Eine chaotische, im Gonzo-Illustrationsstil gehaltene IT-Horrorszene: Ein verzweifelter Systemadministrator. Im Hintergrund ein Bildschirm mit der Aufschrift „FIX“, Der Raum ist übersät mit „Gonzo Energy“-Dosen, kaputten CDs und einem schlafenden „EDR“-Dämon inmitten von ausgelaufener Tinte und technischem Müll. Diverse Textelemente unterstreichen den infrastrukturellen Kollaps.

Was ist passiert?

Ein Phänomen. Kein Incident, kein Ticket, eher ein digitales Tourette-Syndrom. Outlook fragt sporadisch nach einem Cloud-Login. Der Exchange liegt irgendwo, On-Prem, physisch greifbar. Die Lizenz ist Volumen, kein 365-Abo. Der Mailserver-Cluster ist frisch, die Domain hauseigen. Es gibt absolut keinen Grund für diesen Dialog – außer der unüberwindbaren Arroganz von Microsoft, Billy, der die Existenz einer Welt außerhalb seiner Cloud-Dienste nicht mehr anerkennt und nur noch auf Zeit toleriert.

Ich seziere den Patienten: AutoDiscover ist sauber. DNS löst auf den korrekten Server auf, das XML-Ergebnis liefert die Endpoints nach innen wie ein Schweizer Uhrwerk. Doch Outlook in seinen neuesten Versionen (2016+) ist ein Getriebener; es macht im Hintergrund einen Cloud-Probe, parallel zur Wahrheit. Aber eigentlich kein Problem. In reinen On-Prem-Umgebungen unterdrückt man diesen Drang per Group Policy.

Aber die Gruppenrichtlinie fehlt natürlich. Ein technisches Versäumnis, eine politische Lücke in der zentralen Office-Policy. Ich weise einen Externen darauf hin – einer dieser Söldner, die ad-hoc Konfigurationen in die Landschaft hämmern, weil sonst niemand mehr da ist, der weiß, wie man eine Schaufel hält.

“Ich hab da ein Tool”, sagt er. Sein Lächeln ist so vertrauenserweckend wie ein Gebrauchtwagenhändler nachts im Regen.

Er reicht mir eine .exe. Kein offizielles Skript, kein Hersteller-Tool. Es ist Software-Müll aus irgendeinem Forum-Sumpf, ein digitales Kuckucksei. Ich führe sie aus und Gott bewahre mich, im Moment des Ausführens durchdringt mich das unwohle Gefühl einer Fehlentscheidung. Aber der Schmerzpunkt ist sofort betäubt. Outlook gibt Ruhe. Symptom weg. Patient “geheilt”.

Eine Stunde später schlägt die Nebenwirkung ein. Mein Browser bockt, das Passwort-Manager-Plugin – mein digitaler Schlüsselbund – ist klinisch tot. Ich amputiere das Plugin, um den Browser zu retten. Die Logins pflege ich jetzt händisch, wie ein Mönch im Skriptorium.

Was ich gesehen habe

Eine fehlende Gruppenrichtline zwingt Mitarbeiter für Schatten-It-Fixes. Die .exe hat nicht nur einen Registry-Wert gesetzt. Sie ist wie eine Schrotflinte durch die Konfiguration gefahren und hat einen Stapel undokumentierter Einträge hinterlassen. Mein wichtigstes Sicherheitswerkzeug ist ein Kollateralschaden geworden.

Und das EDR? Das stolze Endpoint Detection and Response System? Es hat geschwiegen. Es hat zugesehen, wie die .exe das System entkernt, und keinen Ton von sich gegeben. Kein Alert, keine Quarantäne.

“Erstaunlich, dass das EDR nicht meckert”, kommentiert der Externe trocken.

Es ist nicht erstaunlich. Es ist das Eingeständnis, dass unsere Schutzwälle aus Pappmaché sind.

Warum das eigentlich das falsche Problem ist

Wir haben hier drei Ebenen des Versagens, und keine davon ist der Cloud-Login.

Erstens: Die Erosion der Standards. Eine Group Policy ist ein Gesetz. Wenn Gesetze fehlen, regiert das Faustrecht der “Tools”. Dass ein Externer mit einer No-Name-Binary im internen Netz hantieren darf, ist kein Workflow, sondern ein Sicherheits-Suizid auf Raten.

Zweitens: Das blinde Vertrauen in die Blackbox. Wir verlassen uns auf EDR-Systeme, die Millionen kosten, aber die Klappe halten, wenn ein lokaler Admin eine unbekannte .exe ausführt, die tiefe Systemänderungen vornimmt. Wir kaufen uns Sicherheit als Produkt und verlieren sie als Prozess.

Drittens: Die Infektion der Tool-Chain. Drei Tage später landet das Tool in einem Intranet-Ordner. Es ist jetzt Teil des Arsenals. Wir haben den Virus nicht nur reingelassen, wir haben ihn befördert. Er liegt jetzt griffbereit für den nächsten Client.

Was stattdessen passieren müsste

Die Policy-Hoheit zurückgewinnen. Wer Office ausrollt, ohne die Cloud-Anbindung per GPO zu knebeln, baut ein Auto ohne Bremsen. Das ist Handwerk, kein Hexenwerk.

Tool-Hygiene. Jede Binary, die nicht signiert oder aus einer vertrauenswürdigen Quelle stammt, gehört in die Quarantäne, nicht in die Hand eines Admins. Ein “Fix-Tool” ist in 90% der Fälle nur ein hübsch verpackter Trümmerhaufen.

Das Lob der Gründlichkeit. Wir feiern den schnellen Fix, den Klick, der das Problem verschwinden lässt. Aber wir sollten denjenigen feiern, der die GPO schreibt, die das Problem gar nicht erst entstehen lässt.

Die .exe liegt im Netz. Sie wartet. Und beim nächsten Mal wird niemand mehr im Internet suchen müssen, um das System zu korrumpieren. Wir machen es jetzt selbst.

Das Symptom ist weg. Die Integrität auch. Ein voller Erfolg.