Umfangreiche Live-Fire-Übung So unterstützt die Privatwirtschaft die Nato-Übung „Locked Shields“
Anbieter zum Thema
Die Locked Shields 2026 fordert Security- und IT-Experten in einem realistischen Live‑Fire‑Szenario hareus. Harfanglab und das Sans Institute unterstützen mit EDR und einer echter OT‑Umgebung. Doch dabei werden nicht nur technische Fähigkeiten trainiert.
(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)
Vom 13. bis 24. April 2026 fand die Krisenübung „Locked Shields“ der Nato statt. Diese wird seit 2010 jedes Jahr vom Cooperative Cyber Defence Centre of Excellence (CCDCOE) organisiert und verfolgt das Ziel, die Cyberabwehrfähigkeiten der teilnehmenden Nationen zu stärken, die Zusammenarbeit zwischen staatlichen und privaten Akteuren sowie auf multinationaler Ebene auszubauen und Innovationen im Cyberbereich voranzutreiben. In diesem Jahr waren 4.000 Teilnehmerinnen und Teilnehmer aus 40 Ländern dabei. Simuliert wurde ein realistisches, groß angelegtes Live-Fire-Szenario, in dem die Teilnehmenden ihre technischen, operativen und strategischen Fähigkeiten ebenso unter Beweis stellen mussten wie ihre Entscheidungsfähigkeit unter Druck. Im Fokus stand dabei der Schutz essenzieller Dienste und kritischer Infrastrukturen, die für das Bestehen moderner Gesellschaften sowie für den Betrieb militärischer Strukturen unverzichtbar sind.
Tim Conway, Fellow am Sans Institute und Leiter des Lehrplans für ICS
:quality(80)/p7i.vogel.de/wcms/6a/9b/6a9be19248c01e78cc8776fe5087a248/0129495526v1.jpeg "Vogel IT-Medien)")
Vom Endpoint zur OT-Umgebung
Neben Kräften der Deutschen Bundeswehr und Cyberreservisten nahmen auch Zivilisten teil. Und auch Unternehmen aus der Privatwirtschaft konnten sich bewerben, Kräfte zu entsenden oder wurden eingeladen, Produkte und Lösungen für ein möglichst realistisches Live-Fire-Szenario beizusteuern. So auch der französische Hersteller Harfanglab, der sich auf Endpoint Detection and Response (EDR) spezialisiert hat. Dieser wurde von der Bundeswehr als Technologiepartner für die strategische Übung ausgewählt. Anouck Teiller, Deputy CEO bei Harfanglab, zufolge, bleibe der Endpoint eine zentrale Angriffsfläche und Künstliche Intelligenz verändere die Bedrohungslage, da Angreifer damit Phishing industrialisieren, Deepfakes erzeugen oder zunehmend autonome Angriffsschritte durchführen könnten. „Gleichzeitig ist KI in der Verteidigung gerade am Endpoint besonders wirksam, weil dort relevante Telemetrie- und Verhaltensdaten zusammenlaufen. Harfanglab entwickelt eigene KI-Modelle auf Basis von Deep Learning und Machine Learning, die direkt auf Endgeräten eingesetzt und kontinuierlich nachtrainiert werden, um auch unbekannte Bedrohungen frühzeitig zu erkennen. Generative KI-Assistenten helfen zusätzlich, Alarmmüdigkeit zu reduzieren und Analysten schneller zu den relevanten Entscheidungen zu führen. Sie ersetzen Expertise nicht, sondern verstärken sie“, ergänzt Teiller.
Auch das Sans Institute hat sich an der diesjährigen Nato-Übung beteiligt. Es hat ein voll funktionsfähiges Stromerzeugungssystem entworfen und aufgebaut, in dem die internationalen Teams ein Stromnetz im nationalen Maßstab am Laufen halten mussten, während es aktiv angegriffen wurde. Die errichtete Umgebung umfasste knapp 70 physische industrielle Steuerungsanlagen, darunter echte speicherprogrammierbare Steuerungen (SPS), echte Mensch-Maschine-Schnittstellen (HMIs), echte Bediener- und Entwicklungsarbeitsplätze sowie die dazugehörige Netzwerkinfrastruktur, und 100 virtuelle Maschinen und Hunderte miteinander verbundener Systeme in der gesamten CCDCOE-Umgebung, die eine hybride IT/OT-Architektur bildeten. „Physische industrielle Steuerungssysteme wurden als Teil der Ausrüstung der Übung betrachtet, weil sie sich nicht gut genug simulieren lassen“, erklärt Tim Conway, Fellow am Sans Institute und Leiter des Lehrplans für Industrial Control Systems (ICS). „Digitale Handlungen müssen physische Folgen haben. Wenn ein Team den Überblick oder die Kontrolle verliert, ist die Stromerzeugung tatsächlich beeinträchtigt. Man kann Verteidiger nicht angemessen auf Simulatoren oder Systemen schulen, die sich nicht so verhalten, wie sie es in der realen Welt tun würden.“
:quality(80)/p7i.vogel.de/wcms/be/6c/be6c0167335aadb209c3ccc99848cdfb/0125816109v1.jpeg "© Gold - stock.adobe.com)")
Learnings aus der Nato-Übung
Tõnis Saar, Direktor des Nato CCDCOE, erläutert die Bedeutung der Zusammenarbeit zwischen der Nato, ihren Staaten und der Privatindustrie: „Locked Shields ist eine technisch anspruchsvolle Übung, bei der die Teilnehmer die Aufgabe haben, die kritischen Infrastruktursysteme zu verteidigen, auf die moderne Gesellschaften angewiesen sind. Da ein Großteil dieser kritischen Infrastruktur im Besitz des privaten Sektors ist und von diesem betrieben wird, ist eine enge Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor unerlässlich. Industriepartner wie das Sans Institute spielen eine entscheidende Rolle dabei, die Übung so realistisch und wirkungsvoll wie möglich zu gestalten.“
Dabei sei die Denkweise genauso wichtig wie die Fähigkeiten, appelliert Conway. „Verteidiger müssen wie Betreiber denken, nicht nur wie Sicherheitsexperten. Kritische Infrastrukturen können nicht wie herkömmliche IT-Systeme behandelt werden, bei denen Neustarts oder monatliche Patches möglich sind, das Verständnis des operativen Kontexts verändert die Art und Weise, wie die Reaktion ausfallen muss.“ Gerade IT und OT müssten gemeinsam verteidigt werden, wobei das Verständnis und die Steuerung der Kommunikation zwischen IT- und OT-Netzwerken für das Verteidigungsmanagement von zentraler Bedeutung seien. „Folgen müssen spürbar sein, nicht nur beobachtet werden. Wenn schlechte Entscheidungen zu einer sichtbaren Verschlechterung des Systems oder langfristigen Geräteschäden führen – statt zu Datenverlusten oder Systemwarnungen –, entwickeln Verteidiger ein viel schärferes Verständnis dafür, was tatsächlich auf dem Spiel steht.“
:quality(80)/p7i.vogel.de/wcms/ed/ec/edecd7da3ab9b1395f954c64911cc9a5/0130686104v2.jpeg "© Onetrick - stock.adobe.com)")
(ID:50839759)
