Eine Beobachtung aus meinem Alltag als Managing Partner von Validato
Ich spreche regelmässig mit Sicherheitsverantwortlichen aus ganz unterschiedlichen Branchen, und in den letzten Monaten hat sich ein Muster wiederholt: Hersteller, die eigentlich aus der zivilen Technikwelt kommen, stehen plötzlich vor Fragen, die früher nur Rüstungs- oder KRITIS-Unternehmen betrafen. Drohnenhersteller sind dafür gerade das anschaulichste Beispiel. Ein Unternehmen, das gestern noch Agrardrohnen oder Inspektionsflieger verkauft hat, liefert heute Komponenten an eine Sicherheitsbehörde oder einen Verteidigungsintegrator. Genau diese Beobachtung hat mich dazu bewogen, das Thema aufzuschreiben, weil ich glaube, dass viele Hersteller den Wandel technisch und rechtlich im Griff haben, personell aber noch nicht.
Wie schnell aus Agrartechnik ein Sicherheitsgut wird
Internationale Hersteller wie Skydio oder AeroVironment bieten längst „Enterprise"-Varianten ihrer Plattformen an, die sich nahtlos zwischen ziviler Nutzung und sicherheitsbehördlichem Einsatz bewegen. Diese Doppelverwendung, Dual-Use genannt, ist inzwischen für Drohnenhersteller in ganz Europa der strategische Regelfall und kein Ausnahmefall mehr. Wer heute als reiner Agrartechnik- oder Logistikanbieter startet, kann morgen bereits Sensorik oder Flugsteuerung an einen völlig anderen Kundenkreis liefern. Was mich dabei am meisten beschäftigt: Dieser Wandel vollzieht sich oft in Monaten, nicht in Jahren. Und genau dieses Tempo ist es, das interne Prozesse regelmässig überfordert.
Die Gesetzeslage zieht nach, nicht vor
Ein Blick auf die Regulatorik zeigt, wie dynamisch das Feld gerade ist. Mit einer im Januar 2026 in Kraft getretenen Regel der US-Exportkontrollbehörden wurden Vorgaben für weniger sensitive unbemannte Luftfahrzeuge gelockert: Drohnen mit kurzer Flugdauer und breiter globaler Verfügbarkeit dürfen nun ohne Einzelgenehmigung in die meisten Wassenaar-Staaten exportiert werden. Parallel dazu regelt die EU-Dual-Use-Verordnung weiterhin die Kontrolle von Gütern mit ziviler und militärischer Doppelverwendung. Aus meiner Sicht ist die Botschaft eindeutig: Wer leichter exportieren darf, trägt intern mehr Verantwortung dafür, genau zu wissen, wer im eigenen Unternehmen mit welchen Daten, Bauplänen und Lieferantenkontakten arbeitet. Die Klassifizierungspflicht verschiebt sich zunehmend von der Behörde auf die Organisation selbst, und das betrifft direkt die Personalabteilung.
Der blinde Fleck: Wer arbeitet eigentlich an euren sicherheitsrelevanten Systemen?
In der öffentlichen Debatte um Dual-Use-Technologie geht es fast immer um Technik und Aussenpolitik. Was dabei regelmässig untergeht: Mit dem Wechsel vom zivilen zum sicherheitsrelevanten Geschäft entsteht ein neues Innentäterrisiko. Mitarbeitende in Entwicklung, Beschaffung und IT verfügen plötzlich über Wissen, das für staatliche und nichtstaatliche Akteure attraktiv ist, etwa Flugsteuerungssoftware, Sensorik-Spezifikationen oder Lieferkettendaten. Rahmenwerke wie NIS2, das deutsche KRITIS-Dachgesetz oder das Sicherheitsüberprüfungsgesetz adressieren genau diese Lücke für kritische Infrastrukturen, doch viele Drohnenhersteller kommen aus der zivilen Technologiewelt und haben schlicht noch keine etablierten Personal-Screening-Prozesse aufgebaut. Ein klassisches Konsumgüter-Onboarding reicht nicht mehr, sobald ein Unternehmen faktisch zum sicherheitsrelevanten Zulieferer wird, und genau hier setzen wir mit unserer Arbeit zu risikobasiertem Screening an.
Was wir bei Validato anders machen
Wir haben Validato so gebaut, dass genau dieser Übergang begleitet werden kann, ohne dass ein Unternehmen seine gesamte Personalstrategie über Nacht umkrempeln muss. Unsere 18 konfigurierbaren Prüfmodule lassen sich gezielt auf jene Rollen anwenden, die durch den Dual-Use-Wandel neu entstehen, während der Rest der Organisation unverändert weiterläuft. Entscheidend ist dabei unser Human-in-the-Loop-Ansatz: Automatisierte Prüfungen liefern die Rohbefunde, aber die fachliche Einordnung, ob ein Treffer tatsächlich ein Risiko darstellt, übernimmt bei uns immer ein Mensch. Ergänzt wird das durch Schweiz oder EU-gehostete Infrastruktur, ISO-27001-Zertifizierung und ein Pay-per-Use-Modell, sodass sich Screening genau dort verstärken lässt, wo neue sicherheitsrelevante Rollen entstehen, ohne dass Kosten unkontrolliert steigen. Wenn euch das Thema Innentäterrisiko im DACH-Kontext generell interessiert, lohnt sich auch ein Blick in unseren Beitrag zu NIS2 und KRITIS-Dachgesetz auf validato.com.
Was das für euch bedeutet und wie wir helfen können
Wenn euer Unternehmen absehbar oder bereits jetzt zwischen ziviler und sicherheitsrelevanter Nutzung steht, würde ich Personalsicherheit nicht als nachgelagertes Compliance-Thema behandeln, sondern so früh wie möglich in eure Produkt- und Personalstrategie einbauen. Unternehmen, die diesen Schritt aktiv gestalten statt ihn zu verschlafen, verschaffen sich einen echten Vertrauensvorsprung bei Behörden, Partnern und Investoren.
Genau dabei unterstützen wir euch bei Validato: mit risikobasiertem, DSGVO- und nDSG-konformem Screening, das sich an eurem tatsächlichen Tempo orientiert und nicht an starren Paketen. Wenn ihr wissen wollt, wie ein Screening-Setup für euren konkreten Dual-Use-Übergang aussehen könnte, meldet euch einfach bei uns, wir schauen uns eure Situation gemeinsam und unverbindlich an.
Von