In Deutschland sind derzeit zehntausende Exchange-Server einem erheblichen Sicherheitsrisiko ausgesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm, denn laut aktuellen Erkenntnissen laufen rund 90 Prozent der öffentlich erreichbaren Exchange-Server noch mit veralteter Software. Konkret handelt es sich dabei um die Versionen 2016 und 2019 von Microsoft Exchange, deren offizieller Support am 14. Oktober 2025 ausgelaufen ist. Seit diesem Zeitpunkt stellt Microsoft keine regulären Sicherheitsupdates mehr für diese Systeme bereit, was sie besonders anfällig für Angriffe macht. Die Gefahr ist keineswegs theoretisch. In der Vergangenheit wurden Exchange-Server wiederholt Ziel schwerwiegender Cyberangriffe, bei denen Schwachstellen ausgenutzt wurden, um in Netzwerke einzudringen. Sollte erneut eine kritische Sicherheitslücke bekannt werden, könnten betroffene Systeme nicht mehr durch ein Update geschützt werden. Das BSI warnt daher eindringlich davor, diese veralteten Versionen weiterhin zu betreiben. Im Ernstfall müssten betroffene Server sofort vom Netz genommen werden, um eine Kompromittierung zu verhindern. Besonders problematisch ist, dass Exchange-Server häufig zentrale Funktionen in Unternehmensnetzwerken übernehmen. Aufgrund oft unzureichender Segmentierung und fehlender Härtung der Systeme kann ein erfolgreicher Angriff schnell zur vollständigen Übernahme des gesamten Netzwerks führen. Die Folgen wären gravierend: Neben dem Diebstahl sensibler Daten drohen Ransomware-Angriffe, bei denen Angreifer Lösegeld fordern, sowie langwierige Produktionsausfälle, die Unternehmen und öffentliche Einrichtungen gleichermaßen treffen können. Hinzu kommt ein rechtlicher Aspekt. Da auf Exchange-Servern regelmäßig personenbezogene Daten verarbeitet werden, stellt der Betrieb nicht mehr unterstützter Software einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) dar. Dies betrifft nicht nur Unternehmen, sondern auch zahlreiche Organisationen des öffentlichen Sektors, darunter Krankenhäuser, Arztpraxen, Schulen, Hochschulen, Stadtwerke und Kommunalverwaltungen. Zwar bietet Microsoft im Rahmen des Extended Security Update Programms (ESU) noch bis zum 14. April 2026 kostenpflichtige Sicherheitsupdates für kritische Schwachstellen an, doch das BSI betont, dass dies keine nachhaltige Lösung darstellt. Vielmehr verschiebe das ESU-Programm lediglich notwendige Maßnahmen, wie ein vollständiges Upgrade auf Exchange Server SE oder die Migration zu alternativen Lösungen. Die Behörde appelliert daher an alle Betreiber betroffener Systeme, unverzüglich zu handeln. Darüber hinaus empfiehlt das BSI dringend, webbasierte Dienste wie Outlook Web Access nicht mehr direkt aus dem Internet zugänglich zu machen. Stattdessen sollte der Zugriff auf vertrauenswürdige IP-Adressen beschränkt oder über ein sicheres VPN abgesichert werden, um das Risiko eines Angriffs weiter zu minimieren.

Den Originaltext lesen sie hier: Zehntausende Exchange-Server in Deutschland gefährdet | CIO DE