Gemäß der Cybersicherheitswarnung des BSI sind rund 92 Prozent der etwa 33.000 bekannten Exchange-Server in Deutschland weiterhin mit den veralteten Versionen 2016 und 2019 online – viele davon mit öffentlich erreichbarem Outlook Web Access (OWA). Betroffen sind nicht nur Unternehmen, sondern auch Krankenhäuser, Schulen, Kommunalverwaltungen, Kanzleien und Stadtwerke.

Das Amt stuft die Bedrohungslage mit Kritikalität 2 (Gelb) ein. Sollte eine neue Schwachstelle bekannt werden, könnten diese Systeme nicht mehr per Update abgesichert werden. Im Extremfall müssten betroffene Server sofort vom Netz genommen werden, um eine Kompromittierung zu verhindern. Der Verlust eines Exchange-Servers könne wegen häufig unzureichender Netzsegmentierung schnell zur vollständigen Übernahme des Unternehmensnetzwerks führen – mit allen Folgen: Ransomware, Datenabfluss, Produktionsstillstand und möglicher DSGVO-Verstoß.

Als Übergangslösung bietet Microsoft ein kostenpflichtiges "Extended Security Update-Programm" (ESU) bis April 2026 an, das kritische Sicherheitslücken vorübergehend schließt. Das BSI warnt jedoch, dies sei nur eine kurzfristige Maßnahme, die den Umstieg auf Exchange Server SE oder eine alternative Plattform nicht ersetze.

Betreiber sollten außerdem den "Outlook Web Access" nicht mehr frei aus dem Internet zugänglich machen. Der Zugriff sollte auf vertrauenswürdige IP-Adressen beschränkt oder über ein VPN abgesichert werden. Das BSI verweist hierzu auf seinen Leitfaden "IT-Grundschutz-Hilfsmittel: Remote-Zugang E-Mail-System".

Was bei der Migration auf Exchange SE außerdem wichtig ist, hat IT-Administrator in seiner Oktober-Ausgabe in einem ausführlichen Workshop zusammengefasst.