Smile Studio AP – shutterstock.com
Der Support für Microsofts Exchange-Server 2016 und 2019 endete planmäßig am 14. Oktober 2025. Seitdem werden keine Sicherheitsupdates mehr für diese Versionen bereitgestellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat allerdings festgestellt, dass hierzulande die Mehrheit der rund 33.000 öffentlich zugänglichen Exchange-Server weiterhin mit Outlook Web Access 2019 oder einer früheren Version laufen.
„Sollte demnächst eine kritische Schwachstelle in Microsoft Exchange bekannt werden – wie es in den vergangenen Jahren mehrfach der Fall war – kann diese nicht mit einem Sicherheitsupdate geschlossen werden“, warnt die Behörde. Betroffenen Exchange-Server müssten in so einem Fall umgehend vom Netz genommen werden, um eine Kompromittierung zu vermeiden.
Ransomware-Angriffe möglich
Angriffe auf Exchange-Server führen laut BSI aufgrund flacher Netzwerkstrukturen und unzureichender Segmentierung und Härtung häufig schnell zu einer vollständigen Kompromittierung des kompletten Netzwerks. Dadurch bestehe die Gefahr für Ransomware-Attacken mit Datendiebstahl und anschließender Lösegeldforderung sowie wochenlange Produktionsausfälle.
„Da auf Exchange-Servern personenbezogene Daten verarbeitet werden, stellt der weitere Betrieb veralteter Versionen zudem einen Verstoß gegen die DSGVO dar“, mahnt die Sicherheitsbehörde.
Nach Angaben des BSI betrifft das Sicherheitsproblem neben tausenden Unternehmen auch zahlreiche Organisation aus dem öffentlichen Sektor wie Krankenhäuser, Arztpraxen, Schulen und Hochschulen, Stadtwerke und Kommunalverwaltungen.
Upgrade erforderlich
Microsoft stelle zwar mit dem Extended Security Update Programm (ESU) noch bis zum 14. April 2026 weitere potenzielle Sicherheitsupdates für kritische Schwachstellen zur Verfügung, so die Behörde. Dies erfordere jedoch zusätzliche finanzielle Mittel und verschiebe erforderliche Maßnahmen zum Upgrade beziehungsweise zur Migration der Systeme.
Das BSI ruft deshalb Betreiber der betroffener Exchange-Server dazu auf, umgehend ein Upgrade auf Version SE oder eine Migration auf eine alternative Lösung durchzuführen. Darüber hinaus wird empfohlen, webbasierte Dienste des Exchange-Servers wie Outlook Web Access grundsätzlich nicht offen aus dem Internet erreichbar zu machen, sondern den Zugriff auf vertrauenswürdige Quell-IP-Adressen zu beschränken oder über ein VPN abzusichern.
