Ein CSIRT ist ein spezialisiertes Team, das IT-Sicherheitsvorfälle systematisch analysiert, koordiniert und betroffene Organisationen bei deren Bewältigung unterstützt, häufig auf nationaler, branchenbezogener oder unternehmensinterner Ebene eingerichtet und dauerhaft betrieben.
CSIRTs, im Deutschen teils auch als Computer-Notfallteams bezeichnet, übernehmen die zentrale Koordination bei der Reaktion auf Cybervorfälle. Sie analysieren Vorfälle, geben Handlungsempfehlungen, warnen vor aktuellen Bedrohungen und unterstützen betroffene Organisationen bei der Eindämmung und Aufarbeitung eines Sicherheitsvorfalls.
Für Unternehmen ist die Existenz von CSIRTs relevant, weil sie im Ernstfall eine wichtige externe Anlaufstelle darstellen, insbesondere wenn kein eigenes internes Sicherheitsteam vorhanden ist. Nationale CSIRTs veröffentlichen zudem regelmäßig Warnungen zu aktuellen Schwachstellen und Angriffswellen.
Für Architektur- und Ingenieurbüros kann der Kontakt zu einem CSIRT relevant werden, wenn ein größerer Cybervorfall, etwa ein Ransomware-Angriff, das eigene Unternehmen oder einen Projektpartner betrifft und externe fachliche Unterstützung bei der Einordnung und Bewältigung des Vorfalls benötigt wird.
Abzugrenzen ist ein CSIRT von einem Security Operations Center, das die laufende, präventive Überwachung von IT-Systemen übernimmt, während ein CSIRT primär reaktiv im Vorfall selbst tätig wird. Angriffsfläche, Angriffsvektor und Asset management beschreiben eher vorgelagerte Konzepte im Risikomanagement.
Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist es hilfreich zu wissen, dass im Ernstfall eines größeren Cybervorfalls spezialisierte CSIRTs als externe Anlaufstelle zur Verfügung stehen, etwa auf nationaler Ebene oder branchenspezifisch organisiert. Diese Stellen können wertvolle fachliche Unterstützung bei der Einordnung und Bewältigung eines Vorfalls leisten, insbesondere wenn im eigenen Unternehmen keine spezialisierten IT-Sicherheitskenntnisse vorhanden sind. Für die Cyberversicherung ist relevant, dass viele Bedingungswerke im Schadenfall ohnehin die Einbindung spezialisierter IT-Forensik-Dienstleister vorsehen, deren Arbeit sich mit den Aufgaben eines CSIRT teilweise überschneidet. Es lohnt sich, entsprechende Kontaktmöglichkeiten bereits vorab zu kennen, statt sie erst mitten in einem akuten Sicherheitsvorfall unter Zeitdruck suchen zu müssen.
Ein Ingenieurbüro wird Opfer eines schwerwiegenden Ransomware-Angriffs, der mehrere zentrale Projektserver betrifft. Da im Unternehmen keine eigenen IT-Sicherheitsspezialisten beschäftigt sind, wendet sich die Geschäftsführung zusätzlich zum beauftragten IT-Forensik-Dienstleister an ein zuständiges nationales CSIRT, um aktuelle Empfehlungen zum Umgang mit der eingesetzten Schadsoftware-Variante einzuholen. Das CSIRT liefert wertvolle Hinweise zu bekannten Schwachstellen und empfohlenen Sofortmaßnahmen, die dem Büro helfen, die betroffenen Systeme schneller und sicherer wiederherzustellen, als es ohne diese zusätzliche fachliche Unterstützung möglich gewesen wäre, und künftige Vorfälle besser und schneller einzuordnen. Die Geschäftsführung dokumentiert die gewonnenen Erkenntnisse zudem sorgfältig für spätere, vergleichbare Situationen und informiert alle Mitarbeitenden über die Lehren aus dem Vorfall.
Ein CSIRT ist ein spezialisiertes Team, das IT-Sicherheitsvorfälle analysiert, koordiniert und Organisationen bei deren Bewältigung unterstützt.
Ein Security Operations Center überwacht IT-Systeme laufend präventiv, während ein CSIRT primär reaktiv bei der Bewältigung konkreter Sicherheitsvorfälle tätig wird.
Insbesondere bei größeren Cybervorfällen wie Ransomware-Angriffen, wenn zusätzliche fachliche Unterstützung bei der Einordnung und Bewältigung benötigt wird.
Die Aufgaben eines CSIRT überschneiden sich teilweise mit denen von IT-Forensik-Dienstleistern, deren Einbindung viele Cyberversicherungen im Schadenfall vorsehen.
Nationale und viele branchenspezifische CSIRTs bieten grundlegende Informationen und Warnungen häufig kostenfrei an, weiterführende individuelle Unterstützung kann jedoch abweichend geregelt sein.
• Security Operations Center (SOC) – übernimmt die laufende, präventive Überwachung, während ein CSIRT im Vorfall selbst reaktiv unterstützt.
• Angriffsfläche – beschreibt die Gesamtheit möglicher Angriffspunkte, die ein CSIRT im Nachgang eines Vorfalls mitanalysieren kann.
• Angriffsvektor – wird von einem CSIRT häufig identifiziert, um die Ursache eines Vorfalls zu klären.
• Cyberversicherung – sieht im Schadenfall oft die Einbindung spezialisierter Dienstleister vor, vergleichbar mit der Arbeit eines CSIRT.