Microsoft Exchange: Gefahr für zehntausende Server nach Support-Ende

Die Unterstützung für Microsoft Exchange Server 2016 und 2019 endete am 14. Oktober 2025. Seitdem veröffentlicht Microsoft keine Sicherheitsupdates mehr für diese Versionen. Dennoch laufen in Deutschland noch rund 92 Prozent der dem BSI bekannten etwa 33.000 on-premise-Server mit diesen veralteten Versionen und offen aus dem Internet erreichbarem Outlook Web Access. Betroffen sind zahlreiche Unternehmen, Krankenhäuser, Arztpraxen, Schulen, Hochschulen, Kanzleien, Stadtwerke und Kommunalverwaltungen.

Das BSI stuft die Lage als kritisch ein (Kritikalität 2/Gelb) und warnt, dass neue Schwachstellen künftig nicht mehr behoben werden können. Im Fall einer Kompromittierung drohen Ausfälle, Datenabflüsse und Ransomware-Angriffe, die ganze Netzwerke betreffen können. Da Exchange-Server personenbezogene Daten verarbeiten, verstößt der weitere Betrieb gegen die DSGVO.

Microsoft bietet im Rahmen des kostenpflichtigen Extended Security Update-Programms (ESU) noch bis zum 14. April 2026 begrenzte Sicherheitsupdates an. Das BSI rät Betreibern, ihre Systeme umgehend auf Exchange Server SE zu aktualisieren oder auf alternative Lösungen umzusteigen. Zudem sollten webbasierte Dienste wie Outlook Web Access nicht frei aus dem Internet erreichbar sein, sondern über vertrauenswürdige IP-Adressen oder VPN-Zugänge abgesichert werden.

Microsoft Exchange: Gefährdung für zehntausende Server nach Support-Ende für Versionen 2016 und 2019 (PDF)

Mehr Lesestoff: