Schutzlose Exchange Server

Was lese ich da? Es gibt noch tausende schutzlose Exchange Server, weil diese halt veraltet sind? Darüber müssen wir hier mal diskutieren. Ich meine, mir ist schon klar, dass so eine extrem wichtige Server-Anwendung wie der Exchange Server nicht einfach so übers Knie gebrochen auf eine neue Version gehoben werden kann. Aber mal ehrlich: Diese extrem wichtige Server-Anwendung in einer veralteten Version ist dann halt auch ein extrem großes Sicherheitsrisiko.

Sind es denn wirklich schutzlose Exchange Server?

Es ist ja nun nicht so, dass die Nachricht ganz plötzlich am 13. Oktober 2025 vom Himmel gefallen ist, dass Exchange Server 2016 und 2019 mit dem 14. Oktober 2025 das Ende des Supports erreicht haben. Ich hatte mindestens ein Jahr vorher schon davon erzählt. Jaja, alles gut, die Software muss beschafft werden, eventuell sogar neue Server mit neuen Lizenzen für das Betriebssystem. Das ist mir alles klar. Und wenn man alles so lässt, hat man schutzlose Exchange Server. Oder?

Nicht zwangsläufig. Ein Kunde, mit dem ich ziemlich eng zu tun habe, hat seine Exchange Server hinter allem Tot und Teufel verbarrikadiert. Die gucken nicht direkt ins Internet, sondern auf eine Wand, eine Firewall. Dort gibt es – naja, wie sagen wir das – einen virtuellen Briefkasten, über den jede einzelne Mail geht. Die Nutzenden können auch nicht einfach so von zuhause aus auf den Webzugang „Outlook On The Web“ zugreifen. Und demnächst bekommt er neue Server.

Das Problem ist, dass sich viele Organisationen einfach darum drücken wollten, Exchange im Abo zu beziehen. Und nichts anderes ist Exchange Server SE. Bei manchen Kunden dauert es halt extrem lang, bis Software-Beschaffung genehmigt wurde. Aber dann sollten sie doch dringend dafür sorgen, dass die noch nicht aktualisierten Exchange Server wenigstens nicht von außen erreichbar sind, oder?

Das BSI schlägt Alarm

Rund 33000 schutzlose Exchange Server sind allein in Deutschland bekannt. Davor warnte das BSI neulich. Und sie empfehlen, umgehend auf Exchange Server SE zu aktualisieren oder auf eine alternative Lösung zu migrieren. Und „alternative Lösung“ muss dabei nicht gleich „Exchange Online“ heißen. Aber es ist schon so, dass Microsoft mit Exchange Server ein de-facto-Monopol hat. Nichtsdestotrotz gibt es aber Alternativen wie Kolab oder Grommunio.

Und nicht zuletzt gibt es auch die ESU-Unterstützung. Dafür brauchen die Unternehmen aber auch eine gesonderte Lizenz, mit der bis April 2026 kritische Sicherheitsupdates noch bezogen werden können. Damit erkaufe ich mir natürlich etwas Zeit, löse aber das grundsätzliche Problem nicht. Vor allem nicht, wenn ich den Webzugang meinen Anwendern zur Verfügung stellen will oder soll oder muss. Es hilft ja nichts, Admins müssen sich echt was einfallen lassen.

Ich habe zwar noch nicht viel darüber gelesen, ob es bereits Angriffsversuche auf schutzlose Exchange Server gibt oder gab. Aber das wäre auch nicht das erste Mal. Und wenn da noch nichts stattfand, ist das nur eine Frage der Zeit, bis die Angreifer tätig werden. Natürlich ist die Subscription Edition mit Kosten verbunden, vor allem, wenn neue Hardware und ein neues Windows notwendig werden. Ein Datenabfluss und eine große Kompromittierung dürften aber deutlich teurer werden.