werden, der sie zwischen Ihrem Mac und dem Server abfängt.

Die Unterscheidung: Transport vs. At-Rest-Verschlüsselung

SMB3-Verschlüsselung schützt Daten in der Übertragung. Für Daten im Ruhezustand (auf dem Backup-Server gespeichert) brauchen Sie eine zusätzliche Schicht: Time Machine Verschlüsselung.

Wenn Sie die Time Machine Verschlüsselung aktivieren (was wir für Cloud-Backups dringend empfehlen), verschlüsselt Time Machine das gesamte Backup-Image mit AES-XTS-128, bevor es zum Server gesendet wird. Das bedeutet, Ihre Backup-Daten sind auf der Festplatte des Servers verschlüsselt — selbst der Serveradministrator kann Ihre Dateien ohne Ihr Time Machine Verschlüsselungspasswort nicht lesen.

Mit beiden aktiven Schichten sind Ihre Daten:

  • Verschlüsselt auf Ihrem Mac (Time Machine Verschlüsselung)
  • Verschlüsselt während der Übertragung (SMB3 Transportverschlüsselung)
  • Verschlüsselt auf dem Server (Time Machine Verschlüsselung im Ruhezustand)

Für zusätzliche Sicherheitsoptionen einschliesslich VPN und IP-Whitelisting siehe unsere Sicherheitsseite.

SMB3 vs. andere Protokolle für Backup

SMB3 vs. AFP (Apple Filing Protocol)

AFP war Apples proprietäres Dateifreigabeprotokoll, das von Time Capsule und macOS Server genutzt wurde. Während AFP innerhalb des Apple-Ökosystems gut funktionierte, hatte es Einschränkungen:

  • Proprietär — begrenzte serverseitige Implementierungen
  • Weniger Sicherheitsüberprüfung durch die Community als SMB3
  • Apple hat AFP zugunsten von SMB offiziell abgekündigt
  • Wird nicht mehr aktiv weiterentwickelt

SMB3 ist der klare Nachfolger, und Apples Übergang dazu war ein positiver Schritt sowohl für Kompatibilität als auch für Sicherheit.

SMB3 vs. SFTP/SCP

SFTP und SCP sind sichere Dateiübertragungsprotokolle, die häufig in der Server-Administration genutzt werden. Sie bieten zwar starke Verschlüsselung, sind aber Dateiübertragungsprotokolle, keine Dateifreigabeprotokolle. Der Unterschied zählt:

  • SFTP/SCP übertragen Dateien — SMB3 stellt ein Dateisystem dar
  • Time Machine erfordert ein eingehängtes Dateisystem (ein Laufwerk, das in Finder erscheint)
  • SMB3 unterstützt die Random-Access-Muster, die Time Machine für inkrementelle Backups nutzt
  • SMB3 verwaltet Dateisperren, was für die Backup-Integrität essentiell ist

SMB3 vs. WebDAV

WebDAV ist ein Dateifreigabeprotokoll, das auf HTTP basiert. Während es über das Internet funktioniert und HTTPS-Verschlüsselung unterstützt, ist es für Backup-Operationen aufgrund seines HTTP-Overheads und fehlender Funktionen wie Compounding und Multichannel-Unterstützung deutlich langsamer als SMB3.

SMB3 vs. NFS

NFS (Network File System) wird in Linux/Unix-Umgebungen weit verbreitet genutzt. Während NFS4 Verschlüsselung über Kerberos unterstützt, wird es von macOS Time Machine nicht nativ unterstützt. SMB3 ist das Protokoll, das Apple für Time Machine Netzwerk-Backups gewählt hat — die einzig praktische Wahl für Cloud-basiertes Mac-Backup.

SMB3 in der Praxis: Wie Ihr Cloud-Backup funktioniert

Hier ist, was tatsächlich passiert, wenn Ihr Mac auf einen Cloud-SMB3-Server wie Capsule Backup sichert:

  1. Verbindungsaufbau: Ihr Mac initiiert eine SMB3-Verbindung zum Server. Die Protokollversion wird ausgehandelt (Ihr Mac und Server einigen sich auf die höchste gemeinsame Version).
  2. Authentifizierung: Ihre Anmeldedaten werden mit NTLMv2 Challenge-Response-Authentifizierung verifiziert. Ihr Passwort kreuzt nie das Netzwerk.
  3. Aktivierung der Verschlüsselung: SMB3 Transportverschlüsselung wird aktiviert. Alle nachfolgende Kommunikation ist verschlüsselt.
  4. Volume-Mount: Das Backup-Volume erscheint in Finder als eingebundenes Laufwerk. macOS behandelt es identisch zu einem lokalen Laufwerk.
  5. Time Machine Operation: Time Machine scannt Ihren Mac auf Änderungen seit dem letzten Backup, dann schreibt es nur die geänderten Dateien auf das eingebundene Volume. Die Time Machine Verschlüsselungsschicht verschlüsselt diese Daten, bevor sie SMB3 für den Transport erreichen.
  6. Abschluss: Time Machine zeichnet den Backup-Zeitstempel auf und ruht bis zum nächsten stündlichen Zyklus.

Der gesamte Prozess ist transparent. Sie sehen nie SMB3-Befehle, Verschlüsselungs-Handshakes oder Protokollverhandlungen. Sie sehen ein Laufwerk in Finder und einen „Letztes Backup"-Zeitstempel in Ihrer Menüleiste.

Performance-Überlegungen

SMB3 wurde für Performance entwickelt, aber die Backup-Geschwindigkeit über das Internet wird letztlich durch Ihre Netzwerkverbindung begrenzt. Hier sind die Faktoren, die die Cloud-Backup-Performance beeinflussen:

Ihre Internet-Upload-Geschwindigkeit

Das ist fast immer der Engpass. Capsule Backup Server sind über 1 Gbit/s Glasfaser ohne Bandbreitenlimits angebunden, sodass die Server-Seite selten der limitierende Faktor ist. Die Upload-Geschwindigkeit Ihres Providers bestimmt, wie schnell Daten von Ihrem Mac zum Server gelangen.

Netzwerklatenz

SMB3 ist dank Compounding und Pipelining weniger latenzempfindlich als ältere SMB-Versionen. Sehr hohe Latenz (>200ms) kann jedoch die Performance beeinträchtigen. Die Wahl einer Datenregion in Ihrer Nähe (Deutschland, Finnland oder USA) minimiert die Latenz.

Dateigrössenverteilung

Das Sichern vieler kleiner Dateien ist pro Megabyte langsamer als das Sichern weniger grosser Dateien, weil jede Datei einzelne Protokolloperationen erfordert. Time Machine mildert das ab, indem es Sparse Bundle Images nutzt, die kleine Änderungen bündeln.

Verschlüsselungs-Overhead

Der kombinierte Overhead von Time Machine Verschlüsselung und SMB3 Transportverschlüsselung ist auf moderner Mac-Hardware minimal. Apple Silicon Chips enthalten Hardware-AES-Beschleunigung, was Verschlüsselung aus Performance-Sicht praktisch kostenlos macht.

Sicherheits-Best-Practices für SMB3-Backups

Während SMB3 standardmässig starke Sicherheit bietet, sind hier zusätzliche Schritte zur Maximierung des Schutzes:

  1. Aktivieren Sie immer die Time Machine Verschlüsselung — das verschlüsselt Ihre Daten im Ruhezustand auf dem Server
  2. Nutzen Sie ein starkes Passwort sowohl für Ihr Backup-Konto als auch für die Time Machine Verschlüsselung
  3. Erwägen Sie VPN-Zugang — Capsule Backup enthält WireGuard- und OpenVPN-Unterstützung für eine zusätzliche Verschlüsselungsschicht
  4. Aktivieren Sie IP-Whitelisting — beschränken Sie den Zugriff auf Ihr Backup-Volume auf bestimmte IP-Adressen
  5. Speichern Sie Anmeldedaten sicher — speichern Sie Ihre SMB- und Time Machine Verschlüsselungspasswörter in einem Passwort-Manager, nicht nur im Schlüsselbund Ihres Macs (der verloren ginge, wenn Ihr Mac stirbt)

Das Fazit

SMB3 ist die technologische Grundlage, die Cloud Time Machine Backup praktisch, sicher und nahtlos macht. Seine eingebaute Verschlüsselung, widerstandsfähigen Verbindungen und hohe Performance über Weitverkehrsnetze bedeuten, dass Ihr Mac mit derselben Leichtigkeit und Sicherheit auf einen tausende Kilometer entfernten Server sichern kann wie auf eine lokale Festplatte.

Sie müssen nicht mehr über SMB3 nachdenken, als Sie über HTTPS nachdenken, wenn Sie im Web surfen. Es funktioniert einfach — verschlüsselt Ihre Daten, hält Ihre Verbindung aufrecht und sorgt dafür, dass Ihr Backup sicher ankommt. Und genau diese Zuverlässigkeit ist es, was Sie von dem Protokoll wollen, das Ihre wichtigsten Daten schützt.

Schritt-für-Schritt-Einrichtungsanweisungen finden Sie in unserer Einrichtungsanleitung. Mehr darüber, wie Capsule Backup SMB3 nutzt, finden Sie in unserem Funktionsüberblick.

Häufig gestellte Fragen

Ist die SMB3-Verschlüsselung stark genug für sensible Daten?

Ja. SMB3 nutzt AES-128- oder AES-256-Verschlüsselung für den Transport, denselben Verschlüsselungsstandard, den Regierungen und Finanzinstitute weltweit verwenden. Kombiniert mit der AES-XTS-128-Verschlüsselung von Time Machine für Daten im Ruhezustand sind Ihre Backup-Daten durch zwei unabhängige Verschlüsselungsschichten geschützt. Für zusätzliche Sicherheit bieten Dienste wie Capsule Backup auch VPN-Zugang und IP-Whitelisting.

Kann jemand meine Backup-Daten abfangen, während sie über das Internet reisen?

Die SMB3 Transportverschlüsselung verhindert, dass jemand, der Ihren Netzwerkverkehr abfängt, die Daten lesen oder verändern kann. Die gesamte Kommunikation zwischen Ihrem Mac und dem Backup-Server ist verschlüsselt, einschliesslich Dateiinhalten, Dateinamen und Protokollbefehlen. Selbst wenn jemand jedes Netzwerkpaket erfasste, würde er nur verschlüsselte Daten sehen. Dieser Schutz wird automatisch angewendet — es gibt nichts zu konfigurieren.

Funktioniert SMB3 über WLAN- und Mobilfunkverbindungen?

SMB3 funktioniert über jede TCP/IP-Netzwerkverbindung, einschliesslich WLAN, Ethernet und sogar Mobilfunk-Hotspots. Das widerstandsfähige Verbindungsmanagement des Protokolls bedeutet, dass es sich von kurzen Netzwerkunterbrechungen erholen kann, ohne das Backup zu unterbrechen. Für initiale grosse Backups wird jedoch eine stabile Kabel- oder starke WLAN-Verbindung für beste Performance empfohlen.

Warum hat Apple für Time Machine von AFP auf SMB3 umgestellt?

Apple wechselte von AFP zu SMB3 aus mehreren Gründen: SMB3 ist ein Industriestandard-Protokoll mit breiterer Kompatibilität, stärkerer und breiter überprüfter Verschlüsselung, besserer Performance über Internetverbindungen und aktiver fortlaufender Entwicklung. AFP war proprietär und wird nicht mehr aktiv weiterentwickelt. Der Wechsel ermöglicht Time Machine die Arbeit mit jedem SMB3-kompatiblen Server, nicht nur mit Apple-Hardware, was Cloud-basierte Backup-Dienste ermöglicht.

Brauche ich ein VPN, wenn SMB3 meine Daten bereits verschlüsselt?

SMB3-Verschlüsselung ist für die meisten Nutzer ausreichend — Ihre Daten sind ohne VPN vollständig in der Übertragung verschlüsselt. Ein VPN bietet jedoch Verteidigung in der Tiefe: Es verschlüsselt den gesamten Verkehr (nicht nur SMB3), verbirgt die Tatsache, dass Sie sich mit einem Backup-Dienst verbinden, und kann zusätzliche Authentifizierung bieten. Capsule Backup enthält WireGuard- und OpenVPN-Zugang ohne Aufpreis für Nutzer, die diese zusätzliche Schicht möchten. Es wird empfohlen, ist aber nicht erforderlich.

Capsule Backup steht in keiner Verbindung zu Apple Inc. und wird von Apple Inc. nicht unterstützt. Time Machine, macOS, Finder und Migration Assistant sind Marken von Apple Inc.