Estimated reading time: 6 Minuten
Am 28. Oktober 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine offizielle Warnung veröffentlicht:
Viele Microsoft Exchange Server 2016 und 2019 in Deutschland sind nach dem Support-Ende ungeschützt – und damit ein ernstes Risiko für Unternehmen und Behörden.
Was ist passiert?
Der Hersteller Microsoft hat am 14. Oktober 2025 den Support für die Versionen Exchange Server 2016 und Exchange Server 2019 eingestellt.
Das bedeutet konkret:
- Es gibt keine kostenlosen Sicherheitsupdates mehr.
- Neu entdeckte Schwachstellen werden nicht mehr geschlossen.
- Unternehmen, die diese Systeme weiter nutzen, sind dauerhaft verwundbar.
Das BSI schätzt, dass in Deutschland weiterhin über 30 000 Exchange-Server dieser alten Versionen in Betrieb sind – viele davon sogar mit offenem Webzugang. Diese Server sind ein leichtes Ziel für Angriffe.
Warum ist das so gefährlich?
Microsoft Exchange dient als zentrale Kommunikationsplattform: E-Mails, Kalender, Kontakte, Aufgaben – alles läuft über diesen Server.
Ein erfolgreicher Angriff kann daher weitreichende Folgen haben:
- Zugriff auf vertrauliche Kommunikation
- Diebstahl personenbezogener Daten
- Einschleusen von Schadsoftware oder Ransomware
- Übernahme ganzer Netzwerke
- Verstöße gegen die DSGVO, wenn Daten nicht ausreichend geschützt sind
Das BSI stuft den weiteren Betrieb solcher Systeme ohne Support als fahrlässig ein.
Thomas Caspers, Vizepräsident des BSI, wird mit den Worten zitiert:
„Wer trotz Hinweisen des Herstellers und ausreichender Vorlaufzeit Software einsetzt, die keine Sicherheitsupdates mehr erhält, handelt schlicht fahrlässig.“
Was sollten Unternehmen jetzt tun?
Das BSI empfiehlt ein strukturiertes Vorgehen in vier Schritten:
1. Bestandsaufnahme
- Prüfen, ob im Unternehmen noch Exchange Server 2016 oder 2019 im Einsatz sind.
- Herausfinden, ob diese Server aus dem Internet erreichbar sind (z. B. über Outlook Web Access).
- Klären, welche Dienste über diese Server laufen und welche Daten dort gespeichert sind.
2. Risiko bewerten
- Alte Exchange-Systeme ohne Support sind hochriskant.
- Besonders kritisch: Server mit direktem Internetzugang.
- Einrichtungen wie Schulen, Stadtwerke, Krankenhäuser oder Kommunen sind besonders gefährdet.
3. Migrationsplan erstellen
Das BSI nennt zwei sinnvolle Wege:
Option A: Upgrade auf eine neuere Version
- Microsoft bietet mit der Exchange Server Subscription Edition (SE) eine Nachfolgeversion mit fortlaufenden Updates an.
- Der Vorteil: On-Premises-Betrieb bleibt möglich.
- Der Nachteil: Aufwand, Lizenzkosten und eventuell neue Hardware nötig.
Option B: Wechsel in die Cloud
- Migration zu Exchange Online oder einem anderen E-Mail-Dienst.
- Vorteile: Automatische Updates, weniger Wartungsaufwand.
- Nachteile: Datenschutzfragen, laufende Kosten, Umstellung der Infrastruktur.
Zwischenlösung:
Für Unternehmen, die mehr Zeit benötigen, gibt es das kostenpflichtige Extended Security Update (ESU)-Programm.
Damit liefert Microsoft noch bis April 2026 Sicherheitsupdates – allerdings gegen Gebühr.
Das BSI weist darauf hin, dass dies nur eine kurzfristige Übergangslösung ist.
4. Sofortmaßnahmen zur Risikominimierung
Bis zur endgültigen Migration sollten mindestens folgende Schritte umgesetzt werden:
- Webzugriff beschränken: Kein offener Zugang aus dem Internet. Zugriff nur über VPN oder feste IP-Adressen.
- Server isolieren: In ein eigenes Netzwerksegment verschieben.
- Monitoring aktivieren: Zugriffe und Anmeldeversuche überwachen.
- Backups prüfen: Sicherstellen, dass aktuelle Datensicherungen existieren.
- Dokumentation: Verantwortlichkeiten, Systeme und Maßnahmen schriftlich festhalten.
Warum gerade Exchange 2016 und 2019 betroffen sind
Ende des Supports
Wenn eine Software das Ende ihres Lebenszyklus erreicht, bedeutet das:
- Keine Sicherheitsupdates mehr
- Keine Fehlerbehebungen oder neuen Funktionen
- Hersteller übernimmt keine Verantwortung mehr für Sicherheitslücken
Exchange 2016 und 2019 sind am 14. Oktober 2025 offiziell ausgelaufen.
Die Verbreitung in Deutschland
Nach Angaben des BSI sind über 30 000 Server dieser Versionen weiterhin aktiv.
Viele davon sind direkt aus dem Internet erreichbar – etwa über Outlook Web Access.
Das macht sie zu einem beliebten Ziel für Hacker.
Die Folgen bei einem Angriff
Ein kompromittierter Exchange-Server kann für Angreifer das Tor ins gesamte Firmennetz sein.
Oftmals werden über den Mailserver auch Administratorrechte gewonnen, wodurch Schadsoftware überall im Netzwerk verteilt werden kann.
Handlungsempfehlungen des BSI
Das BSI betont, dass alle Betreiber solcher Systeme dringend handeln müssen.
Zentrale Empfehlungen:
- Abschalten oder migrieren – Systeme ohne Support dürfen nicht dauerhaft betrieben werden.
- Zugriffsbeschränkungen umsetzen, bis eine Migration abgeschlossen ist.
- Regelmäßig Sicherheitswarnungen verfolgen, etwa über den BSI-Warnservice.
- Verantwortlichkeiten klären – wer betreut den Mailserver, wer ist Ansprechpartner im Notfall?
- Dokumentation und Nachweisführung, um im Falle einer Datenschutzprüfung vorbereitet zu sein.
Das BSI warnt ausdrücklich:
Wenn neue Schwachstellen bekannt werden, kann die Abschaltung der Anwendung notwendig sein, um das IT-Netzwerk zu schützen.
Welche Optionen haben Unternehmen?
1. Upgrade auf Exchange Server SE
Microsofts neue „Subscription Edition“ wird regelmäßig aktualisiert und folgt einer modernen Lifecycle-Strategie.
Vorteil: Betrieb bleibt intern, vertraute Umgebung bleibt erhalten.
Nachteil: Migrationsaufwand und laufende Kosten für die Lizenz.
2. Umstieg auf Exchange Online
Eine Cloud-Migration zu Microsoft 365 (Exchange Online) reduziert Wartungsaufwand, da Microsoft selbst für Patches sorgt.
Aber: Datenschutz (z. B. Datenstandort), Kostenstruktur und Umstellungsaufwand müssen geprüft werden.
3. Extended Security Updates (ESU)
Bis April 2026 können Unternehmen kostenpflichtige Updates beziehen.
Das ist nur eine Übergangslösung – langfristig sollte vollständig migriert werden.
Praktische Tipps für IT-Teams
- Bestandsaufnahme: Welche Exchange-Version läuft wo?
- Sofortmaßnahmen: Zugriff sperren, nur über VPN erlauben.
- Migration planen: Ressourcen, Lizenzen, Zeitplan.
- Notfallkonzept: Was tun bei Kompromittierung?
- Kommunikation: Geschäftsleitung informieren und Budget klären.
- Sicherheitsrichtlinien aktualisieren: Veraltete Systeme dürfen künftig nicht mehr betrieben werden.
Fazit
Das Ende des Supports für Exchange Server 2016 und 2019 markiert einen kritischen Wendepunkt für viele IT-Abteilungen.
Wer jetzt nicht handelt, riskiert nicht nur einen Sicherheitsvorfall, sondern auch rechtliche Konsequenzen.
Wichtig ist:
- Migration oder Abschaltung sollten sofort geplant werden.
- Der Betrieb ohne Support ist nicht mehr vertretbar.
- Das BSI empfiehlt allen Betreibern, die Warnung ernst zu nehmen und umgehend zu handeln.
Für IT-Teams bedeutet das: Jetzt ist der richtige Zeitpunkt, alte Systeme zu modernisieren – sei es durch ein Upgrade oder den Schritt in die Cloud.
Sicherheit, Stabilität und Zukunftsfähigkeit stehen dabei im Vordergrund.
Quellen & weiterführende Links
- BSI – Pressemitteilung zum Support-Ende von Exchange Server:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251028_Support_Ende_Exchange-Server.html - Heise Online – Bericht über das BSI und 30.000 veraltete Server:
https://www.heise.de/news/BSI-Warnung-Ueber-30-000-veraltete-Exchange-Server-in-Deutschland-10962510.html - AP-Verlag – Hintergrund zum Support-Ende und Handlungsempfehlungen:
https://ap-verlag.de/support-ende-zehntausende-exchange-server-gefaehrdet/100168/ - nteam.de – Informationen zur neuen Exchange Subscription Edition (SE):
https://nteam.de/https-nteam-de-news-seiten-exchange-support-ende-2025-sharepoint-on-premises-und-se-migration
Sei der Erste, der das kommentiert
Kommentare sind geschlossen, allerdings sind Trackbacks und Pingbacks möglich.