Massive Sicherheitslücke: 92% der deutschen Exchange-Server schutzlos ohne Microsoft-Support
Am 14. Oktober hat Microsoft den Support für die veralteten Exchange Server 2016 und 2019 eingestellt. Aufgrund fehlender Sicherheitsupdates sind alleine in Deutschland Zehntausende Server potenziell ungeschützt.

Am 14. Oktober hat Microsoft den Support für die veralteten Exchange Server 2016 und 2019 eingestellt. Aufgrund fehlender Sicherheitsupdates sind alleine in Deutschland Zehntausende Server potenziell ungeschützt.
Erschreckende 92% der lokalen Microsoft Exchange Server in Deutschland laufen auf veralteten Versionen, die nie wieder ein Sicherheitspatch erhalten werden, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Das BSI zählt etwa 33.000 lokale Exchange Server in Deutschland. Der Outlook Web Access dieser Server ist offen aus dem Internet erreichbar.
Das bedeutet: Rund 30.360 Server laufen derzeit auf Exchange 2019 oder noch älteren Versionen. Die einzige noch unterstützte Exchange Server Subscription Edition (SE) wurde lediglich auf etwas mehr als 2.500 Systemen gefunden.
In Deutschland verwenden über 45% der Exchange-Server die Version 2019, während etwa 40% noch mit der Version 2016 betrieben werden.
Es ist nur eine Frage der Zeit, bis kritische Schwachstellen in der nicht mehr unterstützten Software entdeckt werden.
„Neben tausenden Unternehmen ist unter anderem auch eine Vielzahl von Krankenhäusern und Arztpraxen, Schulen und Hochschulen, Sozialdiensten, Anwalts- und Steuerkanzleien, Stadtwerken und Kommunalverwaltungen betroffen", heißt es in der BSI-Warnung.
Die Behörde warnt, dass viele Organisationen flache Netzwerkstrukturen und unzureichende Segmentierung und Härtung haben. Kompromittierte Exchange Server können schnell zur vollständigen Kompromittierung des gesamten Netzwerks der betroffenen Organisation führen. Die möglichen Folgen sind der Diebstahl sensibler Daten, Ransomware-Attacken und wochenlange Produktionsausfälle.
„Sollte demnächst eine kritische Schwachstelle in Microsoft Exchange bekannt werden, wie es in den letzten Jahren mehrfach der Fall war, kann diese nicht mit einem Sicherheitsupdate geschlossen werden. Die betroffenen Exchange-Server müssen dann ggf. umgehend vom Netz genommen werden, um eine Kompromittierung zu vermeiden. Die Folge wäre eine massive Einschränkung der Kommunikationsfähigkeit der betroffenen Organisationen", warnt das BSI.
Im August berichtete Cybernews über eine inzwischen gepatchte Exchange-Schwachstelle, die missbraucht werden konnte, um die gesamte Microsoft 365-Infrastruktur zu kompromittieren. Tausende Server in Deutschland blieben ungepatcht gegen die entdeckten Schwachstellen.
Das BSI räumt ein, dass Microsofts Extended Security Update Program zusätzliche kritische Sicherheitsupdates gegen Gebühr bereitstellt. Diese gelten jedoch nur für sechs Monate (bis 14. April 2026).
Das erfordert zusätzliche finanzielle Mittel und verzögert die notwendigen System-Upgrades oder Schutzmaßnahmen. Das BSI drängt Exchange-Server-Administratoren, „umgehend ein Upgrade auf Version SE oder eine Migration auf eine alternative Lösung durchzuführen".
Die Behörde empfiehlt außerdem, Exchange-Server-Dienste wie Web-Zugriff niemals direkt ins Internet zu stellen. Stattdessen sollten Organisationen den Zugriff über VPN absichern oder auf eine Liste vertrauenswürdiger IP-Adressen beschränken.
Mit Exchange SE wechselte Microsoft von einmaligen Dauerlizenzen zu einem Abo-Modell. Das Unternehmen erhöhte im Juli auch die Preise für seine lokalen Server-Produkte.
Einige deutsche Bundesländer kündigten an, Exchange und andere Microsoft-Tools komplett aufzugeben und auf Open-Source-Alternativen umzusteigen.
Schleswig-Holstein meldete kürzlich, dass bereits 40.000 Postfächer von Microsoft Exchange und Outlook zu Open-Xchange und Thunderbird migriert wurden.
Entdecke mehr exklusive Reportagen von Cybernews bei YouTube.