BSI schlägt Alarm: 92 Prozent aller deutschen Exchange-Server ohne Support
Das am 14. Oktober 2025 erreichte Ende des Supports für Microsoft Exchange Server 2016 und 2019 hat Auswirkungen auf die Cyberbedrohungslage in Deutschland. Laut einer neuen Warnmeldung des Bundesamtes für Sicherheit in der Informationstechnik(öffnet im neuen Fenster) (BSI) laufen hierzulande mehr als 90 Prozent aller online erreichbaren On-premise-Exchange-Server mit einer nicht mehr unterstützten Exchange-Version.
Das BSI beruft sich dabei auf eigene Zahlen. Insgesamt sind der Behörde demnach 33.000 Exchange-Server bekannt, die mit Outlook Web Access (OWA) über das Internet erreichbar sind. 92 Prozent davon basieren den Angaben zufolge noch auf Microsoft Exchange 2019 oder älter.
Rund 45 Prozent entfallen dabei auf Exchange 2019(öffnet im neuen Fenster) , weitere knapp 40 Prozent auf Exchange 2016(öffnet im neuen Fenster) . Folglich sind mehr als 80 Prozent der online erreichbaren Instanzen erst vor wenigen Tagen aus dem Support gefallen. Auch die noch älteren Versionen Exchange Server 2013 und 2010 sind in der Statistik des BSI weiterhin vertreten, wenn auch jeweils nur im einstelligen Prozentbereich.
Weiterer Betrieb ist riskant
Betroffen sind von dem Supportende nicht nur Tausende von privatwirtschaftlichen Unternehmen. Laut BSI betreiben auch zahlreiche Krankenhäuser, Arztpraxen, Schulen, Hochschulen, Sozialdienste, Stadtwerke, Kommunalverwaltungen sowie Anwalts- und Steuerkanzleien Exchange-Server mit nicht mehr unterstützten Systemversionen.
Da die betroffenen Server keine Sicherheitsupdates mehr erhalten, bleiben kritische Schwachstellen dauerhaft ungepatcht. Das verschafft Angreifern im Laufe der Zeit immer mehr Möglichkeiten, diese Systeme zu kompromittieren, sich daraufhin im internen Netzwerk fortzubewegen und Daten mit einer Ransomware zu verschlüsseln oder auszuleiten.
Zu den möglichen Folgen zählen wochenlange Produktionsausfälle , Datenverluste sowie Erpressungsversuche durch die Angreifer. "Da auf Exchange-Servern personenbezogenen Daten verarbeitet werden, stellt der weitere Betrieb veralteter Versionen zudem einen Verstoß gegen die DSGVO dar" , warnt das BSI außerdem in diesem Zusammenhang.
Wechsel dringend empfohlen
Die Netzbetreiber betroffener Organisationen werden bereits regelmäßig von BSI und Cert-Bund über IP-Adressen informiert, hinter denen nicht mehr unterstützte Exchange-Versionen laufen. Auch für Exchange Server 2016 und 2019 sollen ab sofort entsprechende Meldungen erfolgen.
Betroffenen wird empfohlen, auf das weiterhin unterstützte Microsoft Exchange Server SE (Subscription Edition) oder eine alternative Lösung zu wechseln. Microsoft bietet zwar für Exchange 2016 und 2019 ein ESU-Programm (Extended Security Update) an, dessen Nutzung ist aber kostenpflichtig und auf sechs Monate beschränkt. Spätestens ab April 2026 wird es auch darüber keine weiteren Updates geben, wie Microsoft in einem Blogbeitrag(öffnet im neuen Fenster) eindringlich betont.