Locked Shields 2026

Orange Cyberdefense hilft DACHL-Team zu Top-Ergebnis bei Locked Shields 2026

, Orange Cyberdefense | Autor: Herbert Wieler

Orange Cyberdefense hilft DACHL-Team zu Top-Ergebnis bei Locked Shields 2026

NATO-Cyberabwehrübung Locked Shields 2026

Bei der NATO-Cyberabwehrübung Locked Shields 2026 wurde Cyberverteidigung zum Stresstest unter Echtzeitbedingungen. Das DACHL-Team aus Deutschland, Österreich, der Schweiz und Luxemburg erreichte Platz zwei von 16 multinationalen Teams und gewann die Wertungen Technische Cyberabwehr sowie Strategische Kommunikation.

Mit Kerstin Hörmann und Jörn Tillmanns unterstützten zwei Experten von Orange Cyberdefense Germany die Verteidigung kritischer Infrastrukturen gegen hochdynamische Angriffe.

Die NATO-Cyberabwehrübung Locked Shields 2026 hat erneut gezeigt, wie anspruchsvoll moderne Cyberverteidigung geworden ist. Das unter deutscher Führung stehende DACHL-Team aus Bundeswehr, österreichischem Bundesheer, Schweizer Armee und luxemburgischen Streitkräften belegte den zweiten Platz unter 16 multinationalen Teams. Zusätzlich erreichte das Team jeweils Rang eins in den Kategorien Technische Cyberabwehr und Strategische Kommunikation.

Die beiden IT-Sicherheitsfachleute unterstützten das Blue Team, das die simulierte Infrastruktur eines fiktiven Staates gegen koordinierte Echtzeitangriffe verteidigte. Insgesamt umfasste das DACHL-Team mehr als 190 Fachleute aus Streitkräften, Behörden und Wirtschaft.

Locked Shields 2026: Cyberangriffe auf kritische Infrastruktur in Echtzeit

Locked Shields gilt als die weltweit größte und komplexeste Live-Fire-Cyberübung. Organisiert wird sie vom NATO Cooperative Cyber Defence Centre of Excellence, kurz CCDCOE, in Tallinn. 2026 nahmen mehr als 4.000 Fachleute aus 41 Nationen teil.

Vom 20. bis 24. April verteidigten die Blue Teams vom Übungshauptquartier in Kalkar aus simulierte IT-Systeme kritischer Infrastrukturen. Die Szenarien umfassten realistische Angriffe auf verschiedene Industriesektoren. Spezialisierte Red Teams führten dabei koordinierte Multi-Vektor-Angriffe durch, die technische Reaktion, strategische Kommunikation, juristische Bewertung und Entscheidungsfähigkeit unter Zeitdruck verlangten.

Besonders herausfordernd: Die Angreifer hatten sich mehr als ein Jahr auf die Übung vorbereitet. Neben bekannten Schwachstellen setzten sie eigens entwickelte Werkzeuge und Angriffsmuster ein, die nicht zuverlässig über klassische Signaturen oder bekannte Indicators of Compromise erkannt werden konnten.

Orange-Cyberdefense-Experten im Einsatz für Windows- und Web-Sicherheit

Kerstin Hörmann, Managed-SIEM-Expertin bei Orange Cyberdefense Germany, und Jörn Tillmanns, CyberSOC Tech Lead und Senior Security Analyst, arbeiteten in den Sub-Teams für Windows-Systeme und Web-Applikationen.

Zu ihren Aufgaben gehörten das Anbinden von Logquellen, die Härtung der zu verteidigenden Systeme sowie die Erkennung und Abwehr laufender Angriffe. Entscheidend war dabei, innerhalb kürzester Zeit Transparenz über die Infrastruktur zu schaffen und Angriffe frühzeitig sichtbar zu machen.

„Innerhalb kürzester Zeit mussten Logquellen angebunden und Security-Tools ausgerollt werden, damit Analysten die Angriffe frühzeitig erkennen und wirksam darauf reagieren können. Hier zählt jede Sekunde“, erklärt Kerstin Hörmann.

SIEM, EDR und NDR: Warum klassische Erkennung allein nicht reicht

Während Locked Shields 2026 kamen alle drei Kerntechnologien moderner Security Operations Center zum Einsatz: SIEM, EDR und NDR.

SIEM-Systeme korrelierten sicherheitsrelevante Logdaten aus der gesamten Infrastruktur. EDR-Lösungen überwachten Endgeräte. NDR-Technologien analysierten den Netzwerkverkehr in Echtzeit. Gemeinsam bildeten sie die Grundlage, um verdächtige Aktivitäten zu erkennen, einzuordnen und abzuwehren.

Da die Angreifer teilweise eigene Tools nutzten, für die keine bekannten Signaturen oder Hashwerte vorlagen, reichte eine klassische Erkennung über Indicators of Compromise nicht aus. Das Team musste auf verhaltensbasierte und taktische Erkennung setzen. Dabei werden Angriffe anhand von Taktiken, Techniken und Prozeduren identifiziert, also anhand dessen, wie Angreifer tatsächlich vorgehen.

„Seit sechs Jahren arbeite ich im Bereich Detection und Response, aber Locked Shields ist eine andere Liga. Die Angriffe sind hochdynamisch, präzise orchestriert und erzeugen permanenten Entscheidungsdruck“, sagt Jörn Tillmanns.

Von der Übung in die Praxis: Erkenntnisse für Unternehmen und KRITIS-Betreiber

Für Orange Cyberdefense war es die zweite Teilnahme in Folge an Locked Shields. Bereits 2025 hatten drei Mitarbeitende das Unternehmen vertreten und gehörten zum Siegerteam von Deutschland und Singapur. 2026 zeigte Orange Cyberdefense in neuer Konstellation, dass die eigene Expertise auch unter veränderten Bedingungen trägt.

Den Gesamtsieg bei Locked Shields 2026 sicherte sich knapp ein Team aus Singapur und Lettland. Das DACHL-Team erreichte mit Platz zwei sowie den Spitzenwertungen in Technischer Cyberabwehr und Strategischer Kommunikation dennoch ein starkes Ergebnis.

Die Erfahrungen aus der Übung fließen bei Orange Cyberdefense direkt in die operative Arbeit ein. Dazu zählen die Konfiguration von SIEM-Systemen, Detection-Engineering-Prozesse und die Incident Response für Kunden. Auch der Austausch mit Fachleuten aus Streitkräften, Behörden und internationalen Partnerorganisationen ist ein zentraler Mehrwert. Gerade im Ernstfall kann ein belastbares Netzwerk die schnelle Weitergabe von Bedrohungsinformationen erleichtern.

„Die Übung spiegelt Angriffsmuster wider, denen Unternehmen in hochregulierten Branchen und im Bereich kritischer Infrastruktur täglich begegnen. Der Unterschied: Bei Locked Shields lassen sich Fehler machen, aus denen wir lernen können, bevor der Ernstfall eintritt“, sagt Kerstin Hörmann.

Über Locked Shields?

Locked Shields ist eine jährlich stattfindende multinationale Cyberabwehrübung des NATO Cooperative Cyber Defence Centre of Excellence in Tallinn, Estland. Die Übung wird seit 2010 organisiert und folgt dem Blue-Team-vs.-Red-Team-Prinzip.

Während Red Teams realistische Cyberangriffe durchführen, verteidigen Blue Teams simulierte Netzwerke und IT-Systeme kritischer Infrastrukturen. Neben technischer Abwehr werden auch strategische Kommunikation, rechtliche Bewertung, Krisenmanagement und Entscheidungsfindung unter hohem Zeitdruck getestet. Locked Shields 2026 unterstreicht damit die wachsende Bedeutung internationaler Zusammenarbeit in der Cyberabwehr – und zeigt, dass erfolgreiche Verteidigung heute weit über einzelne Sicherheitstools hinausgeht.