Was ist ein Backup & DR-Leistungsverzeichnis?
Backup und Disaster Recovery (DR) gehören zu den grundlegenden Anforderungen der IT-Betriebssicherheit in öffentlichen Organisationen. Ransomware-Angriffe, Hardwareausfälle und menschliche Fehler zeigen immer wieder, dass ein professionelles Datensicherungskonzept kein optionales Projekt ist, sondern eine regulatorische Pflicht gemäß BSI IT-Grundschutz CON.3, KRITIS-Anforderungen und den NIS2-Vorgaben für kritische Einrichtungen.
Unser Muster-LV für Backup & Disaster Recovery wurde aus realen Vergabeverfahren im öffentlichen Sektor entwickelt und deckt alle wesentlichen Leistungsbereiche ab: von der Backup-Strategie und Technologieauswahl über Recovery-Time-Objective (RTO) und Recovery-Point-Objective (RPO) bis hin zu Cloud-Backup, Offsite-Sicherung, DR-Tests und Compliance-Nachweisen.
Für wen geeignet?
Leistungsumfang des Muster-LV Backup & DR
Backup-Strategie & Technologie
Die Backup-Strategie bildet das Fundament jeder Datensicherungslösung. In öffentlichen Ausschreibungen beobachten wir häufig, dass Anforderungen an Backup-Topologien, Deduplizierung und Verschlüsselung zu allgemein formuliert sind, was zu schwer vergleichbaren Angeboten führt. Unser Abschnitt A fordert eine präzise Spezifikation der eingesetzten Backup-Architektur: 3-2-1-Regel (drei Kopien, zwei unterschiedliche Medien, eine Offsite-Kopie), Backup-Typen (Full, Incremental, Differential, CBT-basiert), Deduplizierungs- und Kompressionsraten sowie unveränderliche Backups (Immutable Storage) als Schutz gegen Ransomware. Lösungen wie Veeam Backup & Replication, Veritas NetBackup, Rubrik und Commvault sind in deutschen Behördenausschreibungen regelmäßig vertreten.
Anforderungen an Speichermedien und Aufbewahrungsfristen müssen differenziert nach Datenkategorien beschrieben werden: operative Daten mit kurzen Zyklen, Archivdaten mit Langzeitaufbewahrung und forensische Kopien für Sicherheitsvorfälle. Bandbreiten- und Performance-Anforderungen für Backup-Fenster sowie die Unterstützung von VMware vSphere, Microsoft Hyper-V, Linux- und Windows-Systemen sind als Pflichtanforderungen verankert.
DR-Konzept & RTO/RPO
Ein belastbares Disaster-Recovery-Konzept unterscheidet sich grundlegend von einer reinen Backup-Lösung. In der Vergabepraxis sehen wir, dass Behörden häufig Backup und DR gleichsetzen und keine verbindlichen RTO/RPO-Werte in ihren Ausschreibungen verankern. Unser Abschnitt B fordert deshalb konkrete Recovery-Time-Objectives (RTO) und Recovery-Point-Objectives (RPO) differenziert nach Systemkritikalität, ein dokumentiertes DR-Konzept mit Wiederanlaufreihenfolge sowie die Beschreibung des DR-Standorts (internes Rechenzentrum, Co-Location oder Cloud). Wer aktuelle Ausschreibungen zu Backup und Disaster Recovery im öffentlichen Sektor recherchieren möchte, findet entsprechende Unterlagen im Vergabe-Archiv.
Die Anforderungen umfassen außerdem Hot-Standby-, Warm-Standby- und Cold-Standby-Szenarien je nach Verfügbarkeitsklasse der Anwendung, Replikationsmechanismen für kritische Datenbanken und Verzeichnisdienste sowie ein verbindliches Eskalationskonzept für den DR-Fall. Für KRITIS-Betreiber sind verschärfte RTO-Vorgaben nach BSI KRITIS-Anforderungskatalog als Pflichtkriterien hinterlegt.
Cloud-Backup & Offsite-Sicherung
Cloud-Backup und Offsite-Sicherung sind für öffentliche Organisationen mit besonderen Anforderungen verbunden: Datensouveränität, DSGVO-Konformität und die Anforderungen des BSI an den Speicherort sensibler Daten schränken die Auswahl geeigneter Cloud-Anbieter ein. Unser Abschnitt C adressiert diese Herausforderungen direkt: Anforderungen an EU-Datenspeicherung (bevorzugt Deutschland), zertifizierte Cloud-Dienste (BSI C5, ISO 27001, ISAE 3402) sowie End-to-End-Verschlüsselung mit kundeneigenem Schlüsselmanagement. Anbieter wie Microsoft Azure Backup, AWS Backup mit deutschen Regionen sowie spezialisierte deutsche Anbieter wie PlusServer sind als Referenzlösungen berücksichtigt.
Neben der technischen Spezifikation enthält unser Leistungsverzeichnis verbindliche Anforderungen an Bandbreite und Transferzeiten für initiale und inkrementelle Cloud-Backups, Monitoring der Offsite-Übertragungen sowie ein Konzept zur Wiederherstellung aus der Cloud mit definierten Zeitzielen. Air-Gap-Lösungen und unveränderliche Cloud-Speicher als zusätzlicher Ransomware-Schutz sind als Sollanforderungen verankert.
Monitoring, Tests & Compliance
Ein Backup, das nicht regelmäßig getestet wird, ist kein verlässliches Backup. In öffentlichen Vergaben fehlen Anforderungen an Backup-Tests und DR-Übungen häufig vollständig. Unser Abschnitt D verankert verbindliche Anforderungen an regelmäßige Restore-Tests (mindestens quartalsweise für kritische Systeme), jährliche DR-Übungen mit Dokumentation der Ergebnisse sowie automatisierte Monitoring-Alerts bei fehlgeschlagenen Backups, überschrittenen Backup-Fenstern oder Speicherengpässen. Die Anbindung an bestehende SIEM-Plattformen über Syslog ist als Pflichtanforderung spezifiziert.
Compliance-Nachweise gegenüber internen Revisionen und externen Prüfern setzen eine lückenlose Backup-Dokumentation voraus: automatische Backup-Protokolle, Aufbewahrungsfristen nach DSGVO und GoBD (10 Jahre für steuerrelevante Daten), Änderungshistorie der Backup-Konfiguration und auditierbare Zugriffskontrollen auf Backup-Daten. Anforderungen nach BSI IT-Grundschutz CON.3 sowie KRITIS-spezifische Nachweispflichten sind vollständig abgedeckt.
Quellen
- BSI: „IT-Grundschutz-Kompendium: Baustein CON.3 – Datensicherungskonzept", Edition 2023, bsi.bund.de.
- BSI: „KRITIS-Anforderungen – Verfügbarkeit und Datensicherung", 2024, bsi.bund.de.
Technische Details
| Format | Microsoft Excel (.xlsx) |
| Umfang | mehr als 55 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Normen | BSI IT-Grundschutz CON.3, BSI KRITIS, DSGVO, GoBD |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Innerhalb von 5 Werktagen nach Zahlung |
| Nutzungsrecht | Einfach, für eigene Organisation |
Muster-LV: Backup & Disaster Recovery
- aus vergangenen Projekten entwickelt
- Öffentlicher Sektor & KRITIS
- GWB / VgV / UVgO konform
- BSI IT-Grundschutz CON.3 konform
- Stand 2026 (regelmäßige Revision)
- E-Mail Support inklusive
