Microsoft hat den Support für Exchange Server 2016 und 2019 am 14. Oktober 2025 beendet. Die Oktober-Patches waren die letzten öffentlich verfügbaren Sicherheitsupdates; weitere Fixes gibt es nur noch über ein befristetes Extended-Security-Update-Programm bis April 2026 - und auch nur für zahlende, registrierte Kunden. Wer jetzt noch wartet, wartet bewusst auf Ärger.
Das BSI meldet derweil: In Deutschland laufen weiterhin über 30.000 dieser Server (und ältere) produktiv, viele mit offen aus dem Netz erreichbarem Outlook Web Access. Heißt übersetzt: Angreifer müssen nicht klingeln, die Tür steht bereits offen. Besonders bitter: Betroffen ist eine breite Mischung aus Unternehmen, Kliniken, Schulen, Stadtwerken und Kommunalverwaltungen.
Der sicherheitstechnische Befund ist trivial, aber gnadenlos: Tauchen neue Schwachstellen auf, bleiben betroffene Installationen dauerhaft verwundbar. Ohne Hersteller-Patches hilft auch kein „Wir segmentieren mal das Netz“-Mantra. Das BSI hat dazu eine Bedrohungsinformation (BITS) verteilt und rät dringend zur Umstellung auf aktuelle Varianten - konkret Exchange Server Subscription Edition - oder gleich zur Migration auf Alternativen. Wer Exchange behalten will, muss also modernisieren; wer raus will, sollte Migration und Identitätsmanagement (Stichwort: Hybrid- oder Cloud-Postfächer) sauber planen.
Rein operativ ist die Lage unromantisch: Legacy-Server ohne Support sind Compliance-Risiko, Incident-Kostenmultiplikator und Bewerbungsflyer für Ransomware-Gruppen. Wer wirklich gar nicht sofort umstellen kann, sollte wenigstens das ESU-Programm evaluieren - als Feuerlöscher, nicht als Wohnkonzept. Parallel gilt: OWA nur hinter MFA, aktuelle Auth-Flows, Telemetrie hochfahren, Angriffsfläche minimieren und vor allem ein Migrationsfenster mit Management-Rückenwind fixieren. Die Übergangszeit ist kurz, aber planbar.
Kommentare (0)