@apfelcash
ich möchte dir auch mal ein paar andere Gedanken dazu anbringen, die nicht direkt was mit deiner Frage zu tun haben, aber sicher von Bedeutung sind.
Wenn du ein verschlüsseltes Volume hast (egal ob Veracrypt oder das macOS eigene) und du hast das gemountet und entsperrt, dann ist der Inhalt ja logischerweise im Zugriff durch dich und damit natürlich auch durch so Systemdienste wie TimeMachine.
Wenn da dann TimeMachine ein Backup anfängt und du das gemountete Volume nicht explizit vom Backup ausgeschlossen hast, wird TimeMachine, die Dateien darin ins Backup übertragen. Wenn dein TimeMachine-Backup selbst nicht verschlüsselt ist, dann liegen all deine Dateien des verschlüsselten Volumes auf dem backup unverschlüsselt vor.
Lösungsmöglichkeiten: du musst das Volume vom Backup ausschließen oder TimeMachine verschlüsselt betreiben.
Der weitere Aspekt wäre, dass dein Vorgehen für die interne SSD nur in wenigen Situationen eine zusätzliche Sicherheit gibt und zudem den oben genannten Fallstrick enthält.
Wenn du auf dem MBA Filevault nutzt, sind die Daten verschlüsselt. Ohne Kenntnis deines Passwortes kommt also niemand an die Daten auf dem MacBook ran. Die Sicherheit hängt also an der Güte deines Passwortes.
Ein zusätzlich verschlüsseltes Image erhöht die Sicherheit ausschließlich dann, wenn du ein weiteres Passwort nimmst, das du nicht im macOS-Schlüsselbund ablegst und immer manuell eingibst. Sobald es im Schlüsselbund steht, ist die Sicherheit identisch, wie die bei FileVailt: nur dein Accoutn-Passwort.
Fallstrick ist hier, dass es deutlich bequemer ist, das Passwort im Schlüsselbund zu halten. Zudem musst du immer darauf achten, dass die Checkbox bei der Passwortabfrage nicht aktiviert ist, denn sonst landet es eben im Schlüsselbund.
Du solltest dir also eher die Frage stellen, ob das überhaupt dein angedachtes Niveau an Sicherheit erfüllt. Für Daten auf der internen SSD ist FileVault in Kombination mit verschlüsselter TimeMachine und starkem Passwort deutlich sinnvoller.
Letzter Aspekt / Gedanke:
Wenn du die Sicherheit deines Account-Passwortes drastisch erhöhen willst um auch gegen brute-force-Angriffe einen Schutz aufzubauen, dann beschäftige dich mit smart keycards bzw. sowas wie einem Yubikey.
https://www.yubico.com/works-with-yubikey/catalog/macos/
Aber hier gilt wie immer: erhöhte Sicherheit ist nicht erhöhter Bedienkomfort.
