Da draußen laufen zehntausende Microsoft Exchange Server in Deutschland, die weder gepatcht noch vom Hersteller supported werden. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, sieht das mit Recht als ernstes Problem. Denn für Angreifer sind solche Systeme oft ein gefundenes Fressen.
Die Zahlen, die uns das CERT-Bund liefert, sind alles andere als beruhigend. Seit Oktober ist der Anteil der auf die neue Exchange Subscription Edition aktualisierten Server zwar von acht auf magere 19 Prozent gestiegen. Das bedeutet aber im Umkehrschluss, dass immer noch satte 81 Prozent der aus dem Internet erreichbaren Exchange-Server in Deutschland mit Versionen unterwegs sind, die keinen Herstellersupport mehr genießen. Mehr als drei Monate nach dem Stichtag für verschiedene ältere Versionen ist der Wechsel auf die sichere Seite für viele Organisationen offenbar noch keine Priorität.
Der Haken an der Sache ist klar: Neu entdeckte Schwachstellen werden in diesen veralteten Versionen schlichtweg nicht mehr gefixt. Das macht sie zu leichten Zielen für Cyberkriminelle, die gezielt nach solchen Lücken suchen. Und glaub mir, sie finden sie.
Die Migration zur einzigen von Microsoft noch unterstützten On-Premises-Variante, der Exchange Server Subscription Edition, ist wohl keine Spazierfahrt. Oft müssen da erst mal die zugrunde liegenden Windows Server auf den neuesten Stand gebracht werden. Und dann wäre da noch das neue Abo-Modell für die Lizenzen, das die alten unbefristeten Lizenzen ablöst. Bei vielen Entscheidern sorgt das für Stirnrunzeln und zähe Budgetfreigaben. Ein Schelm, wer da an einen gewissen Investitionsstau denkt.
Die Verteilung der Installationen zeigt, wie tief das Problem sitzt: Rund 40 Prozent sind immer noch Exchange 2019 und etwa 35 Prozent Exchange 2016. Selbst die richtig alten Semester, wie Exchange 2010 und 2013, machen zusammen noch sechs Prozent aus. Das sind Systeme, deren Support teils schon vor Jahren ausgelaufen ist. BSI-Vizepräsident Thomas Caspers hat das Weiterbetreiben solcher Software trotz langer Vorlaufzeit schon einmal als "schlicht fahrlässig" bezeichnet. Man kann sagen, seine damaligen Warnungen haben noch nicht die gewünschte Wirkung gezeigt.
Das Risiko beschränkt sich nicht nur auf den Verlust von E-Mails. Exchange-Server sind oft tief in die Unternehmensnetze integriert und besitzen weitreichende Rechte im Active Directory. Eine Kompromittierung kann schnell zur kompletten Übernahme der Domäne führen - ein Albtraum für jede IT-Abteilung. Und mit den verschärften NIS-2-Vorgaben drohen Verantwortlichen bei unzureichend geschützten, veralteten Systemen auch empfindliche Bußgelder.
Besonders brisant ist, dass nicht nur „normale“ Unternehmen betroffen sind. Auch Kritische Infrastrukturen wie Krankenhäuser, Schulen, Stadtwerke und Kommunen zählen zu den Betreibern unsicherer Exchange-Server. Für sie bedeutet das eine erhöhte Gefahr von Ransomware-Angriffen und Datendiebstahl, die weitreichende Konsequenzen haben könnten. Die Migrationsquote mag langsam steigen, doch die Zahl der angreifbaren Systeme bleibt erschreckend hoch.
Kommentare (0)