Paperless-ngx Backups automatisieren: Kein Dokument zurücklassen

Uncategorized

Paperless-ngx Backups automatisieren: Kein Dokument darf verloren gehen

Es ist dieser eine Schweißausbruch um drei Uhr nachts: Was, wenn der Server crasht? Wenn die Festplatte stirbt? Wenn Ransomware Ihre Dokumentenarchivierung verschlüsselt? Bei Paperless-ngx als Herzstück der digitalen Aktenführung geht es nicht um irgendwelche Dateien – es sind Verträge, Rechnungen, Personalakten. Der Verlust wäre betrieblicher Infarkt. Doch viele Backup-Lösungen greifen hier zu kurz. Warum? Weil Paperless-ngx mehr ist als nur ein Haufen PDFs im Ordner.

Die drei Säulen des Paperless-ngx-Backups

Wer nur die /usr/share/paperless/media-Verzeichnisse sichert, macht bereits den Kardinalfehler. Paperless-ngx baut auf drei untrennbar verknüpften Komponenten auf:

1. Die Dokumente selbst: Ursprüngliche PDFs, Office-Dateien, Bilder – meist im media-Ordner. Aber Achtung: Bei Cloud-Speichern wie S3 oder Azure Blob Storage liegen sie extern.

2. Die PostgreSQL-Datenbank (oder seltener SQLite). Hier residieren die eigentlichen Superkräfte: OCR-Ergebnisse, Tags, Korrespondenten-Daten, Dokumententypen und die Logik Ihrer Archivierungsregeln. Ohne sie sind Ihre PDFs bloß digitale Schubladen voller unindexierter Blätter.

3. Die Konfiguration: docker-compose.yml, Umgebungsvariablen, Konsumierer-Einstellungen und benutzerdefinierte Skripte. Dieser oft übersehene Teil bestimmt, wie Paperless läuft – nicht nur dass es läuft.

Warum Automatisierung kein Luxus ist

Manuelle Backups? Ein Garant für menschliches Versagen. Vergesslichkeit, Urlaubsvertretungen oder schlicht der Zeitdruck im Admin-Alltag führen zu Backup-Lücken. Dabei zeigt sich: Die größte Gefahr für Dokumentenverluste ist nicht Hardwareversagen, sondern inkonsistente Prozesse. Automatisierte Backups lösen dieses Problem elegant – vorausgesetzt, man konzipiert sie richtig.

Der Teufel steckt im Konsistenzproblem

Stellen Sie sich vor: Sie sichern die Datenbank um 02:00 Uhr. Um 02:15 läuft ein großer Dokumentenimport. Sie sichern die Medien um 03:00 Uhr. Bei einem Crash um 02:30 hätten Sie eine Datenbank mit Verweisen auf Dokumente, die nie gesichert wurden. Chaos. Die Lösung? Transaktionssichere Backups durch:

  • Datenbank-Dumps während Wartungsfenstern (bei deaktivierten Konsumierern)
  • Atomare Snapshots auf Dateisystemebene (LVM, ZFS, Btrfs)
  • Container-Pausen bei Docker-basierten Installationen

Ein interessanter Aspekt: Paperless-ngx selbst bietet seit Version 2.x den Befehl document_exporter. Dieser exportiert Dokumente mit Metadaten in strukturierte Verzeichnisse – ideal für migrationssichere Second-Level-Backups, aber zu langsam für tägliche Vollbackups.

Praxis: Automatisierung mit Bordmitteln

Für Linux-Admins ist die Kombination aus Bash-Skripten und Cron der Klassiker. Hier ein robustes Grundgerüst für eine Docker-Installation:

#!/bin/bash
# Backup-Skript für Paperless-ngx (Docker)
BACKUP_DIR="/backup/paperless"
DATE=$(date +%Y%m%d_%H%M%S)

# Datenbank-Dump aus PostgreSQL-Container
docker exec paperless-db pg_dump -U paperless > $BACKUP_DIR/db_$DATE.sql

# Medienverzeichnis sichern (bind-mount vorausgesetzt)
tar -czf $BACKUP_DIR/media_$DATE.tar.gz /opt/paperless/media

# Konfiguration sichern
cp /opt/paperless/docker-compose.yml $BACKUP_DIR/compose_$DATE.yml
cp -r /opt/paperless/config $BACKUP_DIR/config_$DATE

Dieses Skript sichert zwar die Komponenten, hat aber Schwächen: Keine Konsistenzsicherung, keine Verschlüsselung, kein Löschen alter Backups. Ein professioneller Ansatz integriert:

Fortgeschrittene Mechanik

1. Vor-Backup-Hook: Kurzes Stoppen der Konsumierer via docker exec paperless-website manage consumer_control --disable verhindert Änderungen während des Dumps.

2. Deduplizierung mit BorgBackup: Statt täglicher Vollbackups sichert Borg nur Änderungen – platzsparend und versionsreich. Beispiel:

borg create --stats /backup/borg-repo::paperless-{now} /opt/paperless

3. Cloud-Integration: Rclone überträgt Backups verschlüsselt zu S3, Backblaze B2 oder Nextcloud. Entscheidend: Immutable Buckets nutzen, um Ransomware-Resistenz zu erhöhen.

4. E-Mail-Benachrichtigung: Ein simples mailx nach Erfolg oder Misserfolg gibt Admins Sicherheit – oder Alarm.

Die Docker-Falle und wie man sie umgeht

Docker vereinfacht Paperless-Installationen, erschwert aber Backups. Typische Fehler:

  • Volumes ohne Bind-Mounts: Wer Docker-Volumes nutzt, kann Dateien nicht direkt vom Host sichern. Lösung: docker run --rm -v paperless_media:/data alpine tar -czf /backup/media.tgz /data
  • Laufende Container-Dumps: docker commit erstellt Container-Images, aber keine transaktionssicheren Datenbankzustände. Finger weg!
  • Umgebungsvariablen vergessen: .env-Dateien gehören ins Backup – sonst startet die neue Instanz mit leeren Passwörtern.

Ein Praxistipp: Nutzen Sie Paperless-ngx‘ integrierte docker-compose.yml mit expliziten Bind-Mounts (nicht anonyme Volumes!). Das vereinfacht Host-Zugriffe massiv.

Wiederherstellung: Der unterschätzte Test

Backups ohne Restore-Test sind wie ein Feuerlöscher mit Verfallsdatum – man weiß nie, ob er funktioniert. Simulieren Sie mindestens quartalsweise:

  1. Neue VM oder isolierte Testumgebung aufsetzen
  2. PostgreSQL installieren und leere Datenbank erstellen
  3. Backup-Dump einspielen: psql -U paperless -d paperless < db_backup.sql
  4. Medienverzeichnis entpacken
  5. Paperless-ngx mit originaler docker-compose.yml starten

Nicht zuletzt hier zeigt sich: Dokumentenarchivierung lebt von Metadaten. Prüfen Sie ob Tags, Korrespondenten und Zuordnungen nach Restore intakt sind – nicht nur ob PDFs da sind.

Sicherheit: Backup ≠ Tresor

Backups sind doppeltes Schwert: Sie retten Daten, werden aber selbst zum Angriffsziel. Mindeststandards:

  • Verschlüsselung in Ruhe: Tools wie Borg oder Rclone mit Crypt bieten Ende-zu-Ende-Verschlüsselung. Kein "Optional"!
  • Prinzip der geringsten Rechte: Backup-Skripte benötigen nicht sudo. Nutzen Sie dedizierte Benutzer mit strikten Dateirechten.
  • Air-Gap-Strategie: Ein wöchentliches Offsite-Backup auf externe Festplatte, die danach physisch getrennt wird, schützt vor Netzwerkweiten Crypto-Trojanern.

Ein Warnhinweis: Cloud-Backups bei US-Anbietern können Rechtsrisiken für europäische Personaldokumente bergen. Prüfen Sie GDPR-Compliance!

Monitoring: Das stille Backup ist ein blindes Backup

Cron-Jobs scheitern leise. Ein Backup-Log ohne Eintrag ist meist kein gutes Zeichen. Implementieren Sie:

  • Exit-Code-Prüfungen im Skript ($? in Bash)
  • Größenprüfungen: Ein 50-Byte-Backup ist defekt
  • Integritätstests: Borg bietet check, bei SQL-Backups probeweises Anhängen mit pg_restore --list
  • Zentrales Log-Management (ELK-Stack, Grafana Loki) mit Alerting

Tools wie Nagios oder Icinga können Borg-Repositories auf Freshness prüfen – ein Backup älter als 24h? Critical Alert!

Langfristarchivierung: PDF/A und Co.

Backups sichern Daten, doch wie steht es um deren langfristige Lesbarkeit? Paperless-ngx' OCR wandelt Scans in durchsuchbare PDFs, aber:

  • Standard-PDFs sind kein Archivformat. Nutzen Sie den PAPERLESS_OCR_OUTPUT_TYPE=pdfa Parameter für PDF/A-Erstellung
  • Metadaten in JSON zusätzlich zum Datenbank-Dump sichern (via document_exporter)
  • Prüfen Sie regelmäßig Backups auf Bitrot mit Checksummen (z.B. mit PAR2)

Hier trifft Betriebssicherheit auf Compliance: Revisionssichere Archivierung verlangt oft Write-Once-Read-Many (WORM)-Speicher. Lösungen wie AWS Glacier Vault Lock oder spezialisierte S3-Buckets können hier in die Backup-Kette integriert werden.

Fazit: Kein Dokument zurücklassen

Die Automatisierung von Paperless-ngx-Backups ist kein Hexenwerk – wohl aber eine Frage der Sorgfalt. Es geht nicht um bloße Datensicherung, sondern um den Erhalt operativer Handlungsfähigkeit. Ein durchdachtes Backup-Konzept berücksichtigt die DMS-Spezifika: die untrennbare Einheit aus Dokument, Index und Kontext.

Investieren Sie die Zeit einmalig in robuste Skripte und Tests. Denn der wahre Wert eines Backups zeigt sich nicht beim Backup, sondern beim Restore. Und der findet nie statt, wenn man gerade entspannt im Büro sitzt.

PS: Vergessen Sie nicht, Ihr Backup-Skript selbst zu versionieren und – natürlich – zu sichern. Ironie des Schicksals wäre es, ausgerechnet dieses Skript bei einem Crash zu vermissen.