CSIRT: Computer Security Incident Response Teams im Überblick

Ein CSIRT (Computer Security Incident Response Team) ist eine spezialisierte Einheit innerhalb einer Organisation oder als eigenständiger Dienstleister, die für die koordinierte Erkennung, Analyse, Eindämmung und Nachbereitung von Cybersicherheitsvorfällen verantwortlich ist. CSIRTs bilden das operative Herzstück moderner Cybersicherheitsstrategien - sie verwandeln einen reaktiven Notfallmodus in einen strukturierten, wiederholbaren Prozess.

Der Begriff geht auf die späten 1980er Jahre zurück, als der Morris-Wurm 1988 erstmals die Notwendigkeit koordinierter Incident-Response-Strukturen aufzeigte. Seitdem hat sich das CSIRT-Konzept von einer universitären Notfalllösung zu einem unverzichtbaren Bestandteil professioneller IT-Sicherheit entwickelt.

CSIRT vs. CERT vs. SOC - Abgrenzung

Die drei Begriffe werden häufig synonym verwendet, bezeichnen jedoch konzeptionell unterschiedliche Strukturen.

CSIRT (Computer Security Incident Response Team) ist der generische, nicht geschützte Begriff für jede Einheit, die sich mit der Reaktion auf Sicherheitsvorfälle befasst. Jede Organisation kann ein CSIRT einrichten, ohne besondere Akkreditierungsanforderungen erfüllen zu müssen.

CERT (Computer Emergency Response Team) ist ursprünglich ein eingetragenes Warenzeichen der Carnegie Mellon University (CERT/CC). In der Praxis verwenden viele Organisationen den Begriff trotzdem - darunter das CERT-Bund des BSI und das DFN-CERT. Inhaltlich sind CERT und CSIRT weitgehend deckungsgleich; der Unterschied liegt eher in historischer Tradition und regionaler Konvention als in der Funktion.

SOC (Security Operations Center) unterscheidet sich dagegen wesentlicher: Ein SOC ist eine kontinuierlich betriebene Einheit, die auf die proaktive Überwachung, Erkennung und initiale Triage von Sicherheitsereignissen ausgerichtet ist - typischerweise rund um die Uhr. Ein CSIRT tritt ergänzend dazu in Aktion, sobald ein Vorfall bestätigt ist und tiefere Analyse sowie koordinierte Reaktion erfordert. In kleineren Organisationen übernimmt das CSIRT häufig auch SOC-Aufgaben; in größeren Betrieben arbeiten SOC und CSIRT arbeitsteilig zusammen.

Betriebsmodus:
  SOC   → kontinuierlich, 24/7-Monitoring, proaktiv
  CSIRT → anlassbezogen, reaktiv auf bestätigte Vorfälle

Fokus:
  SOC   → Erkennung + Triage von Sicherheitsereignissen
  CSIRT → Analyse + Eindämmung + Beseitigung + Kommunikation

Verhältnis:
  SOC erkennt → CSIRT übernimmt → gemeinsame Nachbereitung

Aufgaben und Verantwortlichkeiten

Die Kernaufgaben eines CSIRT lassen sich in drei Bereiche gliedern:

Reaktive Aufgaben bilden den klassischen Kern: Analyse und Klassifizierung eingehender Vorfallsmeldungen, technische Forensik, Koordination der Eindämmungsmaßnahmen, Kommunikation mit betroffenen Systembetreibern und - bei nationalen oder sektoralen CSIRTs - Koordination mit externen Stellen wie Behörden oder Strafverfolgungsbehörden.

Proaktive Aufgaben gewinnen an Bedeutung: Pflege und Verteilung von Threat Intelligence, Schwachstellenanalyse und -koordination (Vulnerability Coordination), Sensibilisierung und Schulung von Nutzern sowie die Entwicklung und Pflege von Sicherheitsrichtlinien und Incident-Response-Plänen.

Qualitätssicherung und Weiterentwicklung: Lessons-Learned-Prozesse nach Vorfällen, Metriken zur Messung der CSIRT-Effektivität, Pflege von Playbooks und Werkzeugketten sowie regelmäßige Übungen (Tabletop Exercises, Red-Team-Simulationen).

Aufbau eines CSIRT

Rollen im Team

Ein funktionierendes CSIRT besteht aus mehreren definierten Rollen. Nicht jede Organisation kann alle Rollen mit dedizierten Personen besetzen - in kleineren Teams übernehmen Einzelpersonen mehrere Funktionen.

CSIRT-Leitung trägt die Gesamtverantwortung für das Team, trifft strategische Entscheidungen während aktiver Vorfälle und ist Ansprechpartner für Geschäftsführung und externe Stellen.

Incident Handler sind die operativen Analysten, die Vorfälle von der initialen Triage bis zur Beseitigung begleiten. Sie arbeiten mit den betroffenen System-Eigentümern zusammen und koordinieren technische Maßnahmen.

Malware-Analysten und digitale Forensiker untersuchen Schadsoftware, analysieren kompromittierte Systeme und sichern forensische Beweise - auch mit Blick auf mögliche rechtliche Verwertbarkeit.

Threat-Intelligence-Analysten verfolgen aktuelle Bedrohungslagen, pflegen IoC-Feeds (Indicators of Compromise) und reichern laufende Vorfälle mit Kontextinformationen an.

Kommunikations- und Koordinationsrolle (oft als CSIRT Coordinator bezeichnet): verantwortlich für interne Kommunikation mit dem Management und externen Parteien wie betroffenen Kunden, Behörden oder anderen CSIRTs.

Darüber hinaus sollten regelmäßig Vertreter aus Rechts- und Compliance-Abteilungen sowie die Geschäftsleitung in den CSIRT-Prozess eingebunden sein - Cybervorfälle haben fast immer rechtliche, regulatorische und geschäftliche Konsequenzen, die über reine IT-Maßnahmen hinausgehen.

Werkzeuge

Kategorie            Typische Werkzeuge
─────────────────────────────────────────────────────────────
SIEM                 Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM
EDR/XDR              CrowdStrike Falcon, SentinelOne, Microsoft Defender XDR
Ticketing/Case Mgmt  TheHive, JIRA, PagerDuty
Threat Intelligence  MISP, OpenCTI, VirusTotal, MITRE ATT&CK Navigator
Forensik             Volatility (Memory), Autopsy, FTK Imager, Velociraptor
Malware-Analyse      Cuckoo Sandbox, ANY.RUN, YARA
Kommunikation        Verschlüsselter Chat (Signal, Matrix/Element), PGP-E-Mail
Netzwerkanalyse      Wireshark, Zeek, NetworkMiner

Incident Response Prozess

Der Incident-Response-Prozess folgt international weitgehend einem einheitlichen Phasenmodell. NIST SP 800-61 und das SANS PICERL-Modell beschreiben sechs Phasen, die in der Praxis selten streng sequenziell ablaufen.

1. Vorbereitung (Preparation)

Die Vorbereitung ist die wichtigste Phase - sie findet vor jedem Vorfall statt. Dazu gehören: Erstellung und regelmäßige Aktualisierung des Incident-Response-Plans, Definition von Eskalationspfaden und Kommunikationsprotokollen, Aufbau und Test der Werkzeugkette, Schulung aller Beteiligten sowie regelmäßige Übungen. Ein ungetesteter IR-Plan ist keiner.

2. Erkennung und Analyse (Identification)

Ein Vorfall beginnt mit einem Signal - einer SIEM-Alarmierung, einem Nutzerhinweis, einem externen Bericht oder einer proaktiven Entdeckung beim Threat Hunting. Das CSIRT bewertet, ob das Signal einen echten Sicherheitsvorfall darstellt (True Positive vs. False Positive), klassifiziert den Schweregrad und aktiviert die entsprechenden Ressourcen.

Ziel dieser Phase: vollständiges Bild des Vorfalls - betroffene Systeme, Angriffsvektoren, Zeitlinie, mögliche Auswirkungen.

3. Eindämmung (Containment)

Eindämmung zielt darauf ab, weitere Ausbreitung zu verhindern, ohne forensische Beweise zu zerstören. Das CSIRT unterscheidet zwischen kurzfristiger Eindämmung (z.B. betroffene Systeme vom Netz nehmen, Accounts sperren) und langfristiger Eindämmung (Netzwerksegmentierung, temporäre Workarounds), bis eine vollständige Bereinigung möglich ist.

4. Beseitigung (Eradication)

Nach der Eindämmung folgt die vollständige Entfernung der Bedrohung: Malware-Bereinigung, Schließen ausgenutzter Schwachstellen, Zurücksetzen kompromittierter Zugangsdaten, Patching betroffener Systeme. Wichtig ist hier die Vollständigkeit - ein übersehener Persistenzmechanismus ermöglicht erneuten Zugriff.

5. Wiederherstellung (Recovery)

Bereinigtes Systeme werden schrittweise und kontrolliert wieder in Betrieb genommen. Das CSIRT überwacht dabei intensiv, ob Anzeichen für eine erneute Kompromittierung auftreten. Backups spielen hier eine entscheidende Rolle - vorausgesetzt, sie wurden vor der Kompromittierung erstellt und sind ebenfalls sauber.

6. Lessons Learned (Post-Incident Activity)

Innerhalb von 1-2 Wochen nach Abschluss des Vorfalls führt das CSIRT eine strukturierte Nachbereitung durch: Was ist passiert? Was hat gut funktioniert? Was hätte früher erkannt werden können? Welche Lücken in Prozessen, Werkzeugen oder Schulungen wurden sichtbar? Ergebnisse fließen direkt in die Aktualisierung des IR-Plans ein.

CSIRT-Frameworks und Standards

FIRST

Das Forum of Incident Response and Security Teams (FIRST) ist der weltweit führende Zusammenschluss von CSIRTs. Gegründet 1990 umfasst FIRST heute über 600 Mitgliedsteams aus mehr als 90 Ländern - darunter nationale CSIRTs, Unternehmens-Teams und akademische Einrichtungen. FIRST bietet Mitgliedern Zugang zu Bedrohungsinformationen, gemeinsamen Werkzeugen und Trainingsprogrammen. Die Mitgliedschaft gilt als Qualitätsmerkmal und erleichtert die Zusammenarbeit bei grenzüberschreitenden Vorfällen erheblich.

ENISA CSIRT-Framework

Die EU-Agentur für Cybersicherheit ENISA hat umfangreiche Leitfäden für den Aufbau und Betrieb von CSIRTs entwickelt. Besonders relevant ist das Good Practice Guide for Incident Management, das Anforderungen an Dienste, Prozesse und Betriebsmodelle beschreibt. Mit der NIS2-Richtlinie (Network and Information Security Directive) hat die EU zudem verbindliche Mindestanforderungen an Incident-Response-Kapazitäten für Betreiber kritischer Infrastrukturen und wichtige Einrichtungen eingeführt.

MITRE ATT&CK

Das MITRE ATT&CK-Framework ist kein CSIRT-Standard im engeren Sinne, aber ein unverzichtbares Werkzeug: Es beschreibt Taktiken, Techniken und Prozeduren (TTPs) realer Angreifer in einem strukturierten Katalog. CSIRT-Analysten nutzen ATT&CK zur Klassifizierung von Angriffen, zur Lückenerkennung in der Erkennungsabdeckung und zur Kommunikation über Bedrohungsakteure.

CSIRTs in Deutschland

CERT-Bund (BSI)

Das Computer-Notfallteam des Bundes (CERT-Bund) ist das nationale CSIRT Deutschlands und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt. CERT-Bund koordiniert die Reaktion auf IT-Sicherheitsvorfälle bei Bundesbehörden, gibt Warnungen und Sicherheitsempfehlungen heraus und ist zentrale Meldestelle für Vorfälle bei Betreibern kritischer Infrastrukturen (KRITIS) nach IT-Sicherheitsgesetz 2.0 und NIS2-Umsetzungsgesetz. CERT-Bund ist Mitglied bei FIRST und dem europäischen CSIRTs Network.

DFN-CERT

Das Deutsche Forschungsnetz-CERT (DFN-CERT) wurde 1993 gegründet und ist damit eines der ältesten CSIRTs Deutschlands. Es betreut primär Einrichtungen des Deutschen Forschungsnetzes - also Universitäten, Forschungseinrichtungen und Behörden - bietet aber auch kommerzielle Sicherheitsdienstleistungen an. DFN-CERT ist ebenfalls FIRST-Mitglied und unterhält enge Verbindungen zu europäischen Partner-CSIRTs.

Sektorale und unternehmenseigene CSIRTs

Neben den nationalen Einrichtungen existieren in Deutschland zahlreiche sektorale CSIRTs - etwa im Finanzsektor (FINCERT der Bundesbank), im Gesundheitswesen und bei Betreibern kritischer Infrastrukturen. Große Unternehmen betreiben eigene interne CSIRTs; mittelständische Organisationen greifen häufig auf Managed-CSIRT-Dienste externer Sicherheitsdienstleister zurück.

Aufbau eines eigenen CSIRT

Der Aufbau eines internen CSIRT ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Folgende Schritte haben sich bewährt:

1. Bedarfsanalyse und Mandatsdefinition: Welche Systeme und Prozesse soll das CSIRT schützen? Wer sind die Stakeholder? Welches Budget und welche personellen Ressourcen stehen zur Verfügung? Die Antworten bestimmen Umfang und Modell des CSIRT.

2. Modellwahl: Drei grundlegende Modelle existieren - internes CSIRT (eigenes Personal), hybrides Modell (internes Kernteam plus externe Spezialisten bei Bedarf) und vollständig ausgelagertes Managed CSIRT. Für viele mittelständische Unternehmen ist das hybride Modell pragmatisch: ein kleines internes Team für Koordination und Erstreaktion, ergänzt durch externe Experten für tiefe Forensik und Spezialbereiche.

3. Prozesse und Playbooks: Vor der ersten Alarmierung müssen Prozesse stehen. Playbooks für die häufigsten Szenarien - Ransomware-Angriff, Datenpanne, kompromittiertes Konto, Phishing-Kampagne - ersparen im Ernstfall wertvolle Zeit und vermeiden Fehler unter Druck.

4. Werkzeuge und Infrastruktur: SIEM, EDR und ein Case-Management-System sind das Fundament. Wichtig: Werkzeuge allein machen kein CSIRT - sie müssen konfiguriert, gewartet und von kompetentem Personal bedient werden.

5. Kommunikationsstrukturen: Klare Eskalationspfade, vorab vereinbarte Kommunikationskanäle (auch für den Fall, dass E-Mail und Telefon kompromittiert sind) und definierte Ansprechpartner für externe Stellen - BSI, Polizei, Datenschutzbehörden - sind unerlässlich.

6. Training und Übungen: Regelmäßige Tabletop Exercises (TTX), bei denen das Team Vorfallsszenarien durchspielt, sind der wirksamste Test der eigenen Vorbereitung. Gefundene Lücken werden umgehend in die Weiterentwicklung des IR-Plans übernommen.

7. Vernetzung: Die Registrierung bei FIRST, Teilnahme am BSI-Informationsverbund und Einbindung in branchenspezifische Informationsaustausch-Netzwerke (ISACs) erhöhen die Qualität der Threat Intelligence erheblich und ermöglichen schnelle Hilfe bei schwerwiegenden Vorfällen.

Ein CSIRT ist letztlich nur so gut wie seine letzte Übung und sein aktuellster IR-Plan. Kontinuierliche Verbesserung - gespeist aus Lessons-Learned-Prozessen nach realen Vorfällen wie nach Übungen - ist das entscheidende Merkmal reifer CSIRT-Organisationen.