..."Kann man solchen Trojanern, Crypter-Trojanern usw denn nicht den Zugriff auf meine Netzfreigabe im Arbeitsplatz verbieten?"...

NEIN, die einzige Sicherheit ist physische Trennung, also im einfachstem Fall mehrere externe USB-Festplatten, wo rollierend immer nur eine zum Backup angesteckt wird
(und wenn was passiert ist, man die letzte gute Kopie NIEMALS direkt zum Restore verwendet, sondern immer diese Platte erst an einem dritten Sauberem System dupliziert, auch das lernen wir von den (staatlichen)Forensikern: arbeite stets nur mit Kopien, niemals mit dem Orginal)

Wenn du eine externe NAS verwendest, dann hat die hoffentlich Wechselplatten oder pro Platte einen !mechanischen! Schalter für einen HW-Schreibschutz.

Das sind ganz normale NAS-Festplatten. HotSwap hat das Gehäuse nicht.
Sie sind aber unter Debian nicht eingebunden. Reicht das?

..."Reicht das?"...

NEIN!
- alles was du remote PER SOFTWARE deaktivieren kannst, lässt sich gewollt oder ungewollt auch PER SOFTWARE remote wieder aktivieren
- Archiv oder Backup Platten gehören nur die kurze Zeit wo das Backup läuft mit dem System verbunden, und sonst immer physikalisch und wenn möglich räumlich getrennt gelagert

Dann muss ich mir wohl ein externes 3.5"-Gehäuse anschaffen und 1 bis 2x die Woche per USB verbinden.
Die anderen Platten kann ich ja trotzdem drin lassen.

Aber um auf die Ausgangsfrage zurückzukommen:
extra Partition + verschlüsselter Container den ich ein- und ausbinde ja/nein?

Da wären wir ja wieder beim Thema: warum die Tür gleich gleich offen lassen wenn der Einbrecher ggf Zeit verliert, wenn sie abgeschlossen ist.

.."Dann muss ich mir wohl ein externes 3.5"-Gehäuse anschaffen und 1 bis 2x die Woche per USB verbinden."..
jo, aber nimm statt externes Gehäuse lieber eine Festplattendockingstation und 3..5 einzelne Standardfestplatten samt passender Transport/Schutzhüllen.

z.B. was noch sehr günstiges:
https://www.amazon.de/Inateck-Festpl.../dp/B00GIDSYYW

Deiner Analogie folgend wäre es in diesem Falle aber so, wie wenn du die Wohnungstür mit einer super krassen Alarmanlage sicherst, gleichzeitig aber das Fenster offen stehen lässt.

Wenn du die Befürchtung hast, dass jemand PHYSIKALISCHEN Zugriff auf dein Gerät erlangen könnte (z.b. Laptop klauen, etc.), dann erstell dir deinen verschlüsselten Container.
Wenn es dir aber um Zugriff per Trojaner, etc. geht, dann kannst du dir die Sache sparen.

Alles klar.
Aber irgendwie verstehe ich das noch nicht. Da die Daten ja on the fly entschlüsselt werden heißt das doch folglich, dass sie bei Nichtnutzung verschlüsselt sind.

Wieso lohnt sich das denn dann nicht?

Verschlüsselung lohnt und dient dem Schutz gegen Datenklau bei Verlust der Hardware durch Diebstahl.

Solange du das Passwort zur Nutzung des CryptoContainers an einem PC eingibst, wo ein Trojaner drauf sein kann(und der das abfangen/mitschneiden wird), nützt dir Verschlüsselung nix gegen Datenveränderung/Datenzerstörung durch so einen Trojaner... einziger Ausweg dein DebianNAS hat eine eigene Tastatur und einen eigenen Monitor(also nur phys. ZUGRIFF und NIEMALS REMOTE), dann kannst du NUR DORT unter Debian VeraCrypt installieren und bei Bedarf deine Container dort per Passwort einbinden oder deaktivieren.

Das schütz dich dann gegen Datenklau bei HARDWARE-Verlust, aber nicht gegen HW-Defekt oder Datenveränderung wenn du von deinem Trojanersystem auf den aktivierten(=offenen) Cryptocontainer zugreifst... da helfen dann wieder nur zig getrennte Backups deines CryptoContainers auf meherer exterenen Fesplatten