- Bedeutung
- Computer Security Incident Response Team
- Aufgabe
- Sicherheitsvorfälle bearbeiten und koordinieren
- Ebene
- Intern oder national (in DE: BSI)
- Bezug zu NIS2
- Anlaufstelle bei Meldungen
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein CSIRT?
Ein CSIRT (Computer Security Incident Response Team) ist ein spezialisiertes Team, das auf Sicherheitsvorfälle reagiert – es analysiert sie, dämmt sie ein und koordiniert die Gegenmaßnahmen. Der Begriff steht damit für die operative, technische Seite der Vorfallsbearbeitung. Größere Organisationen haben eigene CSIRTs; auf nationaler Ebene betreibt das BSI ein CSIRT. Der CSIRT-Begriff ist enger als der der zuständigen Behörde: Letztere übt Aufsicht und Durchsetzung aus, während das CSIRT vor allem operativ unterstützt.
Was ein CSIRT tut
- Vorfälle entgegennehmen und bewerten
- Incident Response koordinieren
- Warnungen und IoCs teilen
- Nach dem Vorfall Erkenntnisse für die Wiederherstellung und Prävention aufbereiten
Nationale CSIRTs unter NIS2
NIS2 – in Kraft seit dem 6. Dezember 2025 – stärkt die Rolle nationaler CSIRTs: Sie nehmen Meldungen entgegen, unterstützen betroffene Unternehmen und fördern den Austausch über Bedrohungen. Über das von der ENISA koordinierte CSIRT-Netzwerk arbeiten die nationalen Teams auch grenzüberschreitend zusammen. So fließen Erkenntnisse aus der gestaffelten Meldekette (24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht) in ein europaweites Lagebild ein.
Brauche ich ein eigenes CSIRT?
Kleinere Unternehmen brauchen kein eigenes Team, aber klar definierte Zuständigkeiten und einen Incident-Response-Plan. Diese Rolle kann auch ein externer Dienstleister übernehmen. Entscheidend ist, dass im Ernstfall jemand weiß, wer den Vorfall bewertet, wer eindämmt und wer die Meldung an das BSI absetzt.
Ein Vorfall Schritt für Schritt
Beispiel: Bei einem mittelständischen Maschinenbauer schlägt nachts das Monitoring an, weil ein Server mit einer verdächtigen IP-Adresse kommuniziert. Das interne IT-Team hat keine forensische Erfahrung und ruft das vertraglich gebundene externe CSIRT. Dieses isoliert das System, sichert Beweise, identifiziert die ausgenutzte Schwachstelle und liefert die Indikatoren, mit denen das Unternehmen seine 24-Stunden-Frühwarnung an das BSI-CSIRT formuliert.
Häufige Fragen
Was macht ein CSIRT?
Ein CSIRT (Computer Security Incident Response Team) ist ein spezialisiertes Team, das Sicherheitsvorfälle bearbeitet und koordiniert – von der Entgegennahme und Analyse über die Eindämmung bis zur Wiederherstellung und Prävention. Es teilt außerdem Warnungen und Kompromittierungsindikatoren (IoCs) und steht für die operative, technische Seite der Vorfallsbearbeitung. Größere Organisationen betreiben eigene CSIRTs, auf nationaler Ebene betreibt in Deutschland das BSI ein CSIRT.
Welche Rolle spielt das CSIRT bei NIS2?
Die seit dem 06.12.2025 in Kraft befindliche NIS2-Umsetzung stärkt die Rolle nationaler CSIRTs: Sie nehmen Vorfallsmeldungen entgegen, unterstützen betroffene Unternehmen und fördern den Austausch über Bedrohungen. Über das von der ENISA koordinierte CSIRT-Netzwerk arbeiten die nationalen Teams grenzüberschreitend zusammen. So fließen Erkenntnisse aus der gestaffelten Meldekette mit 24 Stunden Frühwarnung, 72 Stunden Meldung und einem Monat Abschlussbericht in ein europaweites Lagebild ein.
Braucht jedes Unternehmen ein eigenes CSIRT?
Nein, kleinere Unternehmen brauchen kein eigenes CSIRT, aber klar definierte Zuständigkeiten und einen Incident-Response-Plan. Diese Rolle kann auch ein externer Dienstleister übernehmen. Entscheidend ist, dass im Ernstfall feststeht, wer den Vorfall bewertet, wer eindämmt und wer die Meldung an das BSI absetzt – damit die NIS2-Meldefrist von 24 Stunden für die Frühwarnung zuverlässig eingehalten werden kann.
Weiterführende Quelle: ENISA – European Union Agency for Cybersecurity