Computer Security Incident Response Team

Ein Computer Security Incident Response Team (CSIRT) ist eine organisatorisch fest verankerte Einheit, die für die Erkennung, Bearbeitung und Koordination von IT-Sicherheitsvorfällen zuständig ist. Es nimmt Meldungen über mögliche Vorfälle entgegen, bewertet deren Schwere und Auswirkungen (Triage), leitet Eindämmungs- und Wiederherstellungsmaßnahmen ein und dokumentiert den gesamten Vorfallsverlauf. Synonym werden auch die Begriffe CERT (Computer Emergency Response Team) und IRT (Incident Response Team) verwendet; CSIRT hat sich im europäischen und behördlichen Sprachgebrauch durchgesetzt.

Ein CSIRT verbindet technische, organisatorische und kommunikative Aufgaben. Technisch führt es Analysen, Forensik und Schadensbegrenzung durch; organisatorisch steuert es Eskalationswege, Rollen und Schnittstellen zu Fachbereichen, Geschäftsleitung, Dienstleistern und Behörden; kommunikativ verantwortet es Lagebilder, Benachrichtigungen und gegebenenfalls Pressekommunikation. Damit ist das CSIRT der operative Kern des Incident-Response-Prozesses und eng mit dem Notfallmanagement, dem ISMS und dem Schwachstellenmanagement verzahnt. In größeren Organisationen arbeitet es häufig mit einem Security Operations Center (SOC) zusammen, das die kontinuierliche Überwachung übernimmt.

Im regulatorischen Kontext gewinnen CSIRTs durch die NIS2-Richtlinie und ihre nationale Umsetzung erheblich an Bedeutung. Mitgliedstaaten benennen nationale CSIRTs, die als zentrale Anlaufstelle für Vorfallsmeldungen besonders wichtiger und wichtiger Einrichtungen dienen, Frühwarnungen verbreiten und grenzüberschreitende Koordination im CSIRTs-Network unterstützen. In Deutschland nimmt das BSI mit CERT-Bund eine zentrale CSIRT-Rolle wahr. Betroffene Unternehmen müssen ihrerseits über funktionierende Strukturen verfügen, um die gesetzlichen Meldefristen einzuhalten und mit dem zuständigen CSIRT zusammenzuarbeiten.