CSIRT: Die letzte Verteidigungslinie für digitale Resilienz  

Das Computer Security Incident Response Team (CSIRT) spielt eine zentrale Rolle bei der Bewältigung kritischer Sicherheitsvorfälle und der Stärkung der digitalen Resilienz. Doch, wie funktioniert ein CSIRT, und kommt es wirklich nur bei Cyberangriffen zum Einsatz? 

Dezember 2025, Text: Theophane Ngne Djoua, Bild: Swisscom           10 Min.

In einer Welt, in der Konnektivität allgegenwärtig ist und Cyberangriffe immer raffinierter werden – verstärkt durch den Einsatz von Künstlicher Intelligenz –, reicht es nicht mehr aus, lediglich präventive Massnahmen umzusetzen. Heute gilt: Selbst die grössten Organisationen sind gefährdet. Die Frage lautet nicht mehr, ob ein Angriff erfolgt, sondern wann – und wie gut Sie darauf vorbereitet sind. 

Genau hier kommt das CSIRT (Computer Security Incident Response Team) ins Spiel. Oft als «IT-Feuerwehr» bezeichnet, ist es ein zentraler Baustein für die digitale Resilienz von Unternehmen. In enger Zusammenarbeit mit dem SOC (Security Operations Center) bildet das CSIRT die letzte menschliche und technische Verteidigungslinie, die bei den kritischsten Sicherheitsvorfällen mobilisiert wird. 

Was macht ein CSIRT? 

Das CSIRT ist ein spezialisiertes Team für die Behandlung von IT-Sicherheitsvorfällen. Während das SOC als Kontrollzentrum die Infrastruktur rund um die Uhr überwacht, Bedrohungen erkennt und automatisiert neutralisiert, greift das CSIRT ein, wenn Angriffe die Standardabwehr überwinden oder eine tiefgehende Analyse und Expertenintervention erfordern. 

Wie beginnt ein Incident? 

Ein Incident startet meist mit einer Warnung des SOC, das Plattformen wie SIEM (Security Information and Event Management) oder SOAR (Security Orchestration, Automation and Response) nutzt, um verdächtige Signale zu sammeln, zu korrelieren und zu analysieren. Ziel ist es, Milliarden von Logeinträgen aus unterschiedlichen Systemen zu filtern und ungewöhnliche oder bösartige Aktivitäten zu identifizieren. Wird beispielsweise ein komplexer Angriff erkannt – etwa durch Malware in einem verdächtigen Dokument –, eskaliert das SOC den Vorfall an die CSIRT-Fachleute. 

Die sechs Phasen der Incident Response 

Die Arbeit des CSIRT folgt einem weltweit anerkannten Standardprozess nach einem Modell des SANS Institute, der eine strukturierte und rigorose Krisenbewältigung sicherstellt: 

  1. Preparation: Rollen und Prozesse definieren, Tools (Forensik, Isolation) bereitstellen und Mitarbeitende sensibilisieren.  
  2. Identification: Incident bestätigen, Umfang und Kritikalität bewerten; Übergabe vom SOC an das CSIRT.  
  3. Containment: Schnelle Isolation betroffener Systeme (Netzwerktrennung, Account-Sperrung, Segmentierung), um Ausbreitung und Schaden zu begrenzen.  
  4. Eradication: Entfernung der Root Cause (Malware, Backdoors, kompromittierte Accounts).  
  5. Recovery: Wiederherstellung der Systeme nach Bedrohungsbeseitigung und Integritätsprüfung.  
  6. Lessons Learned: Post-Incident-Analyse zur Optimierung von Prozessen und Stärkung der Sicherheitsstrategie. 

Analyse und Spurensuche 

Nach Eingang des Incidents muss der CSIRT-Analyst schnell handeln, um den Schaden zu begrenzen – kompromittierte Geräte isolieren, betroffene Accounts sperren usw. Doch damit endet die Arbeit nicht: Es gilt, Indicators of Compromise (IoCs) zu identifizieren, um die Spur des Angreifers aufzudecken und sicherzustellen, dass keine Backdoors bestehen. Dazu werden Logs, Netzwerkdaten und verdächtige Dateien analysiert. Die Kenntnisse der TTPs (Tactics, Techniques and Procedures) der Angreifer strukturiert die Untersuchung und erleichtert die Erkennung komplexer Vorfälle. Jeder Incident ist ein Puzzle, das unter Zeitdruck gelöst werden muss – mit höchster Präzision. 

Zusammenarbeit und kontinuierliche Verbesserung 

Das CSIRT arbeitet eng mit dem SOC zusammen: Das SOC bearbeitet Alerts und übergibt kritische Incidents an das CSIRT. Zusätzlich schult das CSIRT SOC-Analysten, entwickelt neue Detection Use Cases und automatisiert repetitive Incident-Workflows mithilfe moderner Technologien wie EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) und SOAR

Proaktive Cyberabwehr statt reaktiver Massnahmen 

Die Erfahrungen aus solchen Incidents stärken die Detection- und Response-Fähigkeiten, helfen neue Angriffsmuster vorherzusehen und optimieren kontinuierlich Tools, Prozesse und Trainings. Proaktive Prävention und kontinuierliche Verbesserung sind entscheidend – ebenso wie Teamarbeit. 

Das CSIRT: auch für die Prävention 

Die Rolle des CSIRT-Analysten erfordert technisches Know-how, Vielseitigkeit und schnelle Reaktionsfähigkeit. Ein CSIRT bietet nicht nur Unterstützung bei der Eindämmung von Angriffen, Wiederherstellung von Systemen und Stärkung der Sicherheitsarchitektur – diskret und professionell –, sondern auch präventive Services wie Unterstützung bei: 

  •  Tabletop Exercises (Simulationen von Sicherheitsvorfällen)  
  • Compromise Assessments (Überprüfung auf bestehende oder vergangene Kompromittierungen). 

Diese Massnahmen sensibilisieren das Management, testen Incident-Response-Prozesse und decken versteckte Bedrohungen auf. Sie richten sich an KMU ebenso wie an Grossunternehmen und erhöhen die Fähigkeit, schnell und effektiv auf Incidents zu reagieren. Denn in der heutigen Bedrohungslage ist niemand vor Cyberangriffen sicher. 

Im Zweifel oder bei einem bestätigten Incident: Warten Sie nicht, wenn Sie Unterstützung brauchen! Kontaktieren Sie unser CSIRT – verfügbar 24/7. Wir helfen Ihnen, den Angriff einzudämmen, die Sicherheit wiederherzustellen und begleiten Sie durch alle erforderlichen Schritte.  

Über den Autor 

Theophane Ngne Djoua ist DFIR-Analyst (Digital Forensic and Incident Response) im CSIRT für B2B-Kunden bei Swisscom. 

Welche Rollen und Aufgaben umfasst ein CSIRT, und weshalb wird es für Unternehmen immer wichtiger?

Mehr zum Thema