KRITIS

Training für den Ernstfall: Locked Shields Generalprobe für den Ernstfall

, SANS Institute | Autor: Herbert Wieler

Training für den Ernstfall: Locked Shields Generalprobe für den Ernstfall

Wenn Cyberangriffe das Licht ausgehen lassen könnten

Tallinn, ein kühler Morgen im April. Während Europa über Energiepreise, Versorgungssicherheit und geopolitische Spannungen diskutiert, spielt sich in Estland ein Szenario ab, das all diese Themen auf eine beunruhigend konkrete Ebene hebt. Denn hier wird nicht nur über Cyberbedrohungen gesprochen – hier werden sie simuliert. In Echtzeit. Mit spürbaren Folgen.

Beim diesjährigen „Locked Shields“, der weltweit größten Live-Cyberabwehrübung des NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) , geht es um nichts Geringeres als die Verteidigung kritischer Infrastrukturen unter Dauerbeschuss. Und mittendrin: das SANS Institute, das mit einer Übungsumgebung antritt, die näher an der Realität kaum sein könnte.

Von physischen SPS-Systemen bis hin zur Simulation des Stromnetzes auf nationaler Ebene – SANS bildet Cyberabwehr mit einer realitätsnahen Live-Übungsumgebung aus

Was auf den ersten Blick wie eine weitere Cyberübung klingt, entpuppt sich schnell als hochkomplexes Zusammenspiel aus digitaler Verteidigung und physischer Wirkung. Statt abstrakter Simulationen erwartet die Teilnehmenden ein funktionierendes Stromerzeugungssystem – mit echten speicherprogrammierbaren Steuerungen, realen Mensch-Maschine-Schnittstellen und einer Infrastruktur, die so auch in einem nationalen Netz stehen könnte. 16 internationale Teams müssen dieses System stabil halten, während spezialisierte Angreiferteams unermüdlich versuchen, es zu stören.

Felix Schallock
Felix Schallock, SANS Institute

„Hier hat jede Entscheidung unmittelbare Konsequenzen“, erklärt Felix Schallock, der die Initiative beim SANS Institute leitet. „Wer den Überblick verliert, riskiert nicht nur einen Systemfehler – sondern im Ernstfall den Ausfall der Stromversorgung.“

Diese Nähe zur Realität ist gewollt. Denn die Bedrohungslage hat sich längst verändert: Angriffe auf Energieversorger, Wasserwerke oder Verkehrsnetze sind keine theoretischen Planspiele mehr. Sie sind Teil moderner Konflikte – oft unsichtbar, aber mit potenziell massiven Auswirkungen.

Locked Shields, seit 2010 jährlich ausgerichtet, gilt als Gradmesser für internationale Cyberabwehrfähigkeiten. Doch ohne Partner aus der Industrie wäre die Übung kaum in dieser Form möglich. „Ein Großteil kritischer Infrastruktur liegt in privater Hand“, betont CCDCOE-Direktor Tõnis Saar. „Deshalb ist die Zusammenarbeit zwischen öffentlichen Institutionen und Unternehmen entscheidend – sie macht diese Übung erst wirklichkeitsnah.“

Das von SANS aufgebaute Szenario umfasst Dutzende physische Steuerungssysteme, ergänzt durch virtuelle Maschinen und eine komplexe IT/OT-Architektur. Alles ist miteinander vernetzt – und alles reagiert. Wird ein Fehler gemacht, bleibt es nicht bei einer Warnmeldung: Turbinen werden gedrosselt, Leistungsschalter öffnen sich, die Stromproduktion sinkt. Was hier geschieht, ist keine abstrakte Punktewertung – es ist ein simuliertes Versagen mit sichtbaren Folgen.

Für Tim Conway, Fellow am SANS Institute und Leiter des ICS-Lehrplans, liegt genau darin der entscheidende Lerneffekt: „Man kann diese Systeme nicht einfach neu starten oder schnell patchen. Man muss verstehen, wie sie betrieben werden – und entsprechend handeln. Verteidigung beginnt hier mit dem Denken eines Operators.“ Für die Teams bedeutet das: ständige Alarmbereitschaft, klare Kommunikation zwischen IT- und OT-Bereichen und vor allem Disziplin im Betrieb. Denn die Angriffe sind realitätsnah – und gnadenlos. Ein falscher Schritt kann ausreichen, um eine Kettenreaktion auszulösen, die das gesamte System destabilisiert.

James Lyne, CEO SANS Institute
James Lyne, CEO SANS Institute

Auch James Lyne, CEO des SANS Institute, sieht in solchen Übungen einen entscheidenden Baustein für die Zukunft der Cybersicherheit. „Die Szenarien, auf die wir hier vorbereiten, finden längst statt – von staatlich gesteuerter Spionage bis hin zu hybriden Angriffen, die digitale und physische Komponenten verbinden“, sagt er. „Und mit der zunehmenden Geschwindigkeit durch KI wird die Lage noch dynamischer.“

Am Ende geht es bei Locked Shields um mehr als Technik. Es geht um Resilienz. Um die Fähigkeit, unter Druck handlungsfähig zu bleiben – und Systeme zu schützen, die das Rückgrat moderner Gesellschaften bilden. Oder, wie Schallock es formuliert: „Wir lehren nicht nur Cybersicherheit. Wir zeigen, was es bedeutet, die Infrastruktur eines ganzen Landes zu verteidigen – wenn es wirklich darauf ankommt.“