Dann muss ich mir wohl ein externes 3.5"-Gehäuse anschaffen und 1 bis 2x die Woche per USB verbinden.
Die anderen Platten kann ich ja trotzdem drin lassen.

Aber um auf die Ausgangsfrage zurückzukommen:
extra Partition + verschlüsselter Container den ich ein- und ausbinde ja/nein?

Da wären wir ja wieder beim Thema: warum die Tür gleich gleich offen lassen wenn der Einbrecher ggf Zeit verliert, wenn sie abgeschlossen ist.

.."Dann muss ich mir wohl ein externes 3.5"-Gehäuse anschaffen und 1 bis 2x die Woche per USB verbinden."..
jo, aber nimm statt externes Gehäuse lieber eine Festplattendockingstation und 3..5 einzelne Standardfestplatten samt passender Transport/Schutzhüllen.

z.B. was noch sehr günstiges:
https://www.amazon.de/Inateck-Festpl.../dp/B00GIDSYYW

Deiner Analogie folgend wäre es in diesem Falle aber so, wie wenn du die Wohnungstür mit einer super krassen Alarmanlage sicherst, gleichzeitig aber das Fenster offen stehen lässt.

Wenn du die Befürchtung hast, dass jemand PHYSIKALISCHEN Zugriff auf dein Gerät erlangen könnte (z.b. Laptop klauen, etc.), dann erstell dir deinen verschlüsselten Container.
Wenn es dir aber um Zugriff per Trojaner, etc. geht, dann kannst du dir die Sache sparen.

Alles klar.
Aber irgendwie verstehe ich das noch nicht. Da die Daten ja on the fly entschlüsselt werden heißt das doch folglich, dass sie bei Nichtnutzung verschlüsselt sind.

Wieso lohnt sich das denn dann nicht?

Verschlüsselung lohnt und dient dem Schutz gegen Datenklau bei Verlust der Hardware durch Diebstahl.

Solange du das Passwort zur Nutzung des CryptoContainers an einem PC eingibst, wo ein Trojaner drauf sein kann(und der das abfangen/mitschneiden wird), nützt dir Verschlüsselung nix gegen Datenveränderung/Datenzerstörung durch so einen Trojaner... einziger Ausweg dein DebianNAS hat eine eigene Tastatur und einen eigenen Monitor(also nur phys. ZUGRIFF und NIEMALS REMOTE), dann kannst du NUR DORT unter Debian VeraCrypt installieren und bei Bedarf deine Container dort per Passwort einbinden oder deaktivieren.

Das schütz dich dann gegen Datenklau bei HARDWARE-Verlust, aber nicht gegen HW-Defekt oder Datenveränderung wenn du von deinem Trojanersystem auf den aktivierten(=offenen) Cryptocontainer zugreifst... da helfen dann wieder nur zig getrennte Backups deines CryptoContainers auf meherer exterenen Fesplatten

Hört sich alles spannend an.
Ich denke ich sollte dann weiter meine Festplatten-Strategie fahren und zusätzlich immer eine Festplatte im Schrank liegen haben.
Habe mir eben außerdem eine vernünftige Firewall installiert, die mir hoffentlich vieles mitteilt was im System passiert. Registry-Änderungen, Dateiveränderungen, Ein- und Ausgehende Verbindungen werden schonmal gut erkannt.

..."Ich denke ich sollte dann weiter meine Festplatten-Strategie fahren und zusätzlich immer eine !MEHRERE! Festplatten woanders im Schrank liegen haben."...

Jo

Abschließend hätte ich noch eine Frage.
Laut Windows ist nur SYSTEM dazu berechtigt in ProgramData zu schreiben.
Wie konnte dieser Schädling sich also in ProgramData abspeichern?