Am 14. Oktober hat Microsoft die Bereitstellung von Sicherheitsupdates für die veralteten Versionen Exchange Server 2016 und 2019 eingestellt. Trotz dieser Ankündigung sind in Deutschland noch rund 92 % aller lokal betriebenen Exchange-Server veraltet und ohne zukünftigen Schutz, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet.
Inhaltsverzeichnis:
- Veraltete Exchange-Server in Deutschland
- Risiken für Krankenhäuser, Schulen und Behörden
- Notfallmaßnahmen und Programme
- Preisänderungen und offene Alternativen
Veraltete Exchange-Server in Deutschland
Das BSI registriert etwa 33 000 lokale Exchange-Systeme, die über das Internet mit Outlook Web Access erreichbar sind. Etwa 30 360 dieser Server laufen mit Exchange 2019 oder älteren Versionen, die keine weiteren Sicherheitsaktualisierungen mehr erhalten. Nur rund 2 500 Systeme nutzen die aktuelle und unterstützte Version Exchange Server Subscription Edition (SE).
Nach Angaben des BSI entfällt etwa 45 % der installierten Systeme auf Exchange 2019, während rund 40 % noch mit Exchange 2016 arbeiten. Diese Situation erhöht das Risiko von Cyberangriffen erheblich. Das Amt warnt, dass ein einziger kritischer Fehler in der Software zu weitreichenden Konsequenzen führen könnte.
Risiken für Krankenhäuser, Schulen und Behörden
Die Behörde hebt hervor, dass nicht nur Unternehmen betroffen sind, sondern auch Krankenhäuser, Arztpraxen, Bildungseinrichtungen, soziale Dienste, Rechts- und Steuerkanzleien sowie kommunale Verwaltungen. Viele dieser Organisationen verfügen über flache Netzstrukturen ohne ausreichende Segmentierung oder Härtung, was die Gefahr eines vollständigen Netzwerkausfalls erhöht.
Wenn ein Exchange-Server kompromittiert wird, kann ein Angreifer:
- auf vertrauliche Daten zugreifen,
- Ransomware einschleusen,
- die gesamte Kommunikation einer Organisation lahmlegen.
Das BSI warnt, dass in solchen Fällen der Betrieb über Wochen gestört werden könnte. Sollte eine neue Sicherheitslücke entdeckt werden, ließe sich diese nicht mehr durch ein Update schließen. In der Folge müssten betroffene Server sofort offline genommen werden, um eine Kompromittierung zu verhindern.
Notfallmaßnahmen und Programme
Im August wurde eine Schwachstelle im Exchange-System bekannt, die die gesamte Microsoft 365-Infrastruktur gefährden konnte. Obwohl sie inzwischen behoben wurde, blieben Tausende Server ungeschützt.
Microsoft bietet derzeit ein sogenanntes Erweitertes Sicherheitsupdate-Programm an. Es stellt gegen zusätzliche Gebühren einige kritische Updates bereit, gilt aber nur für sechs Monate bis zum 14. April 2026. Das BSI weist darauf hin, dass dieses Programm lediglich Zeit verschafft, die Systeme aber weiterhin dringend modernisiert oder ersetzt werden müssen.
Die Behörde fordert Administratoren auf, sofort auf die Exchange SE-Version umzusteigen oder eine alternative Lösung zu implementieren. Außerdem empfiehlt sie, den Zugriff auf Exchange-Dienste nicht über das öffentliche Internet anzubieten, sondern ausschließlich über:
- virtuelle private Netzwerke (VPN),
- oder eine begrenzte Liste vertrauenswürdiger IP-Adressen.
Preisänderungen und offene Alternativen
Mit der Einführung von Exchange SE hat Microsoft sein Lizenzmodell geändert. Statt einer einmaligen Kauflizenz wird nun ein Abonnement-System verwendet. Gleichzeitig erhöhte das Unternehmen im Juli die Preise für On-Premises-Produkte.
Einige Bundesländer haben bereits reagiert. Schleswig-Holstein hat 40 000 Postfächer von Microsoft Exchange und Outlook auf die Open-Source-Lösungen Open-Xchange und Thunderbird migriert. Damit setzt das Land auf mehr digitale Unabhängigkeit und geringere Sicherheitsrisiken.
Die Warnung des BSI verdeutlicht die Dringlichkeit des Handelns. Über 30 000 deutsche Server sind verwundbar, und jedes ungepatchte System kann den Betrieb ganzer Einrichtungen gefährden. Die Behörde mahnt daher zur sofortigen Modernisierung und Absicherung sämtlicher Microsoft Exchange-Installationen.
Quelle: cybernews