Das Schweizer Kommando Cyber steigt zusammen mit seiner Untereinheit CEA, dem Dienst für Cyber- und elektromagnetische Aktionen, bis Oktober 2026 vollständig von Microsoft 365 aus. Die neue Bürosoftware heißt OpenDesk, eine quelloffene Alternative aus Deutschland. Wenn ausgerechnet die Cyber-Spezialist*innen einer Armee, deren Job es ist, Angriffe fremder Geheimdienste abzuwehren, Microsoft nicht mehr über den Weg trauen, lohnt sich die Frage, warum du das noch tust.
Was das Kommando Cyber wirklich sagt
Kommando-Cyber-Chef Simon Müller hat den Grund für den Umstieg öffentlich benannt, und er ist erstaunlich direkt: „Solange Unternehmen Gesetzen wie dem US-Cloud-Act unterliegen, sind sie für gewisse militärische Kontexte nicht mehr nutzbar.” So zitiert ihn Adrienne Fichter in ihrer Recherche für Republik.ch vom 9. Juli 2026, bestätigt am Folgetag von heise online.
Die zentrale Sorge dahinter klingt fast wie aus einem schlechten Spionagefilm, ist aber technisch vollkommen plausibel: eine versteckte „Call-home”-Funktion, also ein unbemerkter Datenabfluss an ausländische Sicherheitsbehörden. Genau deshalb hat das Schweizer Parlament im Dezember 2025 zehn Millionen Franken für die Microsoft-Alternative der Armee bewilligt. Ausgelöst hat die Debatte im Oktober 2025 der damalige Armeechef Thomas Süssli mit einem Brief an den Bundesrat, in dem er zunächst vor allem das schlechte Kosten-Nutzen-Verhältnis von Microsoft 365 kritisierte. Aus einer Kostenfrage wurde binnen weniger Monate eine Souveränitätsfrage.
Die Machbarkeitsstudie zum Umstieg, ursprünglich für Ende Juni 2026 angekündigt, wurde inzwischen auf Mitte August 2026 verschoben. Das Projekt läuft noch, es ist nicht abgeschlossen. Trotzdem steht der Beschluss zum Vollumstieg bis Oktober 2026 bereits fest.
Der Trick, den kein Server verhindert
Damit du verstehst, warum ein europäisches Rechenzentrum hier nicht hilft, brauchst du kurz den US Cloud Act. Das Gesetz verpflichtet US-Unternehmen, Daten an US-Behörden herauszugeben, unabhängig davon, wo auf der Welt diese Daten physisch gespeichert sind, solange das Unternehmen die faktische Kontrolle darüber hat. Verabschiedet wurde es am 23. März 2018 vom US-Kongress, als direkte Reaktion auf einen Streit, der als Microsoft-Ireland-Fall bekannt wurde: Microsoft weigerte sich jahrelang, E-Mail-Daten von einem Server in Irland an das FBI herauszugeben. Der Fall lag bereits beim Supreme Court, als der Cloud Act ihn schlicht gegenstandslos machte.
Stell es dir so vor: Du schließt deine wichtigsten Dokumente in einen Tresor in Zürich ein, felsenfest überzeugt, dass Schweizer Boden dich schützt. Nur gehört der Tresorschlüssel nicht dir, sondern einer Firma mit Hauptsitz in Redmond. Und ein US-Gericht kann diese Firma jederzeit zwingen, den Tresor für die eigenen Behörden zu öffnen, komplett unabhängig davon, in welchem Land der Tresor steht. Genau das ist der Mechanismus, den kein noch so europäisches Rechenzentrum verhindert, solange der Anbieter dahinter ein US-Unternehmen bleibt.
Drei Beispiele, die zeigen, wie weit das reicht
Wie real dieser Zugriff ist, zeigen laut Republik-Recherche zwei Fälle. Microsoft musste E-Mails niederländischer Regierungsbeamter im Rahmen einer EU-Untersuchung zum Digital Services Act an die US-Regierung übermitteln. Und neun Richterinnen des Internationalen Strafgerichtshofs wurden 2025 nach US-Sanktionen von ihren US-Plattform-Konten ausgesperrt, im Kontext von Ermittlungen zu mutmaßlichen israelischen Kriegsverbrechen in Gaza. Beide Fälle stammen ausschließlich aus der Berichterstattung von Republik und heise online selbst, eigene unabhängige Quellen dafür gibt es nicht, deshalb nenne ich sie hier auch so vorsichtig.
Ein drittes Beispiel wird in der Ausgangsrecherche gern als Beleg für staatliche Willkür gegenüber KI-Diensten herangezogen, allerdings in einer verkürzten Version, die ich hier nicht unwidersprochen stehen lassen will. Anfang Juni 2026 verpflichtete das US-Handelsministerium den KI-Anbieter Anthropic per Exportkontroll-Direktive, die Modelle Fable 5 und Mythos 5 für ausländische Staatsangehörige zu sperren. Offizieller Grund war der Verdacht auf eine Jailbreak-Sicherheitslücke mit Bezug zur nationalen Sicherheit, nicht die pauschale Einstufung als Cyberwaffe gegen NSA-Systeme, wie es teils kolportiert wurde. Weil Anthropic Nutzer*innen nicht zuverlässig nach Nationalität filtern konnte, war der Effekt trotzdem ein faktisch weltweiter Zugriffsausfall, auch für zahlende Kund*innen in der EU. Die Sperre wurde nach rund achtzehn Tagen, am 30. Juni 2026, wieder aufgehoben. Am Kern der Sache ändert das nichts: Eine einzige Entscheidung einer einzigen US-Behörde reicht aus, um weltweit den Zugriff auf einen digitalen Dienst zu kappen. Ob das nun ein Cloud-Speicher, ein E-Mail-Postfach oder ein KI-Modell ist, spielt für den Mechanismus keine Rolle.
Nicht alle in der Schweiz sind überzeugt
Ich würde jetzt gern behaupten, in der Schweiz seien sich alle einig. Sind sie nicht, und das ist gut so, denn die Kontroverse macht die Geschichte glaubwürdiger, nicht schwächer. FDP-Nationalrat Marcel Dobler kontert, Süssli habe in Wahrheit eher Anwendungsprobleme als echte Sicherheitsbedenken angesprochen, alternative Anbieter seien nicht automatisch sicherer oder günstiger, und eigene Rechenzentren schüfen neue Zentralisierungsrisiken. SVP-Nationalrat Werner Salzmann betont dagegen die Bedeutung Schweizer Kontrolle über die eigene IT-Infrastruktur. Grünen-Nationalrat Gerhard Andrey befürwortet grundsätzlich Open-Source-Lösungen, laut SRF entwickelt die Bundeskanzlei parallel sogar eine eigene Open-Source-Cloud-Lösung. Und innerhalb der Bundesverwaltung wird laut Republik.ch vertraulich auch vermutet, dass hinter dem Militärprojekt eher Spardruck als reine Sicherheitsmotivation steckt, eine anonyme Stimme, nicht namentlich belegt.
Diese Gemengelage finde ich ehrlich gesagt beruhigend. Ein Projekt, bei dem alle sofort begeistert zustimmen, sollte dich misstrauisch machen. Ein Projekt, das Kostenfragen, Sicherheitsfragen und politische Grabenkämpfe gleichzeitig auslöst, ist eines, das tatsächlich etwas verändert.
Was OpenDesk kann, und was noch nicht
OpenDesk ist die quelloffene Bürosuite des deutschen ZenDiS, des Zentrums für Digitale Souveränität der Öffentlichen Verwaltung: Textverarbeitung, E-Mail, Kalender, Videokonferenzen, Chat. Kein Nischenprojekt am Rand der Verwaltung. Die deutsche Bundeswehr hat über ihren IT-Dienstleister BWI seit April 2025 einen siebenjährigen Rahmenvertrag mit ZenDiS. Das Robert Koch-Institut nutzt OpenDesk bereits produktiv für rund siebentausend Nutzer*innen. Das deutsche Bundesministerium für Digitales und Staatsmodernisierung testet OpenDesk aktuell an über achtzig Arbeitsplätzen.
Und trotzdem sage ich dir ehrlich: OpenDesk ist kein perfekter Selbstläufer. Eine Pilotstudie der Stadt Zürich hat reale Schwächen benannt. Es gibt keine nativen Desktop-Anwendungen, nur eine Browserversion. Die Telefonie-Integration, wie sie Microsoft Teams bietet, fehlt. Eine eingebaute Antivirus-Lösung sucht man vergeblich. Migrationskosten lassen sich schwer verlässlich beziffern, und der Gewöhnungsaufwand für Mitarbeitende ist real. Wer dir erzählt, ein Umstieg von Microsoft auf eine offene Alternative sei ein reibungsloser Nachmittagsspaziergang, verkauft dir etwas. So ist es nicht. Richtig ist der Umstieg trotzdem, aus genau den Gründen, die das Kommando Cyber gerade öffentlich vorrechnet.
Auch der österreichische Umstieg des Bundesheers auf LibreOffice wird in diesem Zusammenhang gern genannt, konnte in dieser Recherche allerdings nicht durch eine dritte unabhängige Quelle bestätigt werden. Ich erwähne ihn deshalb nur mit dieser Einschränkung.
Was das mit deinem Verein zu tun hat
Vielleicht denkst du jetzt: schön und gut, aber ich bin kein Cyber-Militärkommando, ich bin ein Sportverein mit vierzig Mitgliedern oder ein Handwerksbetrieb mit fünf Angestellten. Genau hier liegt der Denkfehler. Der Cloud Act unterscheidet nicht zwischen der Mitgliederliste eines Cyber-Kommandos und der Mitgliederliste deines Kegelclubs. Er unterscheidet nur zwischen US-Unternehmen und Nicht-US-Unternehmen. Sobald deine Vereinsdaten, deine Kundendaten oder deine Buchhaltung bei Microsoft, Google oder einem anderen US-Anbieter liegen, gilt für dich derselbe rechtliche Mechanismus wie für die Schweizer Armee. Der einzige Unterschied ist, dass sich niemand in Bern oder Berlin die Mühe macht, dir das zu erklären.
Seit dem 1. Januar 2024 verpflichtet Artikel 9 des Schweizer Bundesgesetzes über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben Bundesbehörden grundsätzlich dazu, den Quellcode eigener oder beschaffter Software offenzulegen. Das Militär wäre bei sicherheitsrelevanter Software eigentlich davon ausgenommen gewesen, hat sich aber zur freiwilligen Teilnahme entschieden. Wenn selbst eine Institution, die sich hinter Geheimhaltung verstecken könnte, freiwillig auf Transparenz setzt, ist das kein schlechtes Vorbild für einen Verein, der ohnehin nichts zu verbergen hat außer der Kaffeekasse.
Digitale Souveränität heißt auch: selbst mitbauen
Was mir an dieser Geschichte am besten gefällt, ist das, was nach dem Abschied von Microsoft kommt. Die Cyber-Spezialist*innen der Armee entwickeln zunehmend eigene Software für den Eigenbetrieb, darunter eine quelloffene Dokumentensuchmaschine namens Loom, lanciert im Juni 2026. Sie tragen dabei offen auf GitLab bei, unter dem Namen „Swiss Defense Forces”, mit Bugmeldungen und Verbesserungsvorschlägen insbesondere zur Kryptografie. Digitale Souveränität bedeutet für diese Truppe, selbst wieder Hand an die Werkzeuge zu legen, die du täglich benutzt, statt sie nur zu mieten.
Wenn ein Cyber-Kommando mit den höchsten denkbaren Geheimhaltungsanforderungen es für nötig hält, seine Werkzeuge selbst zu bauen und dem eigenen Anbieter zu misstrauen, ist die Frage, die du dir stellen solltest, nicht mehr, ob dein Verein genauso wichtig ist wie das Schweizer Militär. Die Frage ist, wie lange du noch wartest, bis du dieselbe Konsequenz ziehst.
Wenn du bei diesem Umstieg nicht allein anfangen willst, egal ob Verein, kleines Unternehmen oder Privathaushalt, begleite ich dich dabei, herauszufinden, wo deine Daten wirklich liegen und wie eine realistische Alternative für dich aussieht.
Reden wir über deine digitale Souveränität.
Schreib mir eine E-Mail: Kurz beschreiben, was du vorhast oder was dich beschäftigt. Ich melde mich in der Regel innerhalb eines Werktages. hallo@chrislo.de
Kein Kontaktformular, keine Pflichtfelder, keine Datenspur. Einfach schreiben.