{"id":28939,"date":"2025-07-24T08:20:00","date_gmt":"2025-07-24T06:20:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=28939"},"modified":"2025-05-14T11:32:14","modified_gmt":"2025-05-14T09:32:14","slug":"funktionsweise-und-aufbau-von-computer-emergency-response-teams-certs","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=28939","title":{"rendered":"Funktionsweise und Aufbau von Computer Emergency Response Teams (CERTs)"},"content":{"rendered":"\n

Die digitale Bedrohungslage entwickelt sich rasant \u2013 Unternehmen m\u00fcssen schneller und gezielter auf Sicherheitsvorf\u00e4lle reagieren. Ein gut aufgestelltes CERT (Computer Emergency Response Team) kann hierbei zum entscheidenden Schutzschild werden. Doch der Aufbau eines effektiven CERTs ist komplex und erfordert technisches Know-how, klare Prozesse und abgestimmte Teamstrukturen. Besonders f\u00fcr mittelst\u00e4ndische Unternehmen stellt sich die Frage: selbst aufbauen oder spezialisierte Partner einbinden? TWINSOFT zeigt, wie beides sinnvoll kombiniert werden kann \u2013 f\u00fcr nachhaltige Cybersicherheit.<\/p>\n\n\n\n

Autor\/Redakteurin: Gereon Tillenburg, CEO der TWINSOFT GmbH & Co. KG<\/a>\/dcg<\/p>\n\n\n\n

In einem CERT (Computer Emergency Response Team) arbeiten diverse IT-Security-Spezialisten an der L\u00f6sung konkret aufgetretener IT-Sicherheitsvorf\u00e4lle. Dazu geh\u00f6ren die Verbreitung neuartiger Schadsoftware (Viren, Ransomware, etc.), das Bekanntwerden von Sicherheitsl\u00fccken in Betriebssystemen und Applikationen und gezielte, gerade laufende Angriffe.<\/p>\n\n\n\n

Das CERT hat \u00fcblicherweise folgende Aufgaben: Das Herausgeben von Warnungen, das Beseitigen von Sicherheitsrisiken, das Erteilen von Handlungsempfehlungen, das Analysieren von Vorf\u00e4llen, das Betreiben eines Informations- und Warndienstes und das Anbieten von L\u00f6sungsans\u00e4tzen. \u00dcblicherweise werden CERTs von Organisationen aus unterschiedlichen Bereichen betrieben. Dazu geh\u00f6ren Unternehmen, Forschungseinrichtungen, Banken und Beh\u00f6rden. Normalerweise sind CERTs rund um die Uhr erreichbar, es existieren aber auch CERTs (wie etwa das B\u00fcrger-CERT (BSI – Digitaler Verbraucherschutz \u2013 sicherer Umgang mit Informationstechnik<\/a>)), die sich darauf beschr\u00e4nken, Informationen bereit zu stellen und \u2013 beispielsweise mit einem Newsletter \u2013 vor aktuellen Vulnerabilities und Angriffen zu warnen.<\/p>\n\n\n\n

\"\"
Gereon Tillenburg, CEO der Twinsoft GmbH & Co. KG – Quelle: Twinsoft<\/figcaption><\/figure>\n\n\n\n

Soll ein CERT dabei helfen, ein Unternehmen abzusichern, so muss es dazu in der Lage sein, angemessen auf auftretende Vorf\u00e4lle und Probleme zu reagieren, ihre Ausbreitung zu verhindern und auf diese Weise Sch\u00e4den zu minimieren. Dazu kommen noch T\u00e4tigkeiten wie die Schulung der Mitarbeiter in Sicherheitsfragen.<\/p>\n\n\n\n

Es gibt auch Organisationen, die die Zusammenarbeit unterschiedlicher CERTs f\u00f6rdern (Building a common language to face future incidents – ENISA and European CSIRTs establish a dedicated task force \u2014 ENISA<\/a>).<\/p>\n\n\n\n

Der Aufbau eines CERTs<\/strong><\/a><\/p>\n\n\n\n

Um ein CERT einzurichten, sind diverse Schritte durchzuf\u00fchren. Dazu geh\u00f6ren:<\/p>\n\n\n\n

    \n
  1. Planung und Vorbereitung mit der Definition der Aufgabenbereiche und Ziele und der Bestimmung der Ressourcen (in Bezug auf Budget, Technologie und Personal).<\/li>\n\n\n\n
  2. Aufbau des Teams: Es sollten mehrere unterschiedliche Experten mit unterschiedlichen Kenntnissen in das Team integriert werden, deren Verantwortlichkeiten und Rollen klar definiert sind und die auch regelm\u00e4\u00dfig geschult werden, um auf dem aktuellen Stand zu sein. Anschlie\u00dfend m\u00fcssen die Werkzeuge des CERT eingerichtet werden, also Vulnerability-Scanner, Intrusion-Detection- und Intrusion-Protection-Systeme (IDS\/IPS) sowie L\u00f6sungen f\u00fcr das Security Information and Event Management (SIEM) und Forensik-Werkzeuge.<\/li>\n\n\n\n
  3. Etablierung von Prozessen und Verfahren: Es muss ein Incident-Response-Plan erstellt werden und es sind Prozeduren zu definieren, die bei unterschiedlichen Arten von Vorf\u00e4llen abzuarbeiten sind. Dar\u00fcber hinaus ist ein Ticket-System zum Verfolgen und Verwalten der Vorf\u00e4lle einzurichten.<\/li>\n\n\n\n
  4. Integration ins Unternehmen: Das CERT sollte \u00fcber einen Mechanismus zum Berichterstatten an das Management verf\u00fcgen und Zugang zu allen relevanten Unternehmensbereichen haben. Au\u00dferdem sollten Schnittstellen f\u00fcr die Zusammenarbeit mit anderen Sicherheits- und IT-Abteilungen geschaffen werden.<\/li>\n\n\n\n
  5. Dokumentation und Richtlinien: Alle Verfahren und Prozesse, die mit dem CERT zusammenh\u00e4ngen, m\u00fcssen dokumentiert werden. Zus\u00e4tzlich ist es sinnvoll, f\u00fcr die Informationssicherheit verbindliche Richtlinien zu schaffen.<\/li>\n\n\n\n
  6. Externe Zusammenarbeit: Der Beitritt zu Netzwerken f\u00fcr den Informationsaustausch ergibt ebenfalls Sinn.<\/li>\n\n\n\n
  7. Kontinuierliche Verbesserung: Der Aufbau eines CERT muss als Prozess verstanden werden und alle Pl\u00e4ne, Prozesse und Verfahren sind st\u00e4ndig zu \u00fcberpr\u00fcfen und weiterzuentwickeln.<\/li>\n<\/ol>\n\n\n\n

    Wird das CERT als Dienstleistung angeboten, so fallen diverse dieser Schritte weg. Die Mitarbeiter sind bereits vorhanden und die Tools sollten ebenfalls einsatzbereit zur Verf\u00fcgung stehen. Dennoch sind f\u00fcr jeden Kunden die Schritte der Planung (mit Aufgabenbereichen und Zielen), der Etablierung von Prozessen und Verfahren und der Dokumentation getrennt aufzuarbeiten.<\/p>\n\n\n\n

    F\u00fcr einen umfassenden Incident-Response-Service m\u00fcssen stets zahlreiche technische, organisatorische und personelle Voraussetzungen erf\u00fcllt werden. Ein vollst\u00e4ndiges Emergency Team aufzubauen, bedarf einer gro\u00dfen Anstrengung. Deswegen kann es sinnvoll sein, einen beratenden Partner, wie beispielsweise TWINSOFT, mit ins Boot zu nehmen.<\/p>\n\n\n\n

    Direkter Link zu TWINSOFT: TWINSOFT<\/a><\/p>\n\n\n\n

    <\/p>\n","protected":false},"excerpt":{"rendered":"

    Die digitale Bedrohungslage entwickelt sich rasant \u2013 Unternehmen m\u00fcssen schneller und gezielter auf Sicherheitsvorf\u00e4lle reagieren. Ein gut aufgestelltes CERT (Computer Emergency Response Team) kann hierbei zum entscheidenden Schutzschild werden. Doch der Aufbau eines effektiven CERTs ist komplex und erfordert technisches Know-how, klare Prozesse und abgestimmte Teamstrukturen. Besonders f\u00fcr mittelst\u00e4ndische Unternehmen stellt sich die Frage: selbst aufbauen oder spezialisierte Partner einbinden? TWINSOFT zeigt, wie beides sinnvoll kombiniert werden kann \u2013 f\u00fcr nachhaltige Cybersicherheit.<\/p>\n","protected":false},"author":81,"featured_media":28590,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[490,13515,20957,21320,21319,20447,7926],"class_list":["post-28939","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bsi","tag-cert","tag-csirt","tag-digitalresilience","tag-incidentresponse","tag-twinsoft","tag-vulnerability"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28939","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=28939"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28939\/revisions"}],"predecessor-version":[{"id":29184,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28939\/revisions\/29184"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/28590"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=28939"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=28939"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=28939"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}