In deutschen Unternehmensnetzwerken tickt weiterhin eine gefährliche IT-Zeitbombe: Laut einer aktuellen Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind rund 81 Prozent aller über das Internet erreichbaren Microsoft Exchange-Server hierzulande angreifbar, weil sie mit veralteter Software betrieben werden, die keine Sicherheitsupdates mehr erhält.
Support-Ende ohne Konsequenzen
Microsoft hat den Support für die früher weit verbreiteten Exchange-Versionen 2016 und 2019 im Oktober 2025 eingestellt. Seither werden für diese Editionen keine Sicherheitsupdates mehr ausgeliefert. Nur die neuere Exchange Server Subscription Edition (SE) wird weiterhin gepatcht. Trotzdem laufen die meisten Server in Deutschland weiterhin auf den älteren, ungepatchten Versionen.
Das BSI-CERT (Computer Emergency Response Team) hat analysiert, dass derzeit nur rund 19 Prozent der erreichbaren Exchange-Instanzen Sicherheitsupdates erhalten, während 81 Prozent potenziell verwundbar sind.
Die Migration stockt und das Risiko bleibt hoch
Die Migration auf die unterstützte Exchange SE schreitet zwar langsam voran, bleibt aber insgesamt weit hinter den Erwartungen zurück. Viele Unternehmen und Organisationen betreiben weiterhin Server mit Version 2019, 2016 oder sogar noch älteren Releases. Diese Systeme sind nicht nur ohne Patches, sondern häufig auch direkt über Outlook Web Access (OWA) aus dem Internet erreichbar, ein Paradies für automatisierte Angriffe und Exploit-Scanner.
Solch veraltete E-Mail-Server sind zentrale Knotenpunkte in IT-Infrastrukturen. Sie verwalten E-Mail-Kommunikation, Kalenderdaten und haben oft weitreichende Rechte im Active Directory. Bei einem erfolgreichen Angriff können sich Angreifer lateral im Netzwerk bewegen oder sogar das gesamte System kompromittieren.
Warum Mittelstand besonders betroffen ist
Die Lage betrifft nicht nur große Konzerne, sondern auch mittelständische Unternehmen, Behörden und kritische Infrastrukturen, etwa Krankenhäuser, Schulen, Stadtwerke und Verwaltungen, die Exchange-Systeme im eigenen Rechenzentrum betreiben. Für viele dieser Organisationen ist ein reibungsloser Mailbetrieb geschäftskritisch. Gleichzeitig fehlt oft das entsprechende Know-how oder Personal, um rechtzeitig auf neuere, unterstützte Versionen umzusteigen.
Sicherheitspflichten und rechtliche Risiken
Zudem geraten Unternehmen mit der Weiterverwendung ungepatchter Server in einen rechtlichen Spannungsbogen. Die NIS-2-Richtlinie und DSGVO-Vorgaben verlangen angemessene Schutzmaßnahmen gegen Cyberrisiken. Ein veralteter, angreifbarer Server gefährdet nicht nur den Betrieb, sondern kann im Ernstfall auch Bußgelder und Haftungsfragen nach sich ziehen.
Handlungsempfehlungen für IT-Verantwortliche
- Schnelle Bestandsanalyse: Ermitteln Sie sofort, welche Exchange-Server in Ihrer Umgebung betrieben werden und ob sie noch Support erhalten.
- Priorisierte Migration: Planen Sie ein Upgrade auf die unterstützte Exchange Server SE oder prüfen Sie alternative, sicher unterstützte Mailserver-Lösungen.
- Netzwerk-Absicherung: Reduzieren Sie die Angriffsfläche, indem Sie öffentlich erreichbare Dienste absichern oder hinter sichere Gateways verlagern.
- Compliance sicherstellen: Dokumentieren Sie Risikoanalysen und Schutzmaßnahmen, um regulatorischen Anforderungen gerecht zu werden.
Der aktuelle Stand zeigt Cyber-Resilienz endet nicht beim Produkt-Lifecycle, sondern beginnt mit einem disziplinierten Patch- und Migrationsmanagement, besonders im Mittelstand, wo Ressourcen oft knapp sind.
Quelle:
CERT-Bund
Keine Experimente mehr im Serverraum – Starten Sie Ihren IT-Betrieb nach FlightOps-Standard.
IT-Ausfälle kosten nicht nur Nerven, sondern im Ernstfall Zehntausende Euro pro Stunde. Mit unserer FlightOps-Methodik bringen wir die Präzision und Fehlerkultur der Luftfahrt in Ihren IT-Betrieb. Weg vom „Helden-Admin“ und hektischer Fehlersuche, hin zu proaktivem Monitoring, strikten Checklisten und garantierter Stabilität.
