Illustration Absmeier foto freepik

Für die Mail-Server-Produkte Microsoft Exchange Server 2016 und 2019 ist Mitte Oktober planmäßig der Support des Herstellers ausgelaufen. Seitdem werden keine Sicherheitsupdates mehr für diese Versionen bereitgestellt. Dennoch werden nach Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiterhin über 30.000 MS-Exchange-Server in Deutschland mit diesen oder noch älteren Versionen und einem offen über das Internet erreichbaren Outlook Web Access betrieben. Das BSI weist daher darauf hin, dass diese Installationen für neu entdeckte Schwachstellen voraussichtlich dauerhaft verwundbar bleiben und nicht kurzfristig abgesichert werden können. Dies betrifft nach Kenntnis des BSI Unternehmen, Krankenhäuser, Schulen, Stadtwerke, Kommunen und viele weitere Organisationen. Das BSI hat eine entsprechende Bedrohungsinformation (BITS) veröffentlicht und an seine Zielgruppen versandt.

Thomas Caspers, Vizepräsident des BSI:

»Wer trotz Hinweisen des Herstellers und ausreichender Vorlaufzeit Software einsetzt, die keine Sicherheitsupdates mehr erhält, handelt schlicht fahrlässig. Wenn für diese Software Schwachstellen entdeckt werden – und damit ist leider jederzeit zu rechnen – sind die Daten der Unternehmen und Organisationen Cyberangriffen schutzlos ausgeliefert. Hier ist schnelles und konsequentes Handeln der Verantwortlichen erforderlich!«

Microsoft Exchange-Server sind in der Regel zentrale Bausteine innerhalb von IT-Netzwerken. Ein erfolgreicher Cyberangriff hat daher oftmals gravierende Folgen und kann bei unzureichenden Sicherheitsmaßnahmen zur vollständigen Kompromittierung des jeweiligen Netzwerkes führen. Da keine Sicherheitsupdates mehr bereitgestellt werden, wäre beim Bekanntwerden einer neuen Schwachstelle in der Regel die Abschaltung der Anwendung notwendig, um das gesamte IT-Netzwerk zu schützen. Dies hätte erhebliche Auswirkungen auf die Kommunikationsfähigkeit der jeweiligen Organisation.

Das BSI rät daher dringend, auf aktuelle Software-Varianten umzustellen oder eine Migration auf entsprechende Alternativen durchzuführen.

Bewertung

Sollte demnächst eine kritische Schwachstelle in Microsoft Exchange bekannt werden – wie es in den letzten Jahren mehrfach der Fall war – kann diese nicht mit einem Sicherheitsupdate geschlossen werden. Die betroffenen Exchange Server müssen dann ggf. umgehend vom Netz genommen werden, um eine Kompromittierung zu vermeiden. Die Folge wäre eine massive Einschränkung der Kommunikationsfähigkeit der betroffenen Organisationen. Die Kompromittierung eines Exchange-Server führt aufgrund flacher Netzwerkstrukturen und unzureichender Segmentierung und Härtung häufig schnell zu einer vollständigen Kompromittierung des kompletten Netzwerks der Betroffenen, was einen Abfluss sensibler Informationen, die Verschlüsselung von Daten mittels Ransomware und anschließender Lösegeldforderung sowie wochenlange Produktionsausfälle bedeuten kann. Da auf Exchange-Servern personenbezogenen Daten verarbeitet werden, stellt der weitere Betrieb veralteter Versionen zudem einen Verstoß gegen die DSGVO dar.

Maßnahmen

Microsoft stellt mit dem Extended Security Update Programm (ESU) gegen zusätzliche Bezahlung noch bis zum 14.04.2026 weitere potenzielle Sicherheitsupdates für kritische Schwachstellen zur Verfügung [MS25]. Dies erfordert jedoch zusätzliche finanzielle Mittel und verschiebt erforderliche Maßnahmen zum Upgrade bzw. zur Migration der Systeme nur um maximal sechs Monate.

Das BSI rät Betreibern betroffener Exchange-Server daher, umgehend ein Upgrade auf Version SE oder eine Migration auf eine alternative Lösung durchzuführen.

Das BSI empfiehlt, webbasierte Dienste des Exchange-Servers wie Outlook Web Access grundsätzlich nicht offen aus dem Internet erreichbar zu machen, sondern den Zugriff auf vertrauenswürdige Quell-IP-Adressen zu beschränken oder über ein VPN abzusichern. Das BSI stellt ein IT-Grundschutz-Hilfsmittel mit weiteren Informationen zur Absicherung von E-Mail-Systemen bereit [BSI21]

[BSI21] E-Mail-System: Sicherer Remote-Zugang https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Hilfsmittel_Remote_Zugang_E_Mail_System_v1.pdf

[MS24] Supportende für Office und Exchange Server 2016 und 2019 – was du jetzt tun musst https://www.microsoft.com/de-de/techwiese/news/supportende-fuer-office-und-exchange-server-2016-und-2019- was-du-jetzt-tun-musst.aspx

[MS25] Announcing Exchange 2016 / 2019 Extended Security Update program https://techcommunity.microsoft.com/blog/exchange/announcing-exchange-2016–2019-extended-security-update program/4433495

56 Artikel zu „Support-Ende“

Trends 2025 | News | Trends Infrastruktur | Services | Strategien | Tipps | Whitepaper

Studie unterstreicht Dringlichkeit der Windows-11-Migration

24. Juli 2025

Unternehmen und Organisationen riskieren bei verspäteter Umstellung auf Windows 11 zunehmende Probleme bei Sicherheit, Kompatibilität, Leistung, Kosten und Compliance. Panasonic TOUGHBOOK hat eine neue Studie veröffentlicht, die zentrale Herausforderungen und Bedenken von Organisationen beim Umstieg vom auslaufenden Betriebssystem Windows 10 auf Windows 11 aufzeigt [1]. Mit dem Ende des Windows-10-Supports am 14. Oktober 2025…