NDB-Überwachung vor dem Aus: Gericht stoppt Schweizer Geheimdienst

Ein wegweisendes Urteil erschüttert die Schweizer Sicherheitsarchitektur: Das Bundesverwaltungsgericht hat die massenhafte Kabelüberwachung durch den Nachrichtendienst des Bundes für verfassungswidrig erklärt. Gleichzeitig rüsten sich Schweizer Unternehmen mit Millionen-Investitionen gegen die verschärften EU-Compliance-Vorgaben – ein Spagat zwischen Datenschutz und digitaler Souveränität.

Das Bundesverwaltungsgericht (BVGer) hat am Dienstag dieser Woche ein Urteil gefällt, das Datenschützer als „historischen Sieg” feiern: Die sogenannte Kabelaufklärung des Nachrichtendienstes des Bundes (NDB) verstößt gegen die Bundesverfassung und die Europäische Menschenrechtskonvention (EMRK).

Konkret geht es um die Praxis, grenzüberschreitenden Internetverkehr über Glasfaserkabel abzufangen und nach Schlagworten zu durchsuchen. Das Gericht bemängelte im Fall A-6444/2020, dass der aktuelle Rechtsrahmen keine ausreichenden Schutzmaßnahmen gegen Missbrauch bietet. Es fehle an unabhängiger Genehmigung für alle Überwachungsmaßnahmen, zudem hätten Betroffene kaum Rechtsmittel.

„Der Eingriff in die Grundrechte ist in seiner jetzigen Form nicht gerechtfertigt”, stellten die Richter klar. Besonders kritisch: Das Berufsgeheimnis von Anwälten oder Journalisten werde unzureichend geschützt, eine robuste Aufsicht fehle komplett.

Die Überwachung endet dennoch nicht sofort. Wegen der Sicherheitsrisiken eines abrupten Stopps räumte das Gericht dem Gesetzgeber fünf Jahre Übergangsfrist ein, um das Nachrichtendienstgesetz verfassungskonform zu überarbeiten. Die Klage hatten 2017 die Digitale Gesellschaft und mehrere Privatpersonen eingereicht – mit dem Argument, die verdachtslose Massenüberwachung verletzte unverhältnismäßig die Privatsphäre.

Identitätssicherheit: Saporo sammelt 6,3 Millionen Euro ein

Während die Regierung vor einer Gesetzesrevision steht, investieren Schweizer Firmen massiv in ihre eigenen Sicherheitslücken. Am Dienstag gab das Lausanner Cybersecurity-Startup Saporo bekannt, in einer Series-A-Runde 7 Millionen Euro (umgerechnet rund 6,3 Millionen Franken) eingesammelt zu haben. Federführend: der Investor TIN Capital.

Der Zeitpunkt ist kein Zufall. Unternehmen stehen unter zunehmendem Druck, ihre digitalen Identitäten gemäß dem revidierten Schweizer Datenschutzgesetz (nDSG) und der EU-Richtlinie NIS2 abzusichern. Saporos Plattform konzentriert sich auf „Identity Security Posture Management” (ISPM) und nutzt Graph-Technologie, um nachzuvollziehen, wie Angreifer über kompromittierte Nutzerrechte durchs Netzwerk wandern könnten.

„Angreifer brechen nicht ein – sie loggen sich ein”, erklärte Mitgründer Guillaume Eyries. „Die Frage ist nicht, ob eine einzelne Identität kompromittiert wird, sondern was sie danach anrichten kann.”

An der Finanzierungsrunde beteiligten sich auch G+D Ventures und CDP Venture Capital. Die Investition zeigt einen Paradigmenwechsel: Organisationen setzen nicht mehr nur auf Perimeterschutz, sondern härten ihre internen Identitätsstrukturen ab. Für Schweizer Firmen mit EU-Geschäft wird robuste Identity Governance zur Geschäftsvoraussetzung.

Passwort- und Identitätsmissbrauch ist heute eine der größten Einfallstüren für Angreifer — wie das Beispiel Saporo zeigt, nutzen Cyberkriminelle zunehmend kompromittierte Nutzerkonten, um sich lateral durch Netzwerke zu bewegen. Das kostenlose E-Book fasst aktuelle Bedrohungen, neue Regulierungen (inkl. KI-Verordnung) und praxisnahe Schutzmaßnahmen zusammen, mit denen Sie Ihr Unternehmen ohne große Budgets oder zusätzliche IT-Teams besser absichern können. Ideal für Geschäftsführung und IT-Verantwortliche, die jetzt handeln müssen. Cyber-Security Awareness Trends jetzt kostenlos herunterladen

Lieferketten-Transparenz: 3D AG startet “soorce3D” für EU-Produktpass

Auch an der Lieferkettenfront rüstet die Schweiz auf. Am Donnerstag präsentierte der Sicherheitsspezialist 3D AG aus Baar die Plattform soorce3D – konzipiert, um Hersteller bei der Einhaltung des kommenden EU-Produktpasses zu unterstützen.

Die EU-Verordnung für nachhaltige Produktgestaltung (ESPR) wird schon bald verlangen, dass in der EU verkaufte Produkte einen „digitalen Produktpass” tragen. Dieser soll Daten zu Nachhaltigkeit, Reparierbarkeit und Herkunft enthalten. Der Rollout startet voraussichtlich 2027 mit Prioritätssektoren wie Batterien und Textilien.

„Wir bauen eine Vertrauensinfrastruktur für Kunden, Marken und Institutionen weltweit”, erklärte CEO Martina Mueller. Die Lösung kombiniert 3D AGs klassische holographische Sicherheitslabels mit NFC-Technologie und Blockchain-basierter Rückverfolgbarkeit. Dieser „phygitale” Ansatz stellt sicher, dass das physische Produkt untrennbar mit seinen digitalen Compliance-Daten verknüpft ist – Fälschungen von Waren und Umweltnachweisen wird damit vorgebeugt.

Für Schweizer Exporteure sind Tools wie soorce3D existenziell. Obwohl die Schweiz kein EU-Mitglied ist, müssen heimische Hersteller den Produktpass erfüllen, um Zugang zum europäischen Binnenmarkt zu behalten.

Der Souveränitäts-Balanceakt

Die Entwicklungen dieser Woche offenbaren eine Grundspannung: digitale Souveränität versus internationale Integration. Das BVGer-Urteil macht deutlich, dass selbst die Schweizer Überwachungsgesetze mit europäischen Menschenrechtsstandards (EMRK) im Einklang stehen müssen – und das Land ringt um unabhängige Aufsicht.

Parallel flammte diese Woche die „Cloud Act”-Debatte wieder auf. Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich, warnte am Mittwoch in einem Interview vor den Risiken US-basierter Cloud-Dienste für öffentliche Stellen. Trotz Effizienzgewinnen gefährde die Abhängigkeit von Hyperscalern die digitale Souveränität der Schweiz – durch möglichen Datenzugriff aus dem Ausland. Eine Sorge, die das NDB-Urteil im Kern teilt.

Die Konvergenz dieser Ereignisse – richterliche Kontrolle staatlicher Macht, Venture Capital für Identitätssicherheit, neue Tools für Lieferketten-Transparenz – zeichnet ein klares Bild: Compliance 2025 ist keine Checklisten-Übung mehr. Sie erfordert aktive Technologie-Investitionen und rigoroses Bekenntnis zu Grundrechten, egal ob die Daten einem Bürger oder einem Produkt gehören.

Ausblick: Was kommt auf die Schweiz zu?

Gesetzliche Generalüberholung: Das Schweizer Parlament steht unter Zeitdruck, das Nachrichtendienstgesetz zu revidieren. Die kommenden 12 bis 24 Monate dürften hitzige Debatten bringen, wenn Parlamentarier nationale Sicherheitsbedürfnisse mit den strikten Datenschutz-Vorgaben des Gerichts in Einklang bringen müssen.

EU-Anpassung: Mit Blick auf die 2027-Deadline für den digitalen Produktpass werden wohl weitere Schweizer Industriefirmen Partnerschaften mit Traceability-Anbietern wie 3D AG verkünden. Der „Brüssel-Effekt” treibt die Schweizer Innovation weiter und zwingt Unternehmen zu höheren Transparenzstandards, um wettbewerbsfähig zu bleiben.

Cybersecurity-Konsolidierung: Mit Saporos frischem Kapital steht der Schweizer Cybersecurity-Sektor vor weiterem Wachstum. Analysten erwarten eine Konsolidierungswelle: Nischen-Compliance-Tools dürften in umfassendere „Trust-Plattformen” münden, die alles von Mitarbeiter-Identitäten bis zu Lieferkettendaten verwalten.

PS: Schweizer Unternehmen stehen vor umfangreichen Anpassungen durch das revidierte Datenschutzgesetz (revDSG) — Fehler können teuer werden und Ihre EU-Geschäfte gefährden. Der kostenlose Leitfaden erklärt konkret, wie Sie revDSG und EU-Anforderungen gleichzeitig erfüllen, liefert sofort einsetzbare Checklisten, Muster und Selbstchecks und spart Zeit sowie Beratungskosten. Unverzichtbar für Compliance- und Datenschutzverantwortliche in der Schweiz. RevDSG-Leitfaden kostenlos herunterladen