LB-04 – Backup & Restore

1. Leistungsgegenstand

Der Auftragnehmer stellt Verfahren zur automatisierten Sicherung von persistenten Daten innerhalb der durch LB-01 und LB-02 definierten Systemumgebung bereit.

Hierzu wird ein b’nerd-eigener Backup-Operator auf Cluster-Ebene eingesetzt, welcher auf Basis definierter Backup-Policies regelmäßige Datensicherungen durchführt.

Ziel ist die technische Sicherstellung der Wiederherstellbarkeit von Datenständen im Rahmen der vereinbarten Aufbewahrungszeiträume.

Diese Leistung beinhaltet nicht die Verantwortung für Dateninhalte, Datenqualität oder fachliche Konsistenz von Anwendungen.

1. Technische Grundlage

• Backup-Engine: restic (Open Source)

• Orchestrierung: b’nerd Backup Operator (Custom Operator)

• Sicherungsziel (Default): b’nerd Object Storage (S3-kompatibel)

• Optional: Weiteres S3-Ziel des Auftraggebers (Multi-Target)

• Verschlüsselung: Client-Side Encryption (AES-256)

• Übertragung: TLS 1.2+

1. Backup Umfang

Gesichert werden:

• Persistent Volumes (PVC)

• Konfigurations- und Betriebsmetadaten (sofern technisch abbildbar)

• Optional: Applikationsspezifische Dumps / Logical Backups (Datenbank-Export) (nur sofern ausdrücklich vereinbart, ansonsten Verantwortung Auftraggeber)

Nicht gesichert werden:

• Logs / temporäre Arbeitsdaten

• Stateless Deployments / Container Layer

• Applikationsinterne Cache-Daten

3.1 Backup-Plan & Scope Definition

Vor Beginn des produktiven Betriebs wird ein gemeinsamer Backup-Plan erstellt. Der Backup-Plan definiert insbesondere:

• Welche Datenquellen und Persistenzbereiche gesichert werden sollen (z. B. PVCs, Datenbank-Dumps, Konfigurationselemente)

• Sicherungsintervall und Retention

• Restore-Ziele (z. B. Wiederherstellung in-place oder in separates Namespace/Cluster)

• Erfordernis applikationskonsistenter Sicherungen (z. B. für Datenbanken)

• Verantwortlichkeiten des Auftraggebers und des Auftragnehmers

Die Verantwortung für die fachliche Entscheidung, welche Daten als sicherungsrelevant einzustufen sind, liegt ausschließlich beim Auftraggeber.

Der Auftragnehmer berät den Auftraggeber bei der Bewertung und Erstellung des Backup-Plans, übernimmt diese Entscheidung jedoch nicht stellvertretend.

3.2 Standard-Scope (wenn kein abweichender Backup-Plan vereinbart wurde)

Sofern kein abweichender Backup-Plan schriftlich vereinbart wurde, werden ausschließlich Persistent Volumes (PVCs) des Kubernetes-Clusters gemäß Standard-Definition des Backup-Operators gesichert. Anwendungsinterne Daten, volatile Laufzeitdaten, Caches, temporäre Dateien, Log-Dateien oder Datenbankzustände ohne explizite Dump-Strategie sind in diesem Standard-Scope nicht enthalten.

1. Aufbewahrung und Retention

Standard-Aufbewahrungszeit: 30 Tage

Andere Retention-Zeiträume können vertraglich abweichend vereinbart werden und beeinflussen den Storage-Verbrauch entsprechend der Preisübersicht.

Alte Sicherungsstände werden nach Ablauf der Retention automatisch gelöscht.

1. Restore

Der Auftraggeber ist verantwortlich für die fachliche und technische Prüfung der Wiederhergestellten Daten sowie für etwaige Anpassungen oder Pflegearbeiten, die im Rahmen einer Wiederherstellung erforderlich werden.

1. 5.1 Restore auf Anforderung

Auf Anforderung des Auftraggebers stellt b’nerd ein Restore des gewünschten Sicherungszeitpunkts bereit. Der Auftraggeber trägt die Verantwortung für:

• Auswahl des Zielzeitpunkts

• Validierung der Wiederhergestellten Daten

• Bewertung fachlicher Auswirkungen auf Anwendungen

5.2 Geplante Restore-Tests

Restore-Tests werden in definierten Intervallen (z. B. Quartalsweise) automatisiert durchgeführt und dokumentiert.

1. Monitoring und Health Checks

b’nerd überwacht den funktionalen Status der Backup-Prozesse über zentrale Monitoring-Systeme. Optional buchbar gemäß Preisübersicht:

• Backup Run Status Monitoring (Failure, Success, …)

• Backup Freshness Alerts

• Backup Volume Trend & Capacity Monitoring

1. Abgrenzung der Verantwortung

Software, Daten und Dateninhalte verbleiben vollständig im Verantwortungsbereich des Auftraggebers.

b’nerd stellt die Funktionsfähigkeit des Backup-Verfahrens sicher (Backup erfolgt, verschlüsselt, speicherbar, wiederherstellbar), jedoch nicht:

• Datenkonsistenz innerhalb von Anwendungen

• Datenqualität oder Vollständigkeit von Datenbeständen

• Wiederherstellung ohne fachliche Nebenwirkungen

• Transaktionssichere oder applikationskonsistente Backups ohne gesonderte Vereinbarung

Wenn applikationskonsistente Backups erforderlich sind (z. B. Datenbanken ohne WAL-Streaming), müssen diese gesondert vereinbart werden.

1. Schnittstellen

Der Auftraggeber erhält auf Wunsch:

• Lesenden Zugriff auf Backup-Logs

• Zugriff auf das Ziel-S3-Bucket (ACL oder IAM-Policy)

• Dokumentation des Backup-Workflows

1. Bezug zur Preisübersicht

Die Preise für Leistungen dieser Anlage ergeben sich aus:

„Anlage – Preisliste (2026)“

1.