StartseiteInsightsIT-Vergabe-RatgeberIncident-Response-Dienstleister auswählen
Cybersicherheit · Incident Response · Beschaffung

Incident-Response-Dienstleister auswählen und beschaffen

Den Partner für die Reaktion auf einen Sicherheitsvorfall sucht man nicht erst, wenn die Systeme stehen. Wer einen Incident-Response-Dienstleister vorab auswählt und vertraglich bindet, gewinnt im Ernstfall Stunden, die über den Schaden entscheiden. Dieser Leitfaden zeigt, nach welchen Kriterien Sie IR-Anbieter bewerten, welche Vertrags- und Preismodelle es gibt, was die BSI-APT-Qualifizierung bedeutet und wie ein Retainer mit der Cyber-Versicherung zusammenspielt.

Zuletzt aktualisiert: Juni 2026 · ca. 11 Min. Lesezeit

Inhalt
Warum die Anbieterwahl vor den Ernstfall gehört Bewertungskriterien für IR-Dienstleister Retainer, Ad-hoc und Preismodelle BSI-APT-Qualifizierung nach § 3 BSIG Zusammenspiel mit der Cyber-Versicherung IR-Anbieterwahl & Marktübersicht Wie wir helfen

Warum die Anbieterwahl vor den Ernstfall gehört

Ein Sicherheitsvorfall ist Stress unter Zeitdruck: Systeme sind verschlüsselt oder kompromittiert, die Kommunikation läuft womöglich nur noch über Mobiltelefone, und parallel laufen Meldepflichten. Wer in dieser Lage erst einen Forensik-Dienstleister sucht, Angebote vergleicht und einen Vertrag verhandelt, verliert genau die Zeit, in der sich ein Vorfall noch eingrenzen lässt.

Anerkannte Rahmenwerke behandeln die Vorbereitung deshalb als eigene Phase: Das NIST-Modell stellt die Vorbereitung (Preparation) an den Anfang des Incident-Response-Lebenszyklus, das BSI beschreibt die Vorfallbehandlung im IT-Grundschutz-Baustein DER.2.1. In der Praxis heißt das, den Dienstleister samt garantierter Reaktionszeit vorab auszuwählen und vertraglich zu binden, bevor etwas passiert.

Aus der Marktbeobachtung: Das Angebot reicht von spezialisierten Forensik-Boutiquen über große Beratungen bis zu Sicherheitsherstellern. Erreichbarkeit, garantierte Reaktionszeiten und die Tiefe der Forensik unterscheiden sich erheblich, und nicht jeder Anbieter deckt alle Phasen von der Analyse bis zum Wiederanlauf ab. Eine strukturierte Bewertung lohnt sich.

Bewertungskriterien für IR-Dienstleister

Diese Kriterien haben sich für die Bewertung und den Vergleich von Incident-Response-Anbietern bewährt. Sie eignen sich direkt als Anforderungs- und Wertungsraster für eine Ausschreibung oder einen Angebotsvergleich.

A Reaktion & Erreichbarkeit
Erreichbarkeit rund um die Uhr (24/7/365) über eine dedizierte Notfall-Hotline.
Garantierte Reaktionszeit bis zur qualifizierten Erstanalyse (z. B. innerhalb einer Stunde).
Garantierte Vor-Ort-Zeit im relevanten Raum (DACH), falls Remote-Analyse nicht ausreicht.
Definierte Eskalations- und Kommunikationswege, auch bei Ausfall der eigenen IT.
B Forensik- und Analysefähigkeiten
Host-Forensik, Netzwerk-Forensik und Malware-Analyse als nachgewiesene Kernkompetenzen.
Abdeckung Ihrer Umgebung: Cloud, OT/ICS, mobile Geräte, je nach Ihrem Technologie-Stack.
Herstellerunabhängiges Arbeiten und Einbindung Ihrer vorhandenen EDR-/SIEM-Tools.
Unterstützung über die Analyse hinaus: Eindämmung, Bereinigung und Wiederanlauf.
Vollständiges Muster-Leistungsverzeichnis

Im fertigen Muster-LV sind alle Kriterien der Gruppen A bis E ausformuliert und im Detail ausgearbeitet, nicht nur die Überschriften wie hier. Inklusive Eignungsnachweisen und gestaffeltem Preisblatt, vergabekonform zum direkten Einsatz.

Zum Muster-LV: Incident-Response-Retainer →

Retainer, Ad-hoc und Preismodelle

Der wichtigste Hebel ist die Frage, ob Sie Incident Response vorab vertraglich sichern (Retainer) oder erst im Ernstfall beauftragen (Ad-hoc). Beides hat klare Konsequenzen:

Aspekt IR-Retainer (vorab) Ad-hoc (im Ernstfall)
Reaktionszeitvertraglich garantiertoffen, Anbieter ggf. ausgelastet
Stundensätzevorab vereinbart, meist vergünstigtNotfallzuschläge möglich
Kenntnis Ihrer UmgebungOnboarding vorab möglichEinarbeitung kostet Zeit
Proaktive Leistungenoft enthalten (Plan-Review, Übung)keine

Bei den Preismodellen lohnt der genaue Blick auf das Stundenkontingent: Wird ein nicht genutztes Kontingent am Jahresende verfällt es, oder lässt es sich in proaktive Leistungen wie Härtung, IR-Plan-Review oder eine Tabletop-Übung umwandeln? Letzteres bringt auch ohne Vorfall einen Gegenwert. Achten Sie zudem auf die Bemessung der Bereitstellungspauschale, die Gültigkeit der Stundensätze und darauf, ob ein Service-Level mit spürbarer Konsequenz hinterlegt ist.

BSI-APT-Qualifizierung nach § 3 BSIG

Das BSI führt eine öffentliche Liste qualifizierter APT-Response-Dienstleister im Sinne des § 3 BSIG. APT steht für Advanced Persistent Threats, also fortgeschrittene, gezielte Angriffe. Aufgenommen werden Dienstleister, die gegenüber dem BSI bestimmte Fähigkeiten und Qualitätsanforderungen für die Reaktion auf solche Angriffe nachgewiesen haben.

Für die Anbieterwahl ist diese Liste ein belastbares, unabhängiges Qualitätssignal, gerade bei komplexen oder zielgerichteten Vorfällen. Für Betreiber kritischer Infrastrukturen und Organisationen im erweiterten Pflichtenkreis ist die Nähe zum BSI ohnehin relevant. Sie können die Aufnahme in die Liste als Eignungs- oder Wertungskriterium nutzen, sollten aber prüfen, ob sie als zwingendes Muss-Kriterium den Wettbewerb zu stark einschränkt, oder besser als differenzierendes Wertungskriterium dient.

Grenzen der Qualifizierung. Die Aufnahme ist keine fortlaufende Zertifizierung. Geprüft werden einmalig eine eingereichte Bewerbungsunterlage und ein Interview, das inzwischen meist remote stattfindet. Danach bleibt der Dienstleister gelistet, ohne regelmäßige Nachprüfung. Über die heutige Leistungsfähigkeit im Einzelfall sagt die Liste nichts aus: weder über Teamgröße und freie Kapazität noch über Servicesprachen oder die Zusammensetzung des Teams. Ob neben der reinen Forensik auch Krisen- und Verhandlungsexperten (etwa für Ransomware-Verhandlungen, teils mit behördlichem oder militärischem Hintergrund) oder der Zugriff auf Datenschutz- und Rechtsexpertise vorhanden sind, geht aus der Liste nicht hervor und müssen Sie selbst erfragen.
Praxis-Hinweis: Eine BSI-Qualifizierung ersetzt nicht die Prüfung der konkreten Verfügbarkeit. Auch ein gelisteter Anbieter muss im Ernstfall freie Kapazität, eine garantierte Reaktionszeit und Erfahrung mit Ihrem Vorfalltyp bieten.

Zusammenspiel mit der Cyber-Versicherung

Eine Cyber-Versicherung deckt vor allem finanzielle Folgen eines Vorfalls ab und vermittelt im Schadenfall häufig eigene Incident-Response-Dienstleister über eine Schadenhotline und ein vorgegebenes Anbieter-Panel. Das ist hilfreich, ersetzt aber nicht zwingend einen selbst gewählten Retainer.

Eigener Retainer

Freie Anbieterwahl, ein Partner, der Ihre Umgebung bereits kennt, und vorab vereinbarte Konditionen.

Versicherer-Panel

Schnelle Vermittlung und Kostenübernahme, aber ggf. festgelegte Dienstleister und Abläufe des Versicherers.

Wichtig ist, beides vor dem Ernstfall abzustimmen: Darf Ihr eigener Retainer-Anbieter im Schadenfall tätig werden, und übernimmt die Versicherung dessen Kosten? Klären Sie diese Frage bei Vertragsabschluss, damit es im Vorfall keinen Streit über Zuständigkeit und Kostenübernahme gibt. In der Praxis fahren viele Organisationen zweigleisig: ein eingespielter Retainer-Partner plus eine Versicherung, deren Bedingungen die Nutzung dieses Partners zulassen.

IR-Anbieterwahl & Marktübersicht aller Anbieter

Eine Übersicht von 95 Incident-Response-Dienstleistern mit Bezug zum deutschsprachigen Markt: Logo, Website, Hauptsitz und die Kennzeichnung, ob der Anbieter beim BSI als APT-Response-Dienstleister qualifiziert ist (§ 3 BSIG). Eine Orientierungshilfe ohne Wertung oder Empfehlung. Blättern Sie durch die Vorschau: über die IR-Anbieterwahl darunter erstellen Sie in einer Minute Ihr Anforderungsprofil und erhalten die vollständige Liste kostenfrei.

IR-Anbieter Marktübersicht Vorschau Seite 1
IR-Anbieter Marktübersicht Vorschau Seite 2
Weitere Seiten
Vollständige Anbieterliste Alle 95 Anbieter mit BSI-APT-Kennzeichnung erhalten Sie kostenfrei über die IR-Anbieterwahl.
Seite 1 von 3
IR-Anbieterwahl: Ihr Anforderungsprofil in einer Minute
Sechs kurze Fragen, dann erhalten Sie die neutrale Marktübersicht aller 95 Anbieter, abgestimmt auf Ihren Bedarf.
Schnell & kostenlosIn unter 2 Minuten
HerstellerneutralOhne Wertung oder Provision
BSI-Kennzeichnung§ 3 BSIG sichtbar
95 AnbieterDACH-Markt im Überblick
Anbieter im Markt · Auszug
Auszug der Incident-Response-Anbieter im deutschsprachigen Markt
Über 95 Dienstleister mit Bezug zum DACH-Markt, in Ihrer Marktübersicht jeweils mit BSI-APT-Kennzeichnung. Auf Wunsch holen wir in einer neutralen Markterkundung auf Basis Ihres Anforderungskatalogs vergleichbare Angebote bei den relevanten Anbietern ein, anbieterunabhängig.
Was benötigen Sie?
Um welche Organisation handelt es sich?
Soll der Dienstleister beim BSI als APT-Response qualifiziert sein?
Qualifizierung nach § 3 BSIG als Eignungs- oder Wertungskriterium
Welche Umgebungen muss die Forensik abdecken?
Mehrfachauswahl möglich
Welche garantierte Reaktionszeit benötigen Sie?
In welcher Region sitzt Ihre Organisation?
Hilft bei der Einordnung von Vor-Ort-Fähigkeit (optional)
Ihr Anforderungsprofil ist erfasst
Wie dürfen wir Sie ansprechen?
Ihre Marktübersicht ist bereit95 IR-Anbieter, BSI-APT-Qualifizierung gekennzeichnet
95
Fast geschafft: wir benötigen nur noch Ihren Namen und Ihre E-Mail, dann erhalten Sie die vollständige Übersicht kostenfrei.
Bitte Name, gültige E-Mail und Zustimmung angeben.
Bitte haben Sie einen Augenblick Geduld …
Ihre Marktübersicht wird anhand Ihres Profils zusammengestellt …
Ihre Angaben werden geprüft
Passende Anbieter werden eingeordnet
BSI-APT-Kennzeichnung wird abgeglichen
Ihre Marktübersicht wird vorbereitet
Ihr Anforderungsprofil steht
Die vollständige Marktübersicht (95 Anbieter) öffnet sich in einem neuen Tab und ist auf dem Weg in Ihr Postfach.

Wie wir helfen

Incident Response ist Teil einer Detektions- und Reaktionsstrategie. Für die zugehörigen Bausteine liefern wir vergabekonforme, herstellerneutrale Muster-Leistungsverzeichnisse, die Sie für Ausschreibung und Angebotsvergleich nutzen können.

Muster-LV: Security Operations Center (SOC)

Für Detektion und Reaktion als laufenden Service, inklusive Eskalation und Berichtswesen.

SOC-Muster ansehen →
Muster-LV: Endpoint Detection & Response (EDR)

Für die endpunktseitige Erkennung und Reaktion, eine zentrale Datenquelle jeder IR-Analyse.

EDR-Muster ansehen →
Alle Muster-Leistungsverzeichnisse

Über 20 IT-Vorlagen, plus eine branchenoffene Blanko-Vorlage für eigene Themen wie IR-Retainer.

Zum Katalog →
Angebotsvergleich & Beratung

Wir unterstützen bei Kriterien, Wertungsmatrix und neutralem Vergleich von IR-Angeboten.

Angebotsvergleich →

Quellen

  1. BSI: "Qualifizierte APT-Response-Dienstleister im Sinne § 3 BSIG", bsi.bund.de, 2025.
  2. BSI: "Qualifizierte Dienstleister", bsi.bund.de, 2025.
  3. NIST: "SP 800-61 Rev. 3: Incident Response Recommendations and Considerations", csrc.nist.gov, 2025.
  4. ENISA: "Incident management", enisa.europa.eu, 2025.
  5. BSI: "IT-Grundschutz-Kompendium (Edition 2023), Baustein DER.2.1 Behandlung von Sicherheitsvorfällen", bsi.bund.de, 2023.