Erinnerst du dich an den Tischlermeister aus Österreich? Der mit der CNC-Fräse, der Stolz seiner Werkstatt — und mit dem Mitbewerber zwei Orte weiter, mit dem er eine ganz informelle Vereinbarung getroffen hat: Wenn bei einem von uns die Fräse ausfällt, läuft der Auftrag beim anderen weiter.
Genau diese Idee schauen wir uns heute genauer an. Denn was bei Tischler:innen mit einem Handschlag funktioniert, braucht in einem Betrieb mit 80 oder 300 Mitarbeiter:innen eine Spur mehr Struktur. Und genau dort hakt es bei den meisten meiner Gespräche:
„Wenn uns nächste Woche eine Ransomware trifft — wer installiert mir in 72 Stunden 200 Notebooks neu? Wer kümmert sich um die Wiederherstellung der Server, während meine IT-Mannschaft mit der Forensik beschäftigt ist?”
Eigene IT-Mannschaft: vier Personen. Externer Dienstleister: bei einem Großvorfall in der Region oft ausgebucht. Behörden: zuständig nur für kritische Infrastruktur. Bleibt also: niemand. Außer du hast dir vorher ein Bündnis aufgebaut.
Dein Notfallhandbuch endet, wo dein Bündnis beginnt
Stillstand in einem Produktionsbetrieb kostet nicht nur Umsatz. Er kostet:
- Pönalen aus Lieferverträgen
- das Listing beim großen Kunden
- Marktruf, der Jahre braucht, um zu heilen
Dein Notfallhandbuch beantwortet das WAS-TUN-WENN. Es beantwortet nicht die Frage „Mit wem?”. Genau die Lücke schließt ein Cyber-Bündnis — eine Vereinbarung zwischen Unternehmen, sich im Ernstfall gegenseitig zu helfen. Mit Personen, mit Wissen, mit Geräten.
Die Frage ist nicht ob du eines brauchst. Die Frage ist, in welcher Form.
Drei Modelle — und für welchen Betrieb sie passen
Die Modelle unterscheiden sich in genau zwei Punkten: Wie viel Aufwand steckst du rein? Und wie verlässlich ist die Hilfe, wenn du sie brauchst?
Modell 1: Der Handschlag
Zwei oder drei Unternehmen sagen sich zu: „Wenn’s brennt, helfen wir uns.” Mehr nicht. Kein Vertrag, kein NDA, kein Geld.
Wie das in der Praxis aussieht:
Zwei Tischlereien in derselben Region, ähnliche Maschinen, kein Konkurrenzverhältnis (unterschiedliche Kundensegmente). Die Inhaber kennen sich seit Jahren vom Stammtisch. Einmal im Jahr ein gemeinsamer Abend, wo Telefonnummern aktualisiert werden und man durchgeht, welche Maschinen kompatibel sind.
- Geeignet für: Kleinbetriebe bis 30 MA, lokale Produktion, Familienunternehmen mit gewachsenem Vertrauen.
- Stärke: Geht sofort, kostet nichts, fühlt sich richtig an.
- Schwäche: Wer im Ernstfall andere Prioritäten hat, hilft nicht. Du hast keine rechtliche Handhabe — nur die Hoffnung, dass das Wort gilt.
Modell 2: Handschlag mit Spielregeln
Derselbe Geist, aber mit schriftlicher Grundlage: Eine Vertraulichkeitsvereinbarung, eine Regelung für den Einsatz von Mitarbeiter:innen beim anderen Betrieb, eine Vereinbarung zur Datenverarbeitung nach DSGVO. Keine eigene Rechtsform — aber klare Regeln, was im Bündnisfall passiert.
Wie das in der Praxis aussieht:
Vier mittelständische Maschinenbauer aus dem niederösterreichischen Industrieviertel, jeder zwischen 80 und 250 MA. Sie sind keine direkten Mitbewerber (unterschiedliche Endprodukte), aber haben ähnliche IT-Strukturen — alle Microsoft, alle SAP Business One, alle vergleichbare Werkzeugmaschinensteuerung. Sie haben ein gemeinsames Set an Mustervereinbarungen aufgesetzt, üben einmal im Jahr gemeinsam einen Ransomware-Fall durch und haben pro Betrieb zwei IT-Schlüsselpersonen benannt, die im Ernstfall freigestellt werden.
- Geeignet für: Mittelstand 50–500 MA, Produktionsbetriebe mit Lieferverpflichtungen.
- Stärke: Aus meiner Sicht der pragmatische Mittelweg. Verlässlich genug, um sich darauf zu verlassen. Schlank genug, um es im laufenden Geschäft zu tragen.
- Schwäche: Braucht jemanden, der das Bündnis aktiv pflegt — Termine, Übungen, Aktualisierung. Sonst schläft es ein.
Modell 3: Die verbindliche Organisation
Eine eigene rechtliche Hülle — meist ein Verein oder eine GmbH, die mehrere Unternehmen tragen. Gemeinsames Budget, geteilte Forensik-Hardware, eine kleine Geschäftsstelle, eventuell sogar eine 24/7-Hotline.
Wie das in der Praxis aussieht:
Acht NIS-2-pflichtige Betriebe einer Branche (denk an Lebensmittelproduktion, Bauträger oder Energieversorger) gründen einen Verein. Jeder zahlt einen Jahresbeitrag im niedrigen fünfstelligen Bereich. Der Verein hält eine Notfall-IT-Infrastruktur in einem Datacenter vor, beschäftigt eine Geschäftsführerin, betreibt einen Bereitschaftsdienst. Wer angegriffen wird, ruft an — und bekommt innerhalb von Stunden ein Team plus vorbereitete Hardware.
- Geeignet für: Größere Mittelständler, NIS-2-pflichtige Betriebe, Branchenverbünde mit ähnlichen regulatorischen Anforderungen.
- Stärke: Maximale Verbindlichkeit. Nachweisbar nach außen — für Versicherer, Kund:innen, Aufsichtsbehörden.
- Schwäche: Gründungsaufwand, laufende Kosten, Governance-Themen. Kein Modell für „mal eben probieren”.
Drei Fragen, die du vorher beantworten musst
Egal welches Modell — drei Dinge muss dein Bündnis kennen, sonst funktioniert keines davon:
- Welche Prozesse muss dein Partner überhaupt stützen? Das kommt direkt aus deiner MVC*-Analyse. Wer nicht weiß, was bei ihm in 72 Stunden wieder laufen muss, kann auch keine sinnvolle Hilfe anfragen.
- Passt die Technik zusammen? Microsoft-Welt? Linux? SAP? Ohne kompatible Umgebung ist Hilfe gut gemeint und schlecht umsetzbar.
- Wer darf was entscheiden? Im Ernstfall ist keine Zeit für vier Telefonate mit der Geschäftsführung. Vollmachten und Eskalationspfade gehören vorbereitet — schriftlich.
*MVC: Most Viable Company (https://was-tun-wenn.at/blog/2026/05/04/wenn-nur-noch-das-wichtigste-zaehlt-was-ist-deine-minimum-viable-company/)
Lessons Learned
- Dein Notfallhandbuch endet, wo dein Bündnis beginnt. Das eine ergänzt das andere — es ersetzt es nicht.
- Mitbewerber sind nicht automatisch Gegner. In der Krise ist der mit der ähnlichen Infrastruktur dein bester Helfer — solange ihr nicht um dieselben Kunden kämpft.
- Beziehung vor Vertrag. Wer sich nicht kennt, hilft sich nicht. Ein Kaffee im Jänner ist mehr wert als ein NDA im Krisenfall.
- Üben oder lassen. Ein Bündnis, das nie geprobt hat, ist im Ernstfall eine Hoffnung — kein Plan.
- Wer in Modell 1 startet, hat einen Fuß in der Tür. Wer in Modell 2 wechselt, hat einen echten Plan B. Wer Modell 3 trägt, hat den Goldstandard.
Welches Modell passt zu dir?
Wir bei WAS-TUN-WENN helfen dir beim Aufbau — bei der Auswahl der Partnerbetriebe, bei der Ausgestaltung der Vereinbarungen für deinen Betrieb, bei der gemeinsamen Übung. Die Mitgliedschaft selbst gestaltest du als Unternehmer:in. Wir bauen die Brücke. Du gehst sie.
Welches Modell wäre für deinen Betrieb realistisch — und wer wären deine ersten zwei Anrufe?
Buch dir direkt ein kostenloses Erstgespräch bei mir: calendly.com/jhoeckner/erstgespraech
Damit was geht, wenn nichts mehr geht.
Über den Autor
Ing. Josef Höckner, MBA, ist NIS-2/RCE/CRA-Experte, zertifizierter ISMS-Manager und -Auditor nach ISO 27001 und Partner im Team von WAS-TUN-WENN. Er begleitet Unternehmen bei Cybersecurity-Governance, Business Continuity und digitaler Transformation. Davor rund 30 Jahre Verantwortung in IT-Beratung, Outsourcing, Service Management und Krisenmanagement – zuletzt bei Fujitsu Central Europe als Digital Transformation Lead und CTO Österreich, davor als Manager Service & Consulting bei Bull.
Kontakt & digitale Visitenkarte: was-tun-wenn.at/visitenkarte-jh
Erstgespräch buchen: calendly.com/jhoeckner/erstgespraech
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.