Incident Response Made in Germany: Wie BSI und Unternehmen zusammenarbeiten

6 Min. Lesezeit

119 neue Schwachstellen pro Tag. 461 Datenlecks mit Deutschland-Bezug in zwölf Monaten. 80 Prozent der Ransomware-Angriffe treffen den Mittelstand. Die Zahlen aus dem BSI-Lagebericht 2025 sind alarmierend. Aber sie erzählen nur die halbe Geschichte. Die andere Hälfte: Deutschland hat ein Incident-Response-Ökosystem aufgebaut, das in Europa seinesgleichen sucht. CERT-Bund, die Deutsche Cyber-Sicherheitsorganisation und das Telekom-SOC mit 250 Experten bilden ein dreistufiges Abwehrsystem, das Unternehmen im Ernstfall auffängt. NIS2 macht professionelle Incident Response zur Pflicht. Und genau das wird zum Standortvorteil.

Das Wichtigste in Kürze

119 neue Schwachstellen pro Tag: Ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Gleichzeitig sank die Zahl finanziell motivierter Angriffe um 9 Prozent dank BKA/BSI-Ermittlungserfolgen (BSI Lagebericht 2025).
CERT-Bund operiert im 24/7-Betrieb: Das nationale Computer Emergency Response Team des BSI analysiert Vorfälle, warnt Unternehmen und koordiniert die Reaktion auf staatlicher Ebene. Mitglied bei FIRST (Forum of Incident Response and Security Teams).
DCSO: Allianz, BASF, Bayer und VW gemeinsam: Die Deutsche Cyber-Sicherheitsorganisation mit 115 Mitarbeitern verbindet Wirtschaft und Behörden beim Threat Intelligence Sharing.
Deutsche Telekom SOC: 250 Experten, 1 Milliarde Datenpunkte täglich: Eines der größten Security Operations Center Europas. KI-gestützte Analyse aus 3.000 Datenquellen.
NIS2-Meldepflicht: 24 Stunden für Early Warning: 72 Stunden für die Incident Notification. Ein Monat für den Abschlussbericht. Geschäftsführerhaftung bei Verstoß.

Das dreistufige IR-Ökosystem

Was Deutschland von anderen europäischen Ländern unterscheidet, ist nicht die einzelne Behörde oder das einzelne Unternehmen, sondern das Zusammenspiel dreier Ebenen: staatlich (BSI/CERT-Bund), halbstaatlich (DCSO) und privatwirtschaftlich (Telekom-SOC und andere MSSPs). Dieses dreistufige System ist organisch gewachsen und hat sich in den großen Vorfällen der letzten Jahre bewährt.

Ebene 1: CERT-Bund (staatlich). Das Computer Emergency Response Team des BSI ist die zentrale Anlaufstelle für Sicherheitsvorfälle auf Bundesebene. CERT-Bund betreibt einen 24/7-Bereitschaftsdienst gemeinsam mit dem IT-Lagezentrum und dem IT-Krisenreaktionszentrum. Der Warn- und Informationsdienst (WID) liefert technische Sicherheitshinweise in Echtzeit. Als FIRST-Mitglied ist CERT-Bund international vernetzt und tauscht Bedrohungsinformationen mit CERTs weltweit aus.

Ebene 2: DCSO (halbstaatlich/privatwirtschaftlich). Die Deutsche Cyber-Sicherheitsorganisation ist ein Unikat: 2015 gegründet als öffentlich-private Partnerschaft, getragen zu gleichen Teilen von Allianz, BASF, Bayer und Volkswagen. 115 Mitarbeiter an Standorten in Europa und Nordamerika liefern Threat Intelligence Services und SOC-Dienste. Der Fachbeirat entwickelt Strategien gegen Cyberkriminalität, digitale Industriespionage und Sabotage. DCSO ist die Brücke zwischen Großunternehmen und Behörden.

Ebene 3: Telekom CERT und privatwirtschaftliche SOCs. Das Master-SOC der Deutschen Telekom in Bonn ist mit über 250 Cybersecurity-Experten eines der größten in Europa. Es analysiert täglich rund eine Milliarde sicherheitsrelevanter Datenpunkte aus etwa 3.000 Datenquellen, KI-gestützt. Das CERT ist seit 2020 nach SIM3-Standard zertifiziert. Daneben existieren privatwirtschaftliche SOCs von G DATA, Atos, Sophos und dutzenden spezialisierten MSSPs, die den Mittelstand bedienen.

726

KRITIS-Meldungen beim BSI 2024

24h

Meldefrist unter NIS2

22 APTs

aktive Gruppen in Deutschland

Quellen: BSI Lagebericht 2024, NIS2UmsuCG

250+

Cybersecurity-Experten im Telekom Master-SOC Bonn

Quelle: Deutsche Telekom Corporate Responsibility Report, 2024

Was der BSI-Lagebericht 2025 wirklich zeigt

Der BSI-Lagebericht 2025 (Berichtszeitraum Juli 2024 bis Juni 2025) liefert erstmals konsequent quantitative Kennzahlen statt rein narrativer Darstellungen. 119 neue Schwachstellen pro Tag, ein Anstieg von 24 Prozent gegenüber dem Vorjahr. 461 Datenlecks mit Deutschland-Bezug. 47 Prozent aller aus dem Internet erreichbaren .de-IP-Adressen exponieren sensible Informationen öffentlich.

BSI-Präsidentin Claudia Plattner bringt es auf den Punkt: „Jede aus dem Internet erreichbare Institution oder Person ist prinzipiell bedroht. Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen. Nur wer sich aktiv schützt, kann Schaden vermeiden.“

Aber es gibt auch Fortschritte: Die Zahl finanziell motivierter Angriffe sank um 9 Prozent, maßgeblich durch Ermittlungserfolge von BKA und BSI gegen organisierte Cyberkriminalität. Und der Rückgang von Ransomware-Angriffen auf große Krankenhäuser ist bemerkenswert: von 35 IT-Angriffen auf große Kliniken in 2021/2022 auf 21 in 2023 und nur 3 in 2024. Das KRITIS-Investitionsprogramm im Gesundheitssektor zeigt Wirkung.

Die Bedrohungslandschaft verschiebt sich: Russische Akteure greifen gezielt deutsche Unternehmen, Kommunen und Privatpersonen an. Staatliche Angreifer zielen auf Energieversorger, Cloud-Provider und die Automobilindustrie. Der Trend geht weg von opportunistischem Ransomware hin zu gezielter Industriespionage und Sabotage. Für Incident Response bedeutet das: Die Vorfälle werden komplexer und erfordern andere Fähigkeiten als das Wiederherstellen verschlüsselter Backups.

Zwei Vorfälle die das System auf die Probe stellten

Südwestfalen-IT (Oktober 2023): Der Ransomware-Angriff der Akira-Gruppe auf den kommunalen IT-Dienstleister war einer der folgenschwersten Cybervorfälle in der deutschen Verwaltungsgeschichte. Über 70 Kommunen in Nordrhein-Westfalen waren betroffen, 1,6 Millionen Bürger konnten monatelang keine Behördengänge digital erledigen. Die Ursache: ein schwaches Passwort, fehlende Multi-Faktor-Authentifizierung und eine ungepatchte VPN-Appliance. Kein Lösegeld wurde gezahlt. Zwei Geschäftsführer wurden wegen Verletzung grundlegender Sicherheitspflichten entlassen.

Für das IR-Ökosystem war der Vorfall ein Stresstest: CERT-Bund koordinierte die Kommunikation zwischen den betroffenen Kommunen und dem BSI. Private Incident-Response-Teams unterstützten bei der forensischen Analyse. Die Lehre: Kommunale IT-Dienstleister sind ein systemisches Risiko und müssen unter NIS2 strenger reguliert werden.

Continental AG (August 2022): Die LockBit-Gruppe stahl rund 40 Terabyte Daten, darunter potenziell sensitive Informationen von VW, BMW und Mercedes. Der Angriff blieb vier Wochen lang unentdeckt. Continental verweigerte die Zahlung von zunächst 50, dann 40 Millionen US-Dollar Lösegeld. Das FBI ermittelte mit. Auch hier zeigte das dreistufige System seine Stärke: Behördliche Ermittlung (BKA/FBI), privatwirtschaftliche Forensik und industrieübergreifende Information Sharing (DCSO) griffen ineinander.

Die jüngste Warnung kam im Februar 2026: Ein größerer DDoS-Angriff auf bahn.de und den DB Navigator legte den Webauftritt der Deutschen Bahn wellenförmig über mehrere Stunden lahm. Ein Vorfall der zeigte, dass auch kritische Infrastruktur im Personenverkehr verwundbar bleibt.

119 / Tag

neue Schwachstellen täglich (+24% ggü. Vorjahr)

Quelle: BSI Lagebericht 2025

NIS2: Wie die Meldepflicht Incident Response professionalisiert

Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Für Incident Response ist Artikel 23 der NIS2-Richtlinie entscheidend, umgesetzt in ein dreistufiges Meldesystem: 24 Stunden für die Early Warning (Verdacht auf rechtswidrige oder böswillige Ursache? Grenzüberschreitende Auswirkung?). 72 Stunden für die Incident Notification mit erster Bewertung der Schwere und Indicators of Compromise. Ein Monat für den Abschlussbericht.

Für Unternehmen bedeutet das: Incident Response ist keine Kür mehr. Wer keinen dokumentierten IR-Plan hat, kein Team das innerhalb von 24 Stunden eine Early Warning formulieren kann und keinen Prozess für die 72-Stunden-Meldung, verstößt ab dem ersten Vorfall gegen geltendes Recht. Die Geschäftsführung haftet persönlich.

Der Effekt: Die NIS2-Meldepflicht erzwingt Professionalisierung. Unternehmen die bisher nach einem Vorfall erst einmal die IT-Abteilung angerufen haben (die dann vielleicht am Wochenende nicht erreichbar war), müssen jetzt einen 24/7-fähigen Prozess vorweisen. Das treibt die Nachfrage nach Managed Security Services und professionellen Retainer-Verträgen mit IR-Dienstleistern.

BSI-Präsidentin Plattner ordnet die Dringlichkeit ein: „Wir können uns diese Unsicherheit nicht leisten.“ Im Kontext der rund 179 Milliarden Euro, die Cyberkriminalität Deutschland jährlich kostet, ist professionelle Incident Response nicht nur eine Compliance-Pflicht, sondern ein wirtschaftlicher Imperativ.

Wo Deutschland international steht

Das International Institute for Strategic Studies (IISS) stuft Deutschland als „Tier-Two Cyber Power“ ein, auf einer Ebene mit den Niederlanden und Singapur. Tier One: nur die USA. Deutschlands Stärke liegt im strukturierten CERT-Ökosystem mit mehreren Ebenen: CERT-Bund, Bürger-CERT, Bundeswehr-CERT, länderspezifische CERTs und privatwirtschaftliche wie das Telekom-CERT und die DCSO.

Bei den offensiven Cyber-Fähigkeiten liegt Deutschland hinter den Schlüsselpartnern USA und Großbritannien. Aber für den Standort Deutschland als Wirtschaftsstandort ist die defensive Seite entscheidender: Können deutsche Unternehmen Angriffe erkennen, darauf reagieren und den Schaden begrenzen? Die Infrastruktur dafür existiert und sie wird durch NIS2 weiter gestärkt.

Bei der European Cybersecurity Challenge (ECSC) 2025 erreichte Deutschland Platz 3 hinter Italien und Dänemark. Das zeigt: Der Nachwuchs an Security-Talenten ist da, die Ausbildung an TU Darmstadt, Ruhr-Universität Bochum und Universität des Saarlandes produziert international wettbewerbsfähige Fachkräfte.

Die ehrliche Gegenposition

Das dreistufige System hat Lücken. Die größte: den Mittelstand. CERT-Bund ist für Bundesbehörden zuständig und erreicht kleine Unternehmen kaum. DCSO bedient Großkonzerne. Das Telekom-SOC ist ein kommerzieller Dienst. Wer ein Unternehmen mit 80 Mitarbeitern führt und nachts um 2 Uhr einen Ransomware-Angriff bemerkt, steht oft allein da.

Die NIS2-Meldepflicht hilft theoretisch, weil sie Prozesse erzwingt. Aber 24 Stunden für eine Early Warning sind ambitioniert wenn das einzige „IR-Team“ der Geschäftsführer mit seinem persönlichen Laptop ist. Managed Security Services sind die Antwort, aber sie kosten 500 bis 2.000 Euro monatlich, und viele Mittelständler sehen das als Luxus statt als Notwendigkeit.

Dazu kommt: 47 Prozent aller aus dem Internet erreichbaren .de-IP-Adressen exponieren sensible Informationen. Das zeigt, dass selbst grundlegende Hygiene-Maßnahmen bei fast der Hälfte der deutschen Organisationen fehlen. Incident Response ist wichtig, aber Prävention wäre besser.

Fünf Schritte zur professionellen Incident Response

1. IR-Plan schreiben und testen. Ein schriftlicher Incident-Response-Plan mit definierten Rollen, Kontaktlisten und Eskalationsstufen. Mindestens einmal jährlich als Tabletop-Übung durchspielen. Der Plan muss die NIS2-Meldefristen (24h/72h/1Monat) integrieren.

2. Retainer-Vertrag mit IR-Dienstleister abschließen. Wer keinen eigenen IR-Spezialisten hat, braucht einen externen Partner der innerhalb von Stunden verfügbar ist. DCSO, Telekom Security, G DATA Advanced Analytics oder spezialisierte Boutiquen wie HiSolutions bieten solche Retainer an.

3. 24/7-Monitoring aufbauen. Ob eigenes SOC oder Managed Service: Ohne kontinuierliche Überwachung werden Angriffe erst bemerkt wenn der Schaden da ist. Continental wurde vier Wochen lang kompromittiert bevor es auffiel.

4. BSI-Meldewege einrichten. Das BSI-Portal für Vorfallsmeldungen kennen und testen bevor der Ernstfall eintritt. Wer erst im Krisenfall nach dem Meldeformular sucht, verliert wertvolle Stunden.

5. Lessons Learned institutionalisieren. Nach jedem Vorfall (auch jedem abgewehrten): Was hat funktioniert? Was nicht? Die Südwestfalen-IT hat zwei Geschäftsführer gekostet. Die Frage „hätten wir den Angriff verhindern können?“ muss beantwortet werden bevor der nächste kommt.

Fazit

Deutschlands Incident-Response-Ökosystem ist besser als sein Ruf. CERT-Bund, DCSO und die privatwirtschaftlichen SOCs bilden ein dreistufiges System das in Europa seinesgleichen sucht. NIS2 professionalisiert dieses System weiter durch verbindliche Meldepflichten und persönliche Haftung. Die Vorfälle bei Südwestfalen-IT und Continental haben gezeigt: Das System funktioniert unter Stress. Aber es erreicht den Mittelstand noch nicht ausreichend. Für den Standort Deutschland ist professionelle Incident Response kein Kostenfaktor. Sie ist die Voraussetzung dafür, dass die 735 Milliarden Euro der Made-for-Germany-Initiative in einer sicheren digitalen Infrastruktur landen.

Häufige Fragen

Was ist CERT-Bund und wann kontaktiere ich es?

CERT-Bund ist das Computer Emergency Response Team des BSI. Es koordiniert die Reaktion auf Sicherheitsvorfälle auf Bundesebene und betreibt einen 24/7-Bereitschaftsdienst. Unternehmen die unter NIS2 fallen müssen Vorfälle über das BSI-Portal melden. Auch nicht-NIS2-Unternehmen können CERT-Bund kontaktieren, erhalten aber keine individuelle Incident-Response-Unterstützung sondern Warnhinweise und technische Empfehlungen.

Was ist die DCSO und wer kann Mitglied werden?

Die Deutsche Cyber-Sicherheitsorganisation ist eine GmbH, getragen von Allianz, BASF, Bayer und VW. Sie bietet Threat Intelligence Services und SOC-Dienste an. Mitgliedschaft steht grundsätzlich Unternehmen offen die sich an den Kosten beteiligen und Bedrohungsinformationen teilen. Für den Mittelstand gibt es keine direkte Mitgliedschaft, aber DCSO-Erkenntnisse fließen über das BSI-Lagebild in die allgemeine Warnung ein.

Was kostet ein Managed SOC für den Mittelstand?

500 bis 2.000 Euro monatlich für ein Basis-Monitoring (SIEM/XDR als Service, 24/7-Alarmierung, monatlicher Report). Dedizierte IR-Retainer kosten zusätzlich 1.000 bis 5.000 Euro monatlich je nach Reaktionszeit-Garantie. Die Alternative (eigenes SOC mit 3 Analysten im Schichtbetrieb) kostet ab 300.000 Euro jährlich.

Was passiert wenn ich einen NIS2-Vorfall nicht innerhalb von 24 Stunden melde?

Bußgelder bis 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes. Die Geschäftsführung haftet persönlich. Darüber hinaus kann das BSI Zwischenberichte anfordern und bei wiederholten Verstößen Maßnahmen bis hin zum temporären Management-Ausschluss verhängen.

Wie bereite ich mich auf einen IR-Vorfall vor?

Drei Dinge sofort: Erstens IR-Plan schreiben mit Rollen und Kontakten. Zweitens Retainer-Vertrag mit einem IR-Dienstleister abschließen. Drittens eine Tabletop-Übung durchführen in der das Team den Plan unter Stress testet. Wer diese drei Schritte erledigt hat, ist besser vorbereitet als 80 Prozent des deutschen Mittelstands.