Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.
BACKUP-HAMMER! Wenn du Home Assistant zuhause laufen hast und deine Backups für selbstverständlich hältst – STOPP! Mit Version 2026.4 hat Nabu Casa die Verschlüsselung der Backups komplett neu gemacht: Argon2id als Key-Derivation, XChaCha20-Poly1305 als Authenticated Encryption. UNGLAUBLICH, was für ein Sprung das ist.
Raspberry Pi 5 (ASIN: B0CK2FCG1K)SCHOCK: Was war an der ALTEN Verschlüsselung kaputt?
Bisher hat Home Assistant Backups mit einer eher klassischen, aber inzwischen angreifbaren Methode geschützt: SHA256-basierte KDF mit relativ wenigen Iterationen. Das hieß: Wer ein Backup-File in die Finger bekam, konnte mit moderner GPU-Hardware Brute-Force auf das Passwort fahren. Bei einem typischen Smart-Home-Backup mit Codes für Schlösser, Kameras, Alarmanlagen ist das eine tickende Zeitbombe.
Mit 2026.4 ist das Geschichte. Argon2id ist der Gewinner des Password Hashing Competition und memory-hard: Selbst die fetteste GPU-Farm kann den Hash nicht effektiv parallelisieren.
UNGLAUBLICH: Was macht Argon2id BESSER?
Drei Dinge:
- Memory-hard: braucht zusätzlich zur Rechenzeit auch viel RAM – das nervt Brute-Force-Hardware massiv.
- Side-Channel-resistent: die id-Variante kombiniert Argon2i und Argon2d und ist robust gegen Timing-Angriffe.
- Industriestandard: RFC 9106. Cloudflare, OpenSSH und 1Password nutzen es seit Jahren.
Dazu kommt XChaCha20-Poly1305 über die libsodium secretstream-API. Das ist die gleiche Krypto-Suite, die Signal und WireGuard nutzen. State of the Art – pur.
GEFAHR! Was musst DU tun?
Die gute Nachricht: Es passiert automatisch. Sobald du auf Home Assistant 2026.4 updatest und ein neues Backup erzeugst, wird es bereits mit Argon2id und XChaCha20 verschlüsselt. Keine extra Konfiguration. Keine Migration. Alte Backups bleiben mit der alten Verschlüsselung lesbar – du kannst sie wiederherstellen wie immer.
ABER: Wer wirklich alles dichtmachen will, ersetzt seine alten Backups Zug um Zug:
- 2026.4 installieren – entweder OS-Update oder Container-Pull.
- Frisches Backup manuell anlegen.
- Backup verifizieren mit einem Wiederherstellungs-Test.
- Alte Backups sicher löschen, wenn die Daten das Ende ihrer Schonzeit erreicht haben.
- Cloud-Backup bei Nabu Casa prüfen – das wird automatisch mit-migriert.
So testest du in 5 MINUTEN, dass alles läuft!
- Im Web-UI: Einstellungen → System → Backups → Backup erstellen.
- Backup runterladen, in einem Test-Container eine frische HA-Instanz starten.
- Backup einspielen.
- Läuft alles? Gut. Alte Backups archivieren oder löschen.
Nicht vergessen: Schreib das Backup-Passwort in deinen Passwort-Manager. Verlierst du es, ist das Backup mit Argon2id PRAKTISCH UNKNACKBAR. Das ist gewollt.
EXTRA-TIPP: Backup auf eigenes Blech schieben
Wenn du sowieso einen Raspberry Pi 5* oder eine kleine NAS hast, schick deine HA-Backups dorthin. Mit Argon2id verschlüsselt landet das auch ohne Cloud-Vertrauen auf einer Festplatte, die DU kontrollierst. Optimal: Pi 5 + externe SSD im Schrank, Pull-Backup über rsync oder borg.
FAZIT: Smart Home wird KRYPTOGRAFISCH erwachsen!
Mit 2026.4 wird Home Assistant ernst genommen wie ein professionelles Tool. Wer Smart-Home-Daten schützt, schützt mehr als nur ein Hobby – das sind Türcodes, Routinen, Anwesenheit. JETZT updaten, frisches Backup ziehen, Passwort sichern. Schon hast du eine der besten KDF-Strecken der Welt bei dir auf der NAS liegen.
Quellen: home-assistant.io blog: Modernizing encryption, Home Assistant 2026.4 Changelog.