In deutschen Unternehmensnetzwerken tickt weiterhin eine gefährliche IT-Zeitbombe: Laut einer aktuellen Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind rund 81 Prozent aller über das Internet erreichbaren Microsoft Exchange-Server hierzulande angreifbar, weil sie mit veralteter Software betrieben werden, die keine Sicherheitsupdates mehr erhält.
Support-Ende ohne Konsequenzen
Microsoft hat den Support für die früher weit verbreiteten Exchange-Versionen 2016 und 2019 im Oktober 2025 eingestellt. Seither werden für diese Editionen keine Sicherheitsupdates mehr ausgeliefert. Nur die neuere Exchange Server Subscription Edition (SE) wird weiterhin gepatcht. Trotzdem laufen die meisten Server in Deutschland weiterhin auf den älteren, ungepatchten Versionen.
Das BSI-CERT (Computer Emergency Response Team) hat analysiert, dass derzeit nur rund 19 Prozent der erreichbaren Exchange-Instanzen Sicherheitsupdates erhalten, während 81 Prozent potenziell verwundbar sind.
Die Migration stockt und das Risiko bleibt hoch
Die Migration auf die unterstützte Exchange SE schreitet zwar langsam voran, bleibt aber insgesamt weit hinter den Erwartungen zurück. Viele Unternehmen und Organisationen betreiben weiterhin Server mit Version 2019, 2016 oder sogar noch älteren Releases. Diese Systeme sind nicht nur ohne Patches, sondern häufig auch direkt über Outlook Web Access (OWA) aus dem Internet erreichbar, ein Paradies für automatisierte Angriffe und Exploit-Scanner.
Solch veraltete E-Mail-Server sind zentrale Knotenpunkte in IT-Infrastrukturen. Sie verwalten E-Mail-Kommunikation, Kalenderdaten und haben oft weitreichende Rechte im Active Directory. Bei einem erfolgreichen Angriff können sich Angreifer lateral im Netzwerk bewegen oder sogar das gesamte System kompromittieren.
Warum Mittelstand besonders betroffen ist
Die Lage betrifft nicht nur große Konzerne, sondern auch mittelständische Unternehmen, Behörden und kritische Infrastrukturen, etwa Krankenhäuser, Schulen, Stadtwerke und Verwaltungen, die Exchange-Systeme im eigenen Rechenzentrum betreiben. Für viele dieser Organisationen ist ein reibungsloser Mailbetrieb geschäftskritisch. Gleichzeitig fehlt oft das entsprechende Know-how oder Personal, um rechtzeitig auf neuere, unterstützte Versionen umzusteigen.
Sicherheitspflichten und rechtliche Risiken
Zudem geraten Unternehmen mit der Weiterverwendung ungepatchter Server in einen rechtlichen Spannungsbogen. Die NIS-2-Richtlinie und DSGVO-Vorgaben verlangen angemessene Schutzmaßnahmen gegen Cyberrisiken. Ein veralteter, angreifbarer Server gefährdet nicht nur den Betrieb, sondern kann im Ernstfall auch Bußgelder und Haftungsfragen nach sich ziehen.
Handlungsempfehlungen für IT-Verantwortliche
- Schnelle Bestandsanalyse: Ermitteln Sie sofort, welche Exchange-Server in Ihrer Umgebung betrieben werden und ob sie noch Support erhalten.
- Priorisierte Migration: Planen Sie ein Upgrade auf die unterstützte Exchange Server SE oder prüfen Sie alternative, sicher unterstützte Mailserver-Lösungen.
- Netzwerk-Absicherung: Reduzieren Sie die Angriffsfläche, indem Sie öffentlich erreichbare Dienste absichern oder hinter sichere Gateways verlagern.
- Compliance sicherstellen: Dokumentieren Sie Risikoanalysen und Schutzmaßnahmen, um regulatorischen Anforderungen gerecht zu werden.
Der aktuelle Stand zeigt Cyber-Resilienz endet nicht beim Produkt-Lifecycle, sondern beginnt mit einem disziplinierten Patch- und Migrationsmanagement, besonders im Mittelstand, wo Ressourcen oft knapp sind.
Quelle:
CERT-Bund