Cyber- und Informationsraum
Multinationale Cyber-Übung

Locked Shields

Die Verteidigung im Cyberraum gehört zum Aufgabenspektrum der Bundeswehr. Seit 2010 wird dies auf der NATONorth Atlantic Treaty Organization-Übung Locked Shields trainiert. Das Besondere an der Übung: Die Soldatinnen und Soldaten werden mit „Live Fire“ konfrontiert. Das bedeutet, dass die Teilnehmenden in Echtzeit Cyber-Angriffe erkennen und abwehren müssen.

Zwei Soldaten sitzen vor einem Monitor.

Was ist Locked Shields?

Locked Shields ist die weltweit größte und komplexeste multinationale Cyberabwehrübung, die seit 2010 jährlich vom NATONorth Atlantic Treaty Organization Cooperative Cyber Defence Centre of Excellence (CCDCOECooperative Cyber Defence Centre of Excellence) in Tallinn, Estland, organisiert wird. Während dieser „Live-Fire Cyber Defence Exercise“ verteidigen internationale Teams in Echtzeit simulierte Computernetzwerke und ITInformationstechnik-Systeme kritischer Infrastrukturen (KRITISKritische Infrastrukturen) gegen eine Vielzahl hochentwickelter Cyberangriffe.

Die Übung folgt dem Blue-Team-vs.-Red-Team-Prinzip: Das Red Team übernimmt die Rolle der Angreifer und führt koordinierte, realistische Angriffe durch, während die multinationalen Blue Teams – bestehend aus militärischen und zivilen ITInformationstechnik-Expertinnen und -Experten – die Verteidigung übernehmen und versuchen, die Angriffe abzuwehren. Die Teams arbeiten dabei meist dezentral von ihren Heimatstandorten oder an zentralen Orten in den teilnehmenden Nationen.

Logo mit einem Adlerkopf (oben) und einem umgedrehten Löwenkopf (unten)

Das Wappen des Blue Team bei der Übung Locked Shields 2025

Bundeswehr

Was sind die Ziele von Locked Shields?

Das primäre Ziel von Locked Shields ist es, die Verteidigung gegen Cyberangriffe zu verbessern und nationale sowie internationale Verfahren zur Cybersicherheit praxisnah zu trainieren. Während der Übung werden nicht nur technische Fähigkeiten im Aufbau und Betrieb von ITInformationstechnik-Systemen geschult, sondern auch Abläufe wie Meldewesen, Entscheidungsfindung, rechtliche Aspekte und Medienarbeit optimiert. Die Teilnehmerinnen und Teilnehmer tauschen Erfahrungen aus, bilden sich weiter und stärken die Zusammenarbeit mit Behörden und Partnern der Bundeswehr. In einem Wettbewerb zwischen multinationalen Angreifer- und Verteidigerteams werden Angriffe erkannt und abgewehrt, wobei die besten Teams am Ende ausgezeichnet werden. Zusätzlich gibt es Einzelwertungen in den Bereichen ITInformationstechnik-Forensik, Legal-Play und Media-Play.

Wie läuft Locked Shields ab?

Die Übung basiert auf einem fiktiven Szenario, das jedes Jahr weiterentwickelt wird. Im Mittelpunkt steht der Inselstaat Berylia, der sich gegen vielfältige Cyberangriffe des gegnerischen Staates Crimsonia verteidigen muss. Die Übung erstreckt sich über mehrere Tage und läuft in Echtzeit ab.

Zu Beginn erhalten die Blue Teams – die Verteidiger – Zugriff auf die simulierte ITInformationstechnik-Infrastruktur Berylias. Im Verlauf der Übung greift das Red Team diese Systeme mit einer Vielzahl realistischer Methoden an. Die Blue Teams müssen daraufhin Angriffe erkennen, abwehren, Systeme wiederherstellen und Schäden begrenzen. Parallel dazu sind sie gefordert, Vorfälle zu melden, Entscheidungen zu treffen und die Kommunikation mit Behörden, Partnern und der Öffentlichkeit zu steuern.

Die Teilnehmenden arbeiten dabei dezentral von ihren Standorten oder in nationalen Zentren. Während der gesamten Übung werden die Leistungen der Teams in verschiedenen Kategorien bewertet, etwa in technischer Abwehr, ITInformationstechnik-Forensik, rechtlichen Entscheidungen und Krisenkommunikation. Am Ende werden die erfolgreichsten Teams ausgezeichnet. So bietet Locked Shields ein realistisches, dynamisches Trainingsumfeld, das die Komplexität moderner Cyberangriffe und die Anforderungen an internationale Zusammenarbeit praxisnah abbildet.

Ein Blick auf die diesjährige Locked Shields

Auch 2025 brachte Locked Shields Cyber-Expertinnen und -Experten aus aller Welt zusammen – und das gemeinsame Team aus Deutschland und Singapur setzte dabei ein besonderes Ausrufezeichen: Mit vereinten Kräften sicherten sich die rund 225 Teilnehmenden beider Nationen den ersten Platz unter 17 internationalen Teams. In Kalkar und Tallinn verteidigten sie erfolgreich simulierte kritische Infrastrukturen gegen hochkomplexe Angriffe. Die enge, grenzüberschreitende Zusammenarbeit und der intensive Erfahrungsaustausch machten diesen Erfolg möglich und zeigen eindrucksvoll, wie wichtig internationale Kooperationen für die Stärkung der Cyberabwehr sind.

Kurz erklärt

Eine Cyber Range ist eine virtuelle, kontrollierte und interaktive Simulationsumgebung in der Cybersicherheitspersonal in Echtzeit lernt und übt Angriffe im Cyber- und Informationsraum abzuwehren. In einer Cyber Range werden Arbeitsplätze, Mittel und Bedingungen wirklichkeitsnah gehalten. Realistisch trainieren ist das oberste Gebot. Die eigenen Fähigkeiten und Fertigkeiten zur Cyber-Abwehr und gegebenenfalls zum Angriff werden in der Cyber Range abgefragt und herausgefordert. Eine Cyber Range kann als Truppenübungsplatz des Cyberraums gesehen werden. Wie auf physischen Schießbahnen üben die ITInformationstechnik-Spezialistinnen und -Spezialisten des Organisationsbereichs CIRCyber- und Informationsraum hier den scharfen Schuss – nur eben virtuell.

Das verteidigende Team in Übungen der ITInformationstechnik-Sicherheit wird „Blue Team“ genannt. Ein Blue Team muss seine ITInformationstechnik-Systeme je nach Übung in Echtzeit gegen Tausende von simulierten Angriffen verteidigen, Schäden beheben, und kompromittierte Systeme gegebenenfalls wiederherstellen. Es bedient sich dazu derselben Mittel und Methoden, wie es sie auch außerhalb der Simulationsumgebung einer Cyber Range anwenden würde. Das Blue Team kann aus unterschiedlichen Fachexpertinnen und Experten zusammengestellt sein – unterschiedliche Spezialisierungen, Dienstgrade oder Nationalitäten.

Das angreifende Team in einer Übung im Cyber- und Informationsraum wird „Red Team“ genannt. Auch außerhalb einer Simulationsumgebung testen zum Beispiel Unternehmen mit eigenen Red Teams ihre ITInformationstechnik-Sicherheit. Das Red Team hat nur ein Ziel: Die in einer Cyber Range virtualisierten Systeme des „Blue Teams“ anzugreifen, zu übernehmen, zu manipulieren oder unbrauchbar zu machen. Dies geschieht in Echtzeit und mit Mitteln und Methoden, wie sie auch echte gegnerische Kräfte anwenden (life fire). Während der Locked Shields agieren die multinationalen Red Teams aus Tallinn, Estland heraus.

In der kontrollierten Umgebung einer Cyber Range werden in Echtzeit wirkliche Angriffs- und Abwehrmethoden im und aus dem Cyber- und Informationsraum durchgeführt. Dies bezeichnet man daher auch als „live fire“. Solche Angriffe haben auf die virtualisierten Systeme die gleichen Auswirkungen, wie es sie auch auf Einrichtungen in der echten Welt haben könnten. Während der Locked Shields waren das unter anderem Folgen für kritische Infrastruktur, KRITISKritische Infrastrukturen, wie die Strom- und Wasserversorgung.

Wer hat bei Locked Shields geübt?

Was passierte bei den vergangenen Locked Shields?

Welche Dienststellen CIRCyber- und Informationsraum sind an der Locked Shields beteiligt?