EDA speichert versehentlich sensible Daten in Microsoft-Cloud

Interne Dokumente des Eidgenössischen Departements für auswärtige Angelegenheiten (EDA) sind versehentlich in einer von Microsoft betriebenen Cloud-Infrastruktur gelandet. Die betreffenden Informationen waren als "intern" eingestuft, wie die "NZZ am Sonntag" (Paywall) berichtet. Nach Schweizer Recht kann dies bereits ein Risiko für aussenpolitische Interessen oder die innere und äussere Sicherheit des Landes darstellen.

Das EDA bestätigte die Sicherheitslücke gegenüber der "NZZ am Sonntag". Die Technik, die die Übertragung klassifizierter Dokumente verhindern soll, funktioniere nur teilweise. Deshalb landeten interne Dateien unbeabsichtigt auf Microsoft-Servern.

Interne Prüfung deckte Schwachstelle auf

Das Problem war den Behörden laut der Zeitung nicht unbekannt. Eine interne Prüfung hatte bereits im vergangenen Sommer ergeben, dass die bestehenden Sicherheitsmassnahmen unzureichend waren und geheime Dokumente unsachgemäss gelagert wurden.

Dokumente mit einer höheren Geheimhaltungsstufe sind laut EDA nicht betroffen. Als Reaktion habe das Departement nach eigenen Angaben seine Mitarbeitenden verstärkt für die Datenspeicherung sensibilisiert.

Abhängigkeit von US-Cloud-Diensten wächst

Der Vorfall rückt die zunehmende Abhängigkeit der Bundesverwaltung von amerikanischen Cloud-Lösungen ins Licht. Mitte Dezember 2025 gab die Bundeskanzlei bekannt, dass alle rund 54'000 Arbeitsplätze der Verwaltung nun Microsoft 365 verwenden. Damit speichert die Bundesverwaltung einen grossen Teil der Dokumente nicht mehr lokal, sondern in Rechenzentren des US-Konzerns.

Der US Cloud Act kann US-Unternehmen verpflichten, Daten an die dortigen Behörden weiterzugeben. Dies gilt auch für Informationen, die ausländischen Staaten gehören. Datenschützer, insbesondere die Schweizerische Konferenz der Datenschutzbeauftragten, kritisieren diese Problematik immer wieder.

In einem im November 2025 veröffentlichten Bericht wies der Bundesrat darauf hin, dass der Bund die Vertraulichkeit der Daten nicht systematisch gewährleisten kann.

Microsoft teilte der "NZZ am Sonntag" auf Anfrage mit, dass die US-Behörden keinen uneingeschränkten Zugriff hätten. Das Unternehmen habe sich vertraglich verpflichtet, "jede unrechtmässige Forderung nach Datenzugriff anzufechten und zurückzuweisen, sofern eine rechtliche Grundlage dafür besteht."

Alternativen in Prüfung, aber kein schneller Ausstieg

Eine Machbarkeitsstudie prüft derzeit, inwieweit die Bundesverwaltung ihre Abhängigkeit von Microsoft reduzieren könnte. Das Parlament bewilligte zudem knapp 250 Millionen Franken für die Schaffung einer Swiss Government Cloud.

Kurzfristig sieht der Bund einen vollständigen Bruch mit dem amerikanischen Lieferanten jedoch als kaum vorstellbar, wie die "NZZ am Sonntag" schreibt. Die Bundeskanzlei nennt dies ein "Hochrisikovorhaben", das sehr hohe Investitionen erfordern würde.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.