NATO Locked Shields 2026: Wie Orange Cyberdefense kritische Infrastrukturen unter Live-Fire-Bedingungen verteidigte

Was ist die NATO-Übung Locked Shields?

Locked Shields ist eine jährlich stattfindende Cyberverteidigungsübung des NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE). Ziel der Übung ist es, realistische Cyberangriffe auf kritische Infrastrukturen zu simulieren und internationale Blue Teams unter Echtzeitbedingungen zu testen.

Die teilnehmenden Teams verteidigen dabei komplexe digitale Infrastrukturen gegen koordinierte Angriffe auf:

• Energieversorgung
• Telekommunikation
• Militärsysteme
• Regierungsnetzwerke
• industrielle Steuerungssysteme (OT)

Im Fokus stehen dabei nicht nur technische Fähigkeiten, sondern auch:

• Incident Response
• Krisenmanagement
• Threat Detection
• Kommunikation
• Entscheidungsfähigkeit unter Druck

Locked Shields gilt weltweit als Benchmark für moderne Cyberresilienz und operative Cyberabwehr.

Warum Locked Shields als härteste Cyberabwehrübung der Welt gilt

Die Besonderheit von Locked Shields liegt in der extrem realitätsnahen Simulation hochkomplexer Angriffsszenarien. Anders als klassische Tabletop-Übungen arbeiten die Teams unter sogenannten „Live-Fire“-Bedingungen.

Das bedeutet: Angriffe finden in Echtzeit statt und müssen unmittelbar erkannt, analysiert und abgewehrt werden.

Die Übung kombiniert dabei:

• Advanced Persistent Threats (APT)
• Ransomware-Szenarien
• Angriffe auf OT-Systeme
• Desinformation
• Supply-Chain-Angriffe
• koordinierte Multi-Vector-Attacken

Für die Verteidiger zählt jede Minute. Fehlentscheidungen können direkte Auswirkungen auf kritische Systeme und Services haben. Ein CyberSOC Techlead von Orange Cyberdefense beschreibt die Übung als eine der intensivsten Erfahrungen seiner Karriere:

„Ich arbeite seit sechs Jahren im Bereich Detection & Response, aber Locked Shields ist immer wieder eine andere Liga. Die Angriffe sind hochdynamisch, präzise orchestriert und erzeugen permanenten Entscheidungsdruck.“ - Jörn Tillmanns, Technical Lead & Senior Security Analyst, Orange Cyberdefense

Gerade diese Kombination aus technischer Komplexität, Geschwindigkeit und internationaler Zusammenarbeit macht Locked Shields zu einer der anspruchsvollsten Cyberabwehrübungen weltweit.

Orange Cyberdefense erneut Teil multinationaler Blue Teams

Auch 2026 war Orange Cyberdefense erneut Teil von Locked Shields und unterstützte das internationale Blue Team der Länder Deutschland, Österreich, Schweiz und Luxemburg (DACHL).

Die Expert*innen von Orange Cyberdefense arbeiteten dabei gemeinsam mit internationalen Partnern an der Verteidigung komplexer IT- und OT-Infrastrukturen gegen hochentwickelte Angriffsszenarien.

Bereits 2025 sammelte Orange Cyberdefense wertvolle Erfahrungen innerhalb eines Siegerteams in den Bereichen:

• Hardening
• Detection Engineering
• Incident Response
• OT Security
• Web Application Security

Die erneute Teilnahme unterstreicht den hohen Anspruch des Unternehmens, moderne Cyberabwehr unter realitätsnahen Bedingungen kontinuierlich weiterzuentwickeln.

Die Rolle von Orange Cyberdefense Germany

Orange Cyberdefense Germany stellte 2026 zwei hochspezialisierte Expert*innen für das DACHL-Blue-Team:

• einen CyberSOC Techlead & Senior Security Analyst
• eine Managed SIEM Expertin

Der Fokus lag insbesondere auf:

• schneller Angriffserkennung
• effizientem Deployment von Security-Tools
• zentralisierter Log-Analyse
• Echtzeit-Monitoring
• Incident Response

Die Managed SIEM Expertin beschreibt insbesondere die Herausforderung der schnellen Visibilität innerhalb komplexer Infrastrukturen:

„Innerhalb kürzester Zeit müssen Logquellen angebunden und Security-Tools ausgerollt werden, damit Analyst*innen Angriffe frühzeitig erkennen und effektiv reagieren können. Hier zählt jede Sekunde.“ – Kerstin Hörmann, Managed SIEM Expertin, Orange Cyberdefense

Die Erfahrungen aus Locked Shields liefern wertvolle Erkenntnisse für reale Unternehmensumgebungen, insbesondere im Bereich kritischer Infrastruktur und hochregulierter Branchen.

Warum SIEM, EDR und NDR entscheidend für moderne Cyberabwehr sind

Moderne Cyberabwehr basiert heute auf der engen Verzahnung verschiedener Detection- und Response-Technologien.

Besonders entscheidend sind:

SIEM (Security Information and Event Management)

SIEM-Systeme sammeln, korrelieren und analysieren sicherheitsrelevante Logdaten aus unterschiedlichen Quellen.

Dadurch entsteht zentrale Visibilität über sicherheitskritische Ereignisse innerhalb der gesamten Infrastruktur.

EDR (Endpoint Detection and Response)

EDR-Lösungen überwachen Endgeräte und erkennen verdächtige Aktivitäten wie:

• Malware-Ausführung
• Privilege Escalation
• laterale Bewegungen
• ungewöhnliche Prozessaktivitäten

NDR (Network Detection and Response)

NDR analysiert Netzwerkverkehr in Echtzeit und identifiziert versteckte oder ungewöhnliche Kommunikationsmuster innerhalb der Infrastruktur.

Gerade bei komplexen Angriffen ist die Kombination aus SIEM, EDR und NDR entscheidend, um:

• Angriffe frühzeitig zu erkennen
• Bedrohungen einzugrenzen
• schnelle Gegenmaßnahmen einzuleiten
• Incident Response effizient zu koordinieren

Locked Shields zeigt eindrucksvoll, wie wichtig integrierte Detection- und Response-Architekturen für moderne Cyberresilienz geworden sind.

Sie wünschen sich Unterstützung? Kontaktieren Sie uns >

Welche Erkenntnisse Unternehmen aus Locked Shields ziehen können

Die Bedrohungslage für Unternehmen entwickelt sich zunehmend dynamisch. Angriffe werden automatisierter, koordinierter und schwerer erkennbar. Locked Shields verdeutlicht deshalb mehrere zentrale Erkenntnisse für Unternehmen:

1. Geschwindigkeit entscheidet: Je schneller Angriffe erkannt werden, desto geringer sind potenzielle Schäden.
2. Visibilität ist essenziell: Unternehmen benötigen vollständige Transparenz über Netzwerke, Endgeräte, Cloud-Systeme, OT-Infrastrukturen, Benutzeraktivitäten
3. Cyberresilienz ist Teamarbeit: Effektive Cyberabwehr erfordert die enge Zusammenarbeit zwischen SOC-Teams, Incident Response, IT Operations, OT-Security, Management, externen Partnern
4. Realistische Übungen sind unverzichtbar: Cyberresilienz entsteht nicht allein durch Technologie, sondern durch operative Vorbereitung unter realistischen Bedingungen.

Internationale Zusammenarbeit als Schlüssel moderner Cyberresilienz

Cyberangriffe machen nicht an Ländergrenzen halt. Gerade Angriffe auf kritische Infrastrukturen betreffen häufig mehrere Staaten, Unternehmen und Versorgungssysteme gleichzeitig. Internationale Kooperation wird deshalb zunehmend zu einem entscheidenden Faktor moderner Cyberabwehr.

Locked Shields demonstriert, wie wichtig:

• gemeinsamer Wissenstransfer
• abgestimmte Incident-Response-Prozesse
• gemeinsame Threat Intelligence
• standardisierte Sicherheitsverfahren
• vertrauensvolle Zusammenarbeit

für die Verteidigung komplexer digitaler Infrastrukturen geworden sind.

Die Zusammenarbeit multinationaler Teams schafft dabei wertvolle Erfahrungen, die weit über die Übung hinaus für reale Sicherheitsstrategien relevant sind.