Dass VeraCrypt nicht gegen einen Miner hilft ist mir klar.
Aber man weiß ja nicht, was noch in Zukunft kommt. Da es ja scheinbar doch on-the-fly-Verschlüsselung ist... sehen die Daten für mich also normal aus, sind aber verschlüsselt und wenn ich sie nutze werden sie entschlüsselt. Rein theoretisch könnte mir also jemand die Daten klauen und ohne mein Passwort oder die Schlüsseldatei nix damit anfangen. Ist das richtig?

Nur darum geht es mir. Denn wie gesagt. Man weiß nicht was in Zukunft noch kommt.

..."Ist ja nicht on the fly. Man entschlüsselt den Container einmal, bindet ihn ein und am Ende verschlüsselt man wieder alles.
Während der Nutzung sind die Daten also unverschlüsselt."...

?wie kommst du darauf?
- klar arbeitet VeraCrypt "OnTheFly" wenn du einen Container als Laufwerk einbindest!
- man kann mit einem 100GB CryptoContainer problemlos arbeiten, wenn im Hauptsystem nur noch 10GB HDD frei... da wird also 100% nicht alles erst dekodiert
(es ist ja kein WinRar, wo es alles decodiert/entpackt und erst zum Schluss wieder codiert/gepackt wird)


CryptoContainer(VeraCrypt,...) sind im Falle von HW-Defekten oder Schädlingen sogar viel gefährlicher als zig kleine Dateien... denn wenn durch HW-Error oder hier ein Verschlüsselungstrojaner nur 1x 1000..400Bytes binnen Millisekunden verändert ist der kommplette Container WERTLOS.
Bei vielen kleinen Dateien dauer das viel länger und fällt eher auf und zerstötz nicht sofort alles

Also wer Angst vor Datenverlust hat DARF KEINE CryptoContainer im Alltagseinsatz verwenden.
Da hilft z.B. ein externes NAS mit einem speziellem Filesystem, was alle Schreibzugriffe pro Datei loggt und so stets per Tools alle "Versionen" über Zeit X verfügbar/wiederherstellbar hält

bei CryptoContainern klaut niemand den Container... da warten alle bis du den mal eingebunden hast und dann klauen sie dir einzelne Dateien daraus... das macht selbst der BundesTrojaner so

Also solange du dein EW-System mit dem INET verbunden hast bleibt es per se so unsicher wie bisher... beseitge lieber die Gründe warum/wie/wo so ein böses Tool aktiv auf dein System kommen konnte!

Gibt es bereits. Habe ein extra NAS mit EXT4-Festplatten drin. Eine Festplatte davon ist bei Windows eingebunden. Der Rest dient nur als Backup der ersten Festplatte (manuelles rsync).

Kann man solchen Trojanern, Crypter-Trojanern usw denn nicht den Zugriff auf meine Netzfreigabe im Arbeitsplatz verbieten?

Was Crypto-Trojaner angeht. Wenn ich doch eh 2 Backups meiner Daten, in dem Fall dem Container, habe, bin ich dann nicht auf der sicheren Seite, selbst wenn einer davon verschlüsselt werden sollte?

..."Kann man solchen Trojanern, Crypter-Trojanern usw denn nicht den Zugriff auf meine Netzfreigabe im Arbeitsplatz verbieten?"...

NEIN, die einzige Sicherheit ist physische Trennung, also im einfachstem Fall mehrere externe USB-Festplatten, wo rollierend immer nur eine zum Backup angesteckt wird
(und wenn was passiert ist, man die letzte gute Kopie NIEMALS direkt zum Restore verwendet, sondern immer diese Platte erst an einem dritten Sauberem System dupliziert, auch das lernen wir von den (staatlichen)Forensikern: arbeite stets nur mit Kopien, niemals mit dem Orginal)

Wenn du eine externe NAS verwendest, dann hat die hoffentlich Wechselplatten oder pro Platte einen !mechanischen! Schalter für einen HW-Schreibschutz.

Das sind ganz normale NAS-Festplatten. HotSwap hat das Gehäuse nicht.
Sie sind aber unter Debian nicht eingebunden. Reicht das?

..."Reicht das?"...

NEIN!
- alles was du remote PER SOFTWARE deaktivieren kannst, lässt sich gewollt oder ungewollt auch PER SOFTWARE remote wieder aktivieren
- Archiv oder Backup Platten gehören nur die kurze Zeit wo das Backup läuft mit dem System verbunden, und sonst immer physikalisch und wenn möglich räumlich getrennt gelagert

Dann muss ich mir wohl ein externes 3.5"-Gehäuse anschaffen und 1 bis 2x die Woche per USB verbinden.
Die anderen Platten kann ich ja trotzdem drin lassen.

Aber um auf die Ausgangsfrage zurückzukommen:
extra Partition + verschlüsselter Container den ich ein- und ausbinde ja/nein?

Da wären wir ja wieder beim Thema: warum die Tür gleich gleich offen lassen wenn der Einbrecher ggf Zeit verliert, wenn sie abgeschlossen ist.

.."Dann muss ich mir wohl ein externes 3.5"-Gehäuse anschaffen und 1 bis 2x die Woche per USB verbinden."..
jo, aber nimm statt externes Gehäuse lieber eine Festplattendockingstation und 3..5 einzelne Standardfestplatten samt passender Transport/Schutzhüllen.

z.B. was noch sehr günstiges:
https://www.amazon.de/Inateck-Festpl.../dp/B00GIDSYYW

Deiner Analogie folgend wäre es in diesem Falle aber so, wie wenn du die Wohnungstür mit einer super krassen Alarmanlage sicherst, gleichzeitig aber das Fenster offen stehen lässt.

Wenn du die Befürchtung hast, dass jemand PHYSIKALISCHEN Zugriff auf dein Gerät erlangen könnte (z.b. Laptop klauen, etc.), dann erstell dir deinen verschlüsselten Container.
Wenn es dir aber um Zugriff per Trojaner, etc. geht, dann kannst du dir die Sache sparen.