Thought Leadership
Das BSI schlägt Alarm: Trotz ausgelaufenem Support werden in Deutschland noch zehntausende Microsoft-Exchange-Server mit veralteten Versionen betrieben. Ein Sicherheitsrisiko mit weitreichenden Folgen.
Mitte Oktober 2024 endete planmäßig der Support für Microsoft Exchange Server 2016 und 2019. Seit diesem Zeitpunkt stellt Microsoft keine Sicherheitsupdates mehr für diese Versionen bereit. Dennoch sind nach Angaben des Bundesamts für Sicherheit in der Informatiechnik (BSI) weiterhin mehr als 30.000 Exchange-Server in Deutschland im Einsatz, die diese oder sogar noch ältere Versionen nutzen. Dabei ist der Outlook Web Access offen über das Internet erreichbar.
Breite Betroffenheit über alle Sektoren
Die betroffenen Systeme finden sich quer durch alle Bereiche: Unternehmen, Krankenhäuser, Schulen, Stadtwerke und Kommunen setzen die veraltete Software noch ein. Das BSI hat deshalb eine Bedrohungsinformation (BITS) veröffentlicht und an seine Zielgruppen versandt.
“Wer trotz Hinweisen des Herstellers und ausreichender Vorlaufzeit Software einsetzt, die keine Sicherheitsupdates mehr erhält, handelt schlicht fahrlässig”, warnt Thomas Caspers, Vizepräsident des BSI. “Wenn für diese Software Schwachstellen entdeckt werden – und damit ist leider jederzeit zu rechnen – sind die Daten der Unternehmen und Organisationen Cyberangriffen schutzlos ausgeliefert.”
Risiko für gesamte Netzwerke
Die Lage ist deshalb so kritisch, weil Exchange-Server typischerweise zentrale Komponenten der IT-Infrastruktur darstellen. Das BSI warnt, dass ein Angriff auf solche Systeme das komplette Netzwerk gefährden kann. Taucht eine Sicherheitslücke auf, für die es keinen Patch mehr gibt, müssten Administratoren die Server womöglich komplett vom Netz nehmen. Die Folge wären massive Einschränkungen der internen und externen Kommunikation.
Die Behörde fordert daher dringend zum Handeln auf: Betroffene Organisationen sollten zeitnah auf unterstützte Exchange-Versionen wechseln oder gleich auf andere Mailserver-Lösungen umsteigen. Bei über 30.000 anfälligen Systemen allein in Deutschland sieht das BSI erheblichen Handlungsbedarf.
