Trotz wiederholter Warnungen von Microsoft, den Support für Exchange Server 2016/2019 einzustellen, haben 92 % der deutschen Unternehmen keine Maßnahmen ergriffen. Nun sind über 30.000 Unternehmen im Land einem ernsthaften Risiko von Cyberangriffen und Datenverstößen ausgesetzt.
Jüngste Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden eine alarmierende Sicherheitskrise zur Sprache bringen, die das Potenzial hat, die gesamte IT-Infrastruktur des Landes zu destabilisieren. Nachdem Microsoft den kostenlosen erweiterten Support und die Sicherheitsupdates für die Exchange Server-Versionen 2016 und 2019 offiziell eingestellt hat, stellte das BSI fest, dass fast 92 % der 33.000 öffentlich zugänglichen Exchange Server anfällig für Cyberangriffe sind.
Obwohl Microsoft kontinuierlich Mahnungen versendet, dass der Support für Exchange Server-Versionen mit unbefristeten Lizenzen eingestellt wird, wurden nur 2.500 Exchange Server gefunden, die auf dem derzeit unterstützten Exchange Server SE laufen. Die Analyse des deutschen BSI zeichnet ein Bild der Nichteinhaltung und allgemeinen Missachtung der beharrlichen Mahnungen von Microsoft, die bereits im Januar 2025 begannen.
Organisationen kurz vor einer bevorstehenden Krise
Die meisten nicht unterstützten Exchange-Server wurden in Universitäten, Schulen, Arztpraxen, Krankenhäusern, Anwaltskanzleien und lokalen Behörden gefunden. Alle diese Institutionen speichern kritische Daten deutscher Bürger, die gefährdet sein könnten, wenn Hacker versuchen, Schwachstellen in nicht gepatchten Exchange-Servern auszunutzen.
Da viele Organisationen mit nicht unterstützten Exchange-Servern über flache Netzwerkstrukturen ohne Segmentierung und Sicherheitsmaßnahmen verfügen, können Hacker nach dem Hacken des Exchange-Servers schnell das gesamte Netzwerk übernehmen. Sie können sensible Daten stehlen und Ransomware und Backdoors einsetzen, was zu Produktionsausfällen von mehreren Wochen führen kann.
Das BSI hat gewarnt, dass kritische Sicherheitslücken in Microsoft Exchange nicht sofort behoben werden können und dass der betroffene Exchange-Server dann offline genommen werden muss, um eine Gefährdung der Daten zu vermeiden. Es hat auch auf verschiedene Hackerangriffe in der Vergangenheit hingewiesen und Unternehmen aufgefordert, von nicht mehr unterstützten Versionen von Exchange auf Exchange SE umzusteigen oder durch die Wahl von Microsoft Exchange Online, d. h. Microsoft 365, in die Cloud zu migrieren.
Begrenzte Verlängerungsfrist: eine mögliche Lösung oder eine Verzögerung der Katastrophe
Obwohl Microsoft versucht hat, das Problem mit einem Extended Security Update (ESU)-Programm zu entschärfen, sieht das deutsche BSI darin keine Lösung für das Problem. Der Plan von Microsoft, kritische Sicherheitspatches für weitere sechs Monate bis zum 14. April 2026 anzubieten, ist mit finanziellen Kosten verbunden, die von vielen deutschen Unternehmen mit nicht mehr unterstützten Exchange-Servern möglicherweise nicht gut aufgenommen werden. Viele Unternehmen planen, ihre Postfächer auf Open-Source-Alternativen wie Thunderbird und Open-Xchange zu migrieren, um ihre Kosten unter Kontrolle zu halten und den E-Mail-Dienst weiterhin nutzen zu können. Derzeit besteht jedoch keine Sicherheit, dass alle Unternehmen vor Ablauf der Frist oder vor dem Auftreten einer Sicherheitslücke auf sichere Plattformen migrieren oder auf Exchange Server SE umsteigen können.
Der Weg in die Zukunft
Das BSI rät Unternehmen, bewährte Verfahren für Cybersicherheit zu befolgen, z. B. Exchange Server-Komponenten wie Outlook Web Access nicht ohne robuste Sicherheitskontrollen direkt dem Internet auszusetzen. Das BSI empfiehlt außerdem einen eingeschränkten Zugriff über VPN oder eine vertrauenswürdige IP-Whitelist, um die Angriffsfläche zu verringern. Zuerst möchte das BSI jedoch, dass Unternehmen entweder sofort auf Exchange Server SE upgraden oder auf alternative Messaging-Lösungen wie Microsoft 365 migrieren. Wenn Sie schnell und effizient von einer nicht mehr unterstützten Version von Exchange zu Exchange SE oder Microsoft 365 migrieren möchten, können Sie Migrationstools wie Stellar Migrator for Exchange verwenden. Dieses Tool gewährleistet eine sichere Migration von Postfächern mit 100 %iger Genauigkeit und ohne Ausfallzeiten, was derzeit dringend erforderlich ist. Sie können dieses Tool sogar verwenden, um Postfächer von Exchange-Diensten von Drittanbietern in die Microsoft 365-Cloud zu übertragen. Es ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die die Migration auch für Unternehmen bequem macht, die keine IT-Administratoren mit umfangreicher Erfahrung in der Exchange-Migration haben.
