Das LAPD wurde nicht gehackt. Es wurde eine Dropbox geleert.

SONDERAUSGABE | Aus gegebenem Anlass

Das LAPD hatte eine ungeschützte Dropbox. Mein Kunde auch.

Los Angeles, April 2026.

337'000 Dateien. 7,7 Terabyte.

Personalakten. Zeugennamen. Medizinische Daten.

Geleakt. Nicht weil das Los Angeles Police Department (LAPD) gehackt wurde.

Sondern weil ein File-Sharing-Tool des City Attorney's Office für maximale Zugänglichkeit eingerichtet war.

Als ich die Geschichte las, musste ich an einen Kunden denken.

Und daran, dass es bei ihm anders ausgegangen ist.

Diesmal.

---

Die E-Mail, die alles beginnt

«Du musst dringend (heute) soundsoviel Lizenzen von Dropbox Business abonnieren.»

Eine E-Mail vom R&D-Department. An mich. Als global verantwortlichen Managed SAM- und Software-Einkaufs-Dienstleister.

Auf meine Rückfrage folgte die Erklärung:

Ein laufendes Projekt. Internationale Kollegen. Verschiedene Zeitzonen. eCAD-Dokumente die ausgetauscht und gemeinsam bearbeitet werden müssen.

eCAD. Elektronische Konstruktionsdaten. Produktentwicklungen.

Intellectual Property der sensibelsten Kategorie.

Die Entscheidung des Projektteams: Dropbox Business.

Nicht weil es die beste Lösung war.

Sondern weil es die schnellste war.

Obwohl der vollständige Microsoft- und Atlassian-Stack vorhanden und lizenziert war.

Also hatte jemand kurzerhand einen Trial-Account erstellt. Mit der Firmen-E-Mail-Adresse des Projektleiters. Und losgelegt.

Lief famos.

---

Die Panik kommt pünktlich

Dropbox ist so freundlich, Trial-Abos zweimal zu verlängern.

Beim dritten Mal ist Schluss.

Und dann droht — bei Nichtüberführung in ein Bezahl-Abo — die irreversible Löschung aller dort gespeicherten Daten.

Firmeninterne Produktentwicklungen. Konstruktionspläne. Geistiges Eigentum das jahrelange Entwicklungsarbeit repräsentiert.

Jetzt kam das Projektteam zu mir.

Nicht weil sie den Prozess respektierten.

Sondern weil sie festgestellt hatten, dass sie die Lizenzen nicht direkt bestellen konnten.

Die Governance-Policies hatten zumindest das verhindert.

---

Der Prozess greift. Und wird ausgehebelt.

Ich verwies auf den etablierten Prozess.

Das Software Approval Board — ein von mir im Einklang mit der Geschäftsleitung installiertes Gremium, das wöchentlich tagt.

Der Auftrag des SAB war klar definiert:

Jede neue Software durchläuft einen festen Prüfprozess — ISMS, Datenschutz, Risikobeurteilung. Keine Ausnahmen.

Und für jeden neuen Titel der aufgenommen wird, muss — wenn immer möglich — ein bestehender von der Liste fliegen. Wartbarkeit als Prinzip, nicht als Wunsch.

Das SAB war kein Bremspedal.

Es war ein aktives Steuerungsinstrument.

Höchste Dringlichkeit, nächstes Meeting in wenigen Tagen.

Das war nicht schnell genug.

Der Projektleiter rannte zum CEO.

Liess sich die Bestellung am Prozess vorbei genehmigen.

Begründung: Man hatte sich nie um eine zugelassene Alternative gekümmert. Die IT war von Anfang an nicht involviert gewesen. Und wenn der Trial-Account jetzt schliesst, geht das ganze Projekt baden.

Der CEO unterschrieb.
Und machte damit aus einer Ausnahme den neuen Standard.

Die Dropbox-Lizenzen wurden bestellt.

Das SAB wurde informiert.
Aber nicht benutzt.

Weil es im entscheidenden Moment im Weg stand.

---

Was hier wirklich passiert ist

Zur Klarstellung: Dropbox Business ist kein Consumer-Produkt. Es verfügt über Admin-Konsolen, Compliance-Features und lässt sich durchaus in eine IT-Governance integrieren.

Das war nicht das Problem.
Im Gegenteil: Es wäre problemlos in Governance integrierbar gewesen.
Es wurde nur nie getan.

Firmeninterne IP — Produktentwicklungen, eCAD-Daten, geheimes Wissen — lag wochenlang auf einer Cloud-Plattform, die ohne Risikobeurteilung, ohne Security-Review, ohne IT-Einbindung und ohne formale Freigabe in Betrieb genommen worden war.

Von einem Projektteam das schneller sein wollte als der Prozess.

Schatten-IT entsteht nicht, weil Leute Regeln brechen wollen.
Sondern weil Prozesse zu langsam sind.

Das Problem ist nicht, dass sie es tun.

Das Problem ist, dass danach niemand mehr Verantwortung übernimmt.

Zugriff war geregelt.
Innerhalb des Projektteams.

Aber ausserhalb wusste es niemand.
Und genau dort hätte es bekannt sein müssen.

Keine zentrale Stelle hatte es geprüft.
Keine Governance hatte es gesehen.
Keine Verantwortung war offiziell zugewiesen.
Niemand hatte die Sicherheitskonfiguration validiert.
Niemand hatte ein Exit-Szenario definiert.

Aus Sicht des Projekts war alles unter Kontrolle.
Aus Sicht des Unternehmens existierte es nicht.

Und als der Druck kam, wurde der einzige funktionierende Kontrollmechanismus mit CEO-Segen ausser Kraft gesetzt.

---

Die unbequeme Frage

Das LAPD wurde nicht wegen mangelnder Technologie getroffen.

Es wurde getroffen, weil ein Tool das für wenige Fälle gedacht war, irgendwann Tausende enthielt.

Weil niemand mehr zuständig war.

Weil Zugänglichkeit wichtiger war als Kontrolle.

In fast jedem Unternehmen existiert dieses Tool. Manchmal heisst es Dropbox. Manchmal WeTransfer. Manchmal ist es ein freigegebener OneDrive-Ordner den niemand mehr kennt. Manchmal ist es ein Trial-Abo das still zur Schatten-IT geworden ist — genehmigt von niemandem, verwaltet von allen, verantwortet von keinem.

Eingerichtet für einen einzigen Zweck.

Drei Jahre später liegt dort drin, was nie dort hingehören sollte.

Zwei Fragen für heute:

Wie viele nicht freigegebene Cloud-Tools sind gerade in Ihrem Unternehmen aktiv — nicht weil jemand böse Absichten hatte, sondern weil ein Prozess zu langsam war?

Und: Wer weiss davon?

Wenn die Antwort länger als drei Sekunden dauert — dann wissen Sie es nicht.

Und wenn Sie es nicht wissen,
dann nutzt es gerade jemand.

---

Gottseidank ist die Dropbox meines Kunden nicht gehackt worden.

Diesmal.

IT-Governance, InformationssicherheitMatthias DittlerIT-Governance, Schatten-IT, Informationssicherheit, Cloud, Risikomanagement, C-Level, Digitalisierung, Compliance