25 Jahre S-CERT

25 Jahre S-CERT

Pionierarbeit, Vertrauen und Verantwortung für digitale Sicherheit

„Wir schreiben das Jahr 2001. Ein gehackter Server in China, gefälschte Sparkassen-Webseiten und ein Zeitpunkt, an dem eigentlich niemand erreichbar ist: Das chinesische Neujahrsfest. Klassische Kontaktwege führen ins Leere, die Uhr tickt. Also wird ein ungewöhnlicher Weg eingeschlagen. Eine spontane Telefonkonferenz mit der deutschen und der chinesischen Botschaft bringt schließlich Bewegung in die Sache. Der Angriff wird gestoppt.“

Was heute kaum vorstellbar wäre, war vor 25 Jahren gelebte Realität. Denn als das S-CERT 2001 seine Arbeit aufnahm, gab es weder eingespielte Meldewege noch internationale Netzwerke für Cybervorfälle. „Das Internet war ein Stück weit der Wilde Westen“, erinnert sich Matthias Stoffel, SIZ Abteilungsleiter und Mitgründer von S-CERT. „Wir hatten damals weder feste Ansprechpartner noch gelebte Prozesse. Also haben wir pragmatisch gehandelt und uns gefragt: Wen müssen wir jetzt zusammenbringen, damit wir weiterkommen?“

„Wir mussten am Anfang oft unkonventionell handeln. Aber genau das hat uns handlungsfähig gemacht.“
Matthias Stoffel

Die spontane Telefonkonferenz mit der deutschen und der chinesischen Botschaft sei genauso ein unkonventioneller Schritt gewesen. „Dieser Mut, neue Wege zu gehen, hat dazu beigetragen, dass die Sparkassen-Finanzgruppe schon früh handlungsfähig wurde.“

Früh reagieren, bevor andere zweifeln
Der Auslöser für die Gründung des S-CERT war klar: Mit der zunehmenden Öffnung der Sparkassen ins Internet wuchsen die Risiken schneller als das vorhandene Sicherheitswissen. Angriffe ließen sich nur verstehen und abwehren, wenn man sie technisch durchdrang.

Schon kurz nach dem S-CERT-Start folgte die nächste Bewährungsprobe: Hinweise auf einen neuartigen Computerwurm kursierten, belastbare Informationen waren rar. Das S-CERT analysierte die Lage, leitete Schutzmaßnahmen ab und informierte, damals noch telefonisch, die Institute, Landesbanken und Rechenzentren. Nicht alle glaubten an die Warnungen. Wenig später war der Wurm da. Er richtete weltweit große Schäden an, die S-CERT Nutzer waren geschützt.

Diese frühe Phase prägt den Anspruch des S-CERT bis heute: Risiken erkennen, bevor sie akut werden und Wissen teilen, bevor Schaden entsteht.

Vom kleinen Team zur zentralen Säule der Cyberabwehr
Aus den improvisierten Anfängen entwickelte sich Schritt für Schritt eine hochspezialisierte Einheit. Heute bewertet das S-CERT Sicherheitslücken für tausende Produkte, betreibt automatisierte Lagebilder, analysiert Malware und koordiniert die Bearbeitung von Phishing-Vorfällen. Allein im Bereich des Patch-Managements hat das Team über die Jahre mehrere hunderttausend sicherheitsrelevante Meldungen analysiert und bewertet. 

Seit 2009 erhalten alle Sparkassen eine Grundversorgung mit CERT-Leistungen. Ein weiterer Meilenstein folgte 2010 mit dem Aufbau des Lage- und Reaktionsmechanismus (L+R) im Auftrag des Deutschen Sparkassen -und Giroverbandes (DSGV). Über diesen Mechanismus kann die zentrale Cyberabwehr des S-CERT aktiviert werden, bislang in fast 80.000 Fällen erfolgreich.

Dabei geht es längst nicht mehr nur um die IT der Institute. „Die Mauern der Banken sind hoch, aber die Kundinnen und Kunden der Sparkassen haben kein Dach“, beschreibt Stoffel einen Perspektivwechsel der vergangenen Jahre. Cyberabwehr bedeutet heute auch, Endkundinnen und Endkunden mitzuschützen.

Stärke durch Team und Vernetzung
Was das S-CERT besonders macht, ist nicht nur Technik, sondern Haltung. Ein Team aus mehreren Generationen arbeitet eng zusammen, Wissen wird offen geteilt. Dieses Prinzip endet nicht an Organisationsgrenzen: Schon früh teilte das S-CERT sein Wissen zu Sicherheitslücken mit anderen CERTs.

Konsequenterweise war das S-CERT 2002 Mitgründer des nationalen CERT-Verbunds, der heute mehr als 40 namhafte Mitglieder umfasst, darunter das Bundesamt für Sicherheit in der Informationstechnik (BSI), Industrieunternehmen wie Telekom, Bosch, Siemens oder VW sowie die Bundeswehr. Der vertrauensvolle Austausch in diesem Netzwerk sorgt dafür, dass Erfahrungen nicht isoliert bleiben, sondern allen zugutekommen.

In diesem Zusammenhang übernahm das S-CERT zudem die Rolle des zentralen Single Point of Contact (SPOC) zwischen dem BSI und den Häusern der Sparkassen-Finanzgruppe. Eine Funktion, die heute auch von Ermittlungsbehörden und anderen Institutionen genutzt wird.

Blick nach vorn
Die Bedrohungslage wird komplexer: Während automatisierte Massenangriffe an Bedeutung verlieren, nehmen gezielte, hochprofessionelle Angriffe unter Nutzung der KI zu. Gleichzeitig rücken Betrugsversuche gegen Kundinnen und Kunden stärker in den Fokus. Für das S-CERT heißt das: Wachsam bleiben, dazulernen, vernetzt handeln.

Mit „SAFE-Support“ ist seit 2025 zudem ein neues Unterstützungsangebot hinzugekommen: Im Auftrag des DSGV begleitet das S-CERT Institute bei Rechtsverfahren im Zusammenhang mit Betrugsfällen. Ein weiterer Schritt, Cyberabwehr ganzheitlich zu denken.

Nach 25 Jahren ist klar: Das S-CERT ist ein zentraler Baustein für Stabilität, Vertrauen und Sicherheit in der Sparkassen-Finanzgruppe, getragen von einem Team, das seinen Auftrag ernst nimmt.

„Cyberabwehr funktioniert nur gemeinsam, durch Vertrauen, Austausch und ein starkes Team.“
Matthias Stoffel

Ihr Ansprechpartner

Matthias Stoffel

Abteilungsleiter S-CERT

Telefon +49 228 4495-7539 E-Mail matthias.stoffel [at] siz [dot] de