PSIRT - Product Security Incident Response Team
Produkt-Sicherheits-Reaktionsteam beim Hersteller
Was bedeutet PSIRT?
Ein PSIRT (Product Security Incident Response Team) ist die organisatorische Einheit bei einem Hersteller, die für die Behandlung von Schwachstellen in den eigenen Produkten verantwortlich ist. Im Unterschied zu einem klassischen CSIRT, das interne IT-Sicherheitsvorfälle behandelt, ist das PSIRT die externe Schnittstelle für Sicherheitsforscher, Kunden und Behörden. Der internationale Branchenverband FIRST.org veröffentlicht das „PSIRT Services Framework“ als Referenz für den Aufbau eines solchen Teams.
Aufgaben eines PSIRT
Ein PSIRT nimmt Schwachstellenmeldungen entgegen (oft über eine security.txt oder ein dediziertes Postfach), validiert sie, koordiniert die Entwicklung von Fixes, beantragt CVE-IDs und veröffentlicht Advisories - idealerweise im CSAF-Format.
Pflicht nach Cyber Resilience Act
Der CRA verlangt von Herstellern „angemessene Verfahren für die Bearbeitung von Schwachstellen“ über den gesamten Produktlebenszyklus. Ein PSIRT (oder eine funktional gleichwertige Stelle) ist faktisch die Voraussetzung dafür, diese Anforderung zu erfüllen.
Coordinated Vulnerability Disclosure
Das PSIRT ist auch der Anlaufpunkt für Coordinated Vulnerability Disclosure (CVD): Sicherheitsforscher melden eine Lücke an das PSIRT, beide Seiten verständigen sich auf eine Veröffentlichungs-Frist, das PSIRT liefert in dieser Zeit einen Fix.
Verwandte Begriffe
Quellen
Zuletzt aktualisiert: 2026-05-19