Locked Shields 2026: DACHL-Team erreicht Platz zwei bei weltweit größter Cyberabwehrübung
Cyberangriffe auf kritische Infrastrukturen werden zunehmend komplexer und professioneller. Entsprechend wichtig sind realitätsnahe Trainingsszenarien, in denen Sicherheitsverantwortliche ihre Fähigkeiten unter Extrembedingungen testen können. Die NATO-Übung Locked Shields gilt dabei als weltweit anspruchsvollste Live-Fire-Cyberübung. Mehr als 4.000 Fachleute aus 41 Nationen nahmen 2026 an dem Großereignis teil. Mit einem zweiten Platz im Gesamtklassement erzielte das DACHL-Team ein herausragendes Ergebnis.
Das gemeinsame Team aus Bundeswehr, österreichischem Bundesheer, Schweizer Armee und luxemburgischen Streitkräften belegte bei der NATO-Cyberabwehrübung Locked Shields 2026 den zweiten Platz unter 16 multinationalen Teams. Zusätzlich erreichte das unter deutscher Führung stehende Blue Team den ersten Rang in den Kategorien Technische Cyberabwehr und Strategische Kommunikation.
Zu den mehr als 190 beteiligten Fachleuten aus Streitkräften, Behörden und Wirtschaft gehörten auch Kerstin Hörmann und Jörn Tillmanns von Orange Cyberdefense Germany. Die Übung wurde vom NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) in Tallinn organisiert und simulierte die Verteidigung der digitalen Infrastruktur eines fiktiven Staates gegen koordinierte Cyberangriffe in Echtzeit.
Vom 20. bis 24. April verteidigten die Blue Teams im Übungshauptquartier in Kalkar komplexe IT-Systeme kritischer Infrastrukturen gegen spezialisierte Red Teams. Die Angreifer hatten sich über ein Jahr auf die Szenarien vorbereitet und setzten neben bekannten Schwachstellen auch eigens entwickelte Werkzeuge und Angriffsmethoden ein. Dadurch waren viele Attacken nicht über klassische Signaturen oder Indicators of Compromise erkennbar.
Kerstin Hörmann, Managed-SIEM-Expertin bei Orange Cyberdefense, und Jörn Tillmanns, CyberSOC Tech Lead und Senior Security Analyst, arbeiteten in den Bereichen Windows und Web-Applikationen. Zu ihren Aufgaben gehörten die Anbindung von Logquellen, die Härtung der Systeme sowie die Erkennung und Abwehr laufender Angriffe. „Innerhalb kürzester Zeit mussten Logquellen angebunden und Security-Tools ausgerollt werden, damit Analysten die Angriffe frühzeitig erkennen und wirksam darauf reagieren können. Hier zählt jede Sekunde“, erklärt Hörmann.
Während der Übung kamen alle drei zentralen Technologien moderner Security Operations Center zum Einsatz: SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) und NDR (Network Detection and Response). Da viele Angriffe mit bislang unbekannten Werkzeugen durchgeführt wurden, setzte das Team verstärkt auf verhaltensbasierte Erkennungsmethoden. Dabei werden Angreifer anhand ihrer Taktiken, Techniken und Prozeduren (TTPs) identifiziert, anstatt sich ausschließlich auf bekannte Signaturen zu verlassen.
Bewertet wurden die Teams nicht nur hinsichtlich ihrer Fähigkeit, Angriffe abzuwehren. Auch die Wiederherstellung kompromittierter Systeme sowie die Sammlung und Weitergabe von Cyber Threat Intelligence flossen in die Gesamtwertung ein. „Seit sechs Jahren arbeite ich im Bereich Detection und Response, aber Locked Shields ist eine andere Liga. Die Angriffe sind hochdynamisch, präzise orchestriert und erzeugen permanenten Entscheidungsdruck“, sagt Tillmanns.
Für Orange Cyberdefense war es die zweite Teilnahme in Folge. Bereits 2025 gehörten Mitarbeitende des Unternehmens zum Siegerteam von Deutschland und Singapur. Die bei Locked Shields gewonnenen Erkenntnisse fließen direkt in die operative Sicherheitsarbeit ein, etwa in die Konfiguration von SIEM-Systemen, das Detection Engineering und die Incident Response. Darüber hinaus stärkt die Übung die internationale Zusammenarbeit zwischen Sicherheitsbehörden, Streitkräften und Unternehmen.
„Die Übung spiegelt Angriffsmuster wider, denen Unternehmen in hochregulierten Branchen und im Bereich kritischer Infrastruktur täglich begegnen. Der Unterschied: Bei Locked Shields lassen sich Fehler machen, aus denen wir lernen können, bevor der Ernstfall eintritt“, betont Hörmann.
