Menu

Menu

Menu

Menu

Menu

Featured

Managed Services

Starke Allianzen

PwCs Trade Office

Menu

Ergebnisse werden geladen

Wie Sie Ihre Resilienz-Investitionen auf das Wesentliche konzentrieren

Die „Minimum Viable Company“ als Schlüssel zur Geschäftskontinuität im Krisenfall
Young man in server room
  • 4 Minuten Lesezeit
  • 09 Mrz 2026

Cyberangriffe, IT‑Ausfälle und Störungen in Lieferketten treffen zunehmend auch Organisationen mit hohen proaktiven Sicherheitsvorkehrungen. Wenn zentrale Systeme oder Standorte kompromittiert sind, entscheidet die Fähigkeit eines Notbetriebs über die Zukunftsfähigkeit der Organisation: Welche Leistungen müssen unter allen Umständen weiter erbracht werden – und mit welchen Ressourcen lässt sich das sicherstellen?

Die Minimum Viable Company (MVC) adressiert genau diese Fragestellung. Sie beschreibt die kleinstmögliche, funktionsfähige Ausprägung eines Unternehmens, mit der sich existenzkritische Leistungen trotz gravierender Einschränkungen aufrechterhalten lassen. Im Mittelpunkt steht ein abgestimmtes Zielbild des Notbetriebs: Welche Services, Prozesse, Systeme, Daten, Standorte, Lieferanten und Schlüsselrollen bilden den kleinsten, gemeinsamen Nenner für den Betrieb – und wie lässt sich dieser gemeinsame Nenner gezielt vorbereiten, steuern und testen?

Integration als Grundlage für Planung und Krisensteuerung

Die Minimum Viable Company definiert das Zielbild des Notbetriebs: jene reduzierte, aber funktionsfähige Organisation, mit der ein Unternehmen gravierende Störungen übersteht und existenzbedrohende Schäden vermeidet. Im Fokus steht nicht die voll ausgeprägte Resilienz des gesamten Betriebs, sondern ein klar umrissener Umfang an Leistungen und Ressourcen, die eine Handlungsfähigkeit sichern.

Der Mehrwert für die Geschäftsführung und das Management liegt in der Integration. MVC beschreibt nicht einzelne Notfallpläne, sondern ein integriertes Bild: Welche kritischen Services verfügbar bleiben müssen, welche Prozesse, Standorte und Lieferketten diese Prozesse tragen und auf welchen Plattformen und Daten sie basieren. Die MVC bündelt diese Elemente zu einer konsistenten für Planungen, Investitionen und eine zielgerichtete Krisensteuerung.

Definierter Weg zurück in den Regelbetrieb

Mit dem MVC-Ansatz wird operative Resilienz umgesetzt. Unternehmen legen Mindestservicelevel und tolerierbare Ausfallzeiten geschäftsorientiert fest, machen Abhängigkeiten sichtbar und begründen Wiederanlaufprioritäten. Verantwortliche erkennen, an welchen Stellen technische Resilienzmaßnahmen – etwa gehärtete Backups, Recovery-Umgebungen oder Netzwerksegmentierung – unmittelbar auf die Überlebensfähigkeit einzahlen und wo organisatorische Anpassungen nötig sind. Im Notfall stabilisiert die aktivierte MVC zunächst ein definiertes Minimalniveau an Leistungen. Darauf aufbauend erfolgt die stufenweise Wiederherstellung weiterer Bereiche entlang fachlicher und technischer Abhängigkeiten. Der Betrieb im MVC-Modus ist damit bewusst weit vom Normalzustand entfernt – aber er ermöglicht eine Handlungsunfähigkeit und schafft eine belastbare Brücke zurück in den Regel- und Normalbetrieb.

In der Praxis entsteht die MVC top-down aus dem Kerngeschäft und bottom-up aus den tatsächlichen Abhängigkeiten. Ausgangspunkt sind Prozesse, deren Ausfall binnen kurzer Zeit zu schweren finanziellen, regulatorischen oder reputativen Folgen führen würde. Darauf aufbauend analysieren Unternehmen die dazugehörigen Prozesse, Systeme, Datenbestände, Betriebsstandorte, externen Partner und Schlüsselrollen. Das Ergebnis ist ein freigegebenes MVC‑Zielbild mit definierten Grenzwerten, Wiederanlaufsequenzen und klar zugeordneten Verantwortlichkeiten – anschlussfähig an Business-Continuity-Management nach BSI‑Standard 200‑4, ISO 22301 sowie Anforderungen aus NIS-2 oder DORA. Dieses Zielbild wird durch regelmäßige Übungen validiert: Tabletop-Szenarien auf Managementebene und technische Disaster-Recovery-Übungen stellen das Konzept unter Stress auf die Probe, decken Lücken auf und führen zu einer kontinuierlichen Schärfung von Notfallplänen und Resilienzmaßnahmen.

Die fünf Kernkomponenten der Minimum Viable Company

Im Zentrum der MVC stehen Leistungen, deren Ausfall binnen kurzer Zeit zu irreversiblen Schäden führen würde: etwa Zahlungsverkehr, Auftragsabwicklung, Services für Schlüsselkunden oder zwingende Melde- und Berichtspflichten. Diese Services definieren den fachlichen Umfang des Notbetriebs. Die zugrunde liegenden Prozesse werden so gestaltet, dass sie im Krisenmodus – gegebenenfalls in reduzierter Form – stabil weiterlaufen können.

Cloud- und Payment-Provider, Netz- und Logistikdienstleister oder Schlüssellieferanten prägen das Risikoprofil der MVC. Sie müssen systematisch identifiziert und hinsichtlich Kritikalität, Substituierbarkeit und Resilienz bewertet werden. Operativ gehören dazu belastbare Notfall-SLAs, erprobte Exit-Mechanismen, alternative Bezugsquellen sowie logistische Notlager. Ziel ist ein Set an Ersatzpfaden, das den Notbetrieb auch bei Störungen in der Lieferkette trägt.

Zur MVC zählen jene Betriebsstätten, Rechenzentren, Netzwerksegmente und High-Availability-Komponenten, die kritische Services stützen. Essenzielle Plattformen – etwa Identity- und Access-Management, zentrale Fachanwendungen wie ERP, CRM oder Handelssysteme – erhalten klare Wiederanlaufprioritäten. Kommunikationslösungen für EMail, Messaging und Kollaboration werden so vorbereitet, dass Führungsteams und operative Einheiten auch im Notfallmodus koordiniert agieren können.

Kunden-, Auftrags- und Finanzdaten, Konfigurationsinformationen und Sicherungskopien bilden die Datengrundlage der MVC. Sie müssen integer, verfügbar und von Angriffen hinreichend isoliert bleiben. Technisch erfordert dies unveränderliche, gehärtete Backups (air-gapped oder logisch isoliert), klar definierte Recovery-Point- und Recovery-Time-Ziele, getestete Restore-Pfade und eine Priorisierung von Datenklassen, die den stufenweisen Wiederanlauf fachlich sinnvoll unterstützt.

Die MVC benötigt definierte Rollen und Entscheidungswege: Leitstellen, Incident-Response- und Krisenstäbe, operative Steuerungseinheiten sowie Kundenschnittstellen. Für diese Funktionen müssen Vertretungs- und Rufbereitschaftsmodelle, klare Mandate und Kommunikationsregeln vorliegen. Zugriff auf aktuelle Notfallkontaktdaten und alternative Kommunikationskanäle stellt sicher, dass Führungs- und Eskalationsstrukturen auch bei Ausfällen von Standardinfrastruktur belastbar bleiben.

Die Autoren

Dominik Bredel
Dominik Bredel

Director, Cyber Resilience, PwC Germany

Dominik Bredel ist Director im Bereich Cyber Security & Privacy bei PwC Deutschland. Er verantwortet Beratung, Implementierung und Managed Services, mit denen Unternehmen ihre Sicherheits- und Resilienzfähigkeit kontinuierlich an neue Bedrohungen anpassen. Gemeinsam mit seinem Team aus Berater:innen, IT-Architekt:innen, Projektmanager:innen und Service-Spezialist:innen entwickelt er End-to-End-Sicherheitslösungen – mit besonderem Fokus auf Cyber Resiliency, IT-Continuity, Zero Trust und ganzheitliche Managementsysteme, die Technologie, Governance und Betrieb wirksam verbinden.
E-Mail
Dr. Alexander Köppen
Dr. Alexander Köppen

Partner, Cyber Security & Privacy Strategy, Risk and Compliance, PwC Germany

Als Partner und Geschäftsführer der PwC Cyber Security Services GmbH unterstützt Alexander Köppen unsere Mandanten als Co-Lead „Government & Public Services“ im Risk & Regulatory-Team. In dieser Rolle verantwortet er Themen wie Cyber Security, Business Continuity Management (BCM), Resilienz, Risiko, Compliance, Forensik sowie die Steuerung groß angelegter Infrastrukturprojekte – mit dem Ziel, unseren Mehrwert für die Gesellschaft und den öffentlichen Sektor zu erhöhen. 
E-Mail
View More

Auch interessant

Follow us

© 2017 - 2026 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.

Wir erbringen hochwertige, branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Unternehmensberatung.