Die Locked Shields 2026 fordert Security- und IT-Experten in einem realistischen Live‑Fire‑Szenario hareus. Harfanglab und das Sans Institute unterstützen mit EDR und einer echter OT‑Umgebung. Doch dabei werden nicht nur technische Fähigkeiten trainiert.
Bei der Locked Shields kommen jährlich Cybersepzialisten aus dem öffentlichen und privaten Sektor zusammen, um unter möglichst realen Bedingungen ihre Abwehrfähigkeiten zu trainieren.
Vom 13. bis 24. April 2026 fand die Krisenübung „Locked Shields“ der Nato statt. Diese wird seit 2010 jedes Jahr vom Cooperative Cyber Defence Centre of Excellence (CCDCOE) organisiert und verfolgt das Ziel, die Cyberabwehrfähigkeiten der teilnehmenden Nationen zu stärken, die Zusammenarbeit zwischen staatlichen und privaten Akteuren sowie auf multinationaler Ebene auszubauen und Innovationen im Cyberbereich voranzutreiben. In diesem Jahr waren 4.000 Teilnehmerinnen und Teilnehmer aus 40 Ländern dabei. Simuliert wurde ein realistisches, groß angelegtes Live-Fire-Szenario, in dem die Teilnehmenden ihre technischen, operativen und strategischen Fähigkeiten ebenso unter Beweis stellen mussten wie ihre Entscheidungsfähigkeit unter Druck. Im Fokus stand dabei der Schutz essenzieller Dienste und kritischer Infrastrukturen, die für das Bestehen moderner Gesellschaften sowie für den Betrieb militärischer Strukturen unverzichtbar sind.
Cyberbedrohungen sind keine isolierten digitalen Vorfälle mehr, sondern sind in umfassendere militärische und geopolitische Konflikte eingebettet. Wir beobachten staatliche Spionage, mit konventioneller Kriegsführung koordinierte Cyberangriffe und Vergeltungsangriffe auf staatlicher Ebene.
Tim Conway, Fellow am Sans Institute und Leiter des Lehrplans für ICS
Neben Kräften der Deutschen Bundeswehr und Cyberreservisten nahmen auch Zivilisten teil. Und auch Unternehmen aus der Privatwirtschaft konnten sich bewerben, Kräfte zu entsenden oder wurden eingeladen, Produkte und Lösungen für ein möglichst realistisches Live-Fire-Szenario beizusteuern. So auch der französische Hersteller Harfanglab, der sich auf Endpoint Detection and Response (EDR) spezialisiert hat. Dieser wurde von der Bundeswehr als Technologiepartner für die strategische Übung ausgewählt. Anouck Teiller, Deputy CEO bei Harfanglab, zufolge, bleibe der Endpoint eine zentrale Angriffsfläche und Künstliche Intelligenz verändere die Bedrohungslage, da Angreifer damit Phishing industrialisieren, Deepfakes erzeugen oder zunehmend autonome Angriffsschritte durchführen könnten. „Gleichzeitig ist KI in der Verteidigung gerade am Endpoint besonders wirksam, weil dort relevante Telemetrie- und Verhaltensdaten zusammenlaufen. Harfanglab entwickelt eigene KI-Modelle auf Basis von Deep Learning und Machine Learning, die direkt auf Endgeräten eingesetzt und kontinuierlich nachtrainiert werden, um auch unbekannte Bedrohungen frühzeitig zu erkennen. Generative KI-Assistenten helfen zusätzlich, Alarmmüdigkeit zu reduzieren und Analysten schneller zu den relevanten Entscheidungen zu führen. Sie ersetzen Expertise nicht, sondern verstärken sie“, ergänzt Teiller.
Auch das Sans Institute hat sich an der diesjährigen Nato-Übung beteiligt. Es hat ein voll funktionsfähiges Stromerzeugungssystem entworfen und aufgebaut, in dem die internationalen Teams ein Stromnetz im nationalen Maßstab am Laufen halten mussten, während es aktiv angegriffen wurde. Die errichtete Umgebung umfasste knapp 70 physische industrielle Steuerungsanlagen, darunter echte speicherprogrammierbare Steuerungen (SPS), echte Mensch-Maschine-Schnittstellen (HMIs), echte Bediener- und Entwicklungsarbeitsplätze sowie die dazugehörige Netzwerkinfrastruktur, und 100 virtuelle Maschinen und Hunderte miteinander verbundener Systeme in der gesamten CCDCOE-Umgebung, die eine hybride IT/OT-Architektur bildeten. „Physische industrielle Steuerungssysteme wurden als Teil der Ausrüstung der Übung betrachtet, weil sie sich nicht gut genug simulieren lassen“, erklärt Tim Conway, Fellow am Sans Institute und Leiter des Lehrplans für Industrial Control Systems (ICS). „Digitale Handlungen müssen physische Folgen haben. Wenn ein Team den Überblick oder die Kontrolle verliert, ist die Stromerzeugung tatsächlich beeinträchtigt. Man kann Verteidiger nicht angemessen auf Simulatoren oder Systemen schulen, die sich nicht so verhalten, wie sie es in der realen Welt tun würden.“
Tõnis Saar, Direktor des Nato CCDCOE, erläutert die Bedeutung der Zusammenarbeit zwischen der Nato, ihren Staaten und der Privatindustrie: „Locked Shields ist eine technisch anspruchsvolle Übung, bei der die Teilnehmer die Aufgabe haben, die kritischen Infrastruktursysteme zu verteidigen, auf die moderne Gesellschaften angewiesen sind. Da ein Großteil dieser kritischen Infrastruktur im Besitz des privaten Sektors ist und von diesem betrieben wird, ist eine enge Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor unerlässlich. Industriepartner wie das Sans Institute spielen eine entscheidende Rolle dabei, die Übung so realistisch und wirkungsvoll wie möglich zu gestalten.“
Dabei sei die Denkweise genauso wichtig wie die Fähigkeiten, appelliert Conway. „Verteidiger müssen wie Betreiber denken, nicht nur wie Sicherheitsexperten. Kritische Infrastrukturen können nicht wie herkömmliche IT-Systeme behandelt werden, bei denen Neustarts oder monatliche Patches möglich sind, das Verständnis des operativen Kontexts verändert die Art und Weise, wie die Reaktion ausfallen muss.“ Gerade IT und OT müssten gemeinsam verteidigt werden, wobei das Verständnis und die Steuerung der Kommunikation zwischen IT- und OT-Netzwerken für das Verteidigungsmanagement von zentraler Bedeutung seien. „Folgen müssen spürbar sein, nicht nur beobachtet werden. Wenn schlechte Entscheidungen zu einer sichtbaren Verschlechterung des Systems oder langfristigen Geräteschäden führen – statt zu Datenverlusten oder Systemwarnungen –, entwickeln Verteidiger ein viel schärferes Verständnis dafür, was tatsächlich auf dem Spiel steht.“
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8e/6c/8e6c180fceaa9fd7e03d529701bb4ec2/0129626445v1.jpeg "Hybride Angriffe verbinden digitale Attacken und physische Sabotage, Ausfälle bei Energie, Kommunikation und Finanzwesen treffen Unternehmen meist unmittelbar. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/2e/a42e5ce958119e9573114e36963d70af/0131398740v1.jpeg "Indem sie Schwachstellen im Open-Source-Server GlassFish ausnutzen, könnten Cyberkriminelle Remote Code ausführen und möglicherweise den gesamten Server übernehmen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/35/ec35dd567fbd8a9be0f3e154b3f4e3e3/0130401535v2.jpeg "Immer schneller und professioneller agierende Angreifer gefährden die Finanzbranche. Armis sieht die Früherkennung von Attacken als effektivste Lösung. (Bild: © Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/56/7456d1b884ec8babe8213eb174138410/0131163827v1.jpeg "Bei der Locked Shields kommen jährlich Cybersepzialisten aus dem öffentlichen und privaten Sektor zusammen, um unter möglichst realen Bedingungen ihre Abwehrfähigkeiten zu trainieren. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/ab/67abf0435efecf8d2c7a457e713fe1ce/0129496904v1.jpeg "Nach der Azure Arc-Anbindung lassen sich zahlreiche Dienste aus Azure nutzen, auch Protokollierung und Überwachung. (Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/49/7d/497db406d7ac7f31e29300e4e3b6da8c/0131030023v2.jpeg "Gezielte, oft unsichtbare Angriffe umgehen traditionelle Prävention. Eine kontinuierliche Cyber Defense wird zur Voraussetzung für wirtschaftliche Stabilität, Resilienz und digitale Souveränität. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/d7/82d765c6e48fb04717a28466b05a6e26/0131030915v1.jpeg "Während das Threat Management Sichtbarkeit zur Erkennung und Reaktion braucht, benötigt die eigene Architektur hingegen laut Autor Marco Pfuhl Unsichtbarkeit durch logisch isolierte, verdeckte Backups, da Angreifer sichtbare, adressierbare Systeme automatisiert aufspüren und zuerst kompromittieren. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/b2/e9b2bcd62bd6a4f4ff2ec83c5b599e9d/0130995446v2.jpeg "Staatliche Institutionen sind begehrte Angriffsziele. Entsprechend sicher müssen ihre Kommunikationslösungen sein. Aber echte Sicherheit braucht mehr als Verschlüsselung. Vier Kernpunkte zeigen, worauf es wirklich ankommt. (Bild: © lisha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/a1/10a12092d7740dd5ab08bf039e960e07/0131243860v1.jpeg "Diese Europakarte zeigt, welche öffentlichen Einrichtungen und Behörden Matrix‑basierte beziehungsweise Matrix‑kompatible Kommunikationssysteme nutzen. (Bild: Element)")
:quality(80)/p7i.vogel.de/wcms/07/95/0795e8ee2c5493f136bd924aeba3dbfa/0131416504v1.jpeg "Die geplante EUDI-Wallet soll künftig digitale Ausweise und weitere Nachweise sicher auf dem Smartphone bündeln. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f1/02/f1028ded369fb1140db85f5b13681745/0130884384v1.jpeg "Mitarbeitende nutzen häufig Karte, Passwort und Fingerabdruck parallel. HID führt diese Zugänge zusammen und verspricht weniger Systembrüche im Identitäts-Management. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/0b/390bc7954251fa4f0572c7af2f1c0fca/0131319205v1.jpeg "Vom 16. bis 18. September 2026 findet die Munich Cyber Tactics, Techniques & Procedures statt. (Bild: Vogel IT-Akademie )")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/6a/9b/6a9be19248c01e78cc8776fe5087a248/0129495526v1.jpeg "Geopolitische Spannungen verlagern sich zunehmend in den digitalen Raum. So bereiten sich die Nato und Deutschland auf hybride Angriffe vor. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/be/6c/be6c0167335aadb209c3ccc99848cdfb/0125816109v1.jpeg "Immer häufiger, immer ausgefeilter: Cyberangriffe bedrohen nicht nur Unternehmen, sondern ganze Staaten. Der NATO-Gipfel 2025 macht klar – ohne gezielte Investitionen in Cybersicherheit und Resilienz drohen Kontrollverlust, Vertrauensverlust und digitale Instabilität. (Bild: © Gold - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/ec/edecd7da3ab9b1395f954c64911cc9a5/0130686104v2.jpeg "An der Nato-Übung „Locked Shields“ nehmen jährlich rund 40 anderen Nationen teil, auch die Cybertruppe der Bundeswehr. (Bild: © Onetrick - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/9b/6a9be19248c01e78cc8776fe5087a248/0129495526v1.jpeg "Geopolitische Spannungen verlagern sich zunehmend in den digitalen Raum. So bereiten sich die Nato und Deutschland auf hybride Angriffe vor. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ed/ec/edecd7da3ab9b1395f954c64911cc9a5/0130686104v2.jpeg "An der Nato-Übung „Locked Shields“ nehmen jährlich rund 40 anderen Nationen teil, auch die Cybertruppe der Bundeswehr. (Bild: © Onetrick - stock.adobe.com)")