Update 07.11.2025
Wie das BSI am 28.10.2025 mitteilt, besteht für zehntausende Exchange Server nach dem Supportende der Versionen 2016 und 2019 ein erhöhtes Risiko.
„Dennoch laufen in Deutschland aktuell noch 92% der dem BSI bekannten rund 33.000 on-premise Exchange-Server mit offen aus dem Internet erreichbarem Outlook Web Access mit Version 2019 und älter.
Neben tausenden Unternehmen ist unter anderem auch eine Vielzahl von Krankenhäusern und Arztpraxen, Schulen und Hochschulen, Sozialdiensten, Anwalts- und Steuerkanzleien, Stadtwerken und Kommunalverwaltungen betroffen.“
(Quelle: Mitteilung des BSI vom 28.10.2025, https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-287772-1032.pdf?__blob=publicationFile&v=3)
Update 01.10.2022
Wie Heise Online gestern mitteilte, gibt es erneut Angriffe auf Exchange Server. Derzeit stehen noch keine Updates zum Schließen der Zero-Day-Lücke zur Verfügung. Mit Hilfe eines Workarounds können Administratoren das Risiko verringern. (Zur Meldung von Heise online hier klicken)
Microsoft hat mittlerweile ein Skript für einen Workaround veröffentlicht, das Skript finden Sie hier.
Update: 12.03.2022
Erneut weist das CERT-Team des Bundes auf weitere Schwachstellen in Exchangeservern, in den Versionen von 2013, 2016 und 2019, hin. Die Risikoeinstufung ist hoch (CVE-2022-23277, CVE-2022-24463). Das zeitnahe Einspiele der zur Verfügung gestellten Updates wird empfohlen.
Update: 23.08.2021
Trotz Patches: Tausende ungepatchter Server angegriffen
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Samstag vermeldete, werden erneut tausende Exchange-Server angegriffen. Auch fünf Monate nach Veröffentlichung der Sicherheitslücke durch Microsoft sind nach wie vor viele Server angreifbar (CVE-2021–34473, CVE-2021–34523, CVE-2021–31207). Bislang noch nicht gepatchte Server sollten zudem auf wahrscheinlich bereits implementierte Backdoors untersucht werden.
Erstmeldung vom 3.3.2021
Wie am 3.3.2021 durch Microsoft veröffentlicht, existieren in Exchange-Servern 2010, 2013, 2016 und 2019 schwere Sicherheitslücken, die aktuell in großer Zahl durch Angreifer der sogenannten Hafnium-Gruppe ausgenutzt werden. Mittlerweile werden weitere Details und auch das Ausmaß der Lücken bekannt. Microsoft hat in der Nacht zum 3.3. Updates zur Verfügung gestellt, die eine künftige Kompromittierung verhindern, eine schon stattgefundene jedoch nicht beseitigen können.
Sicherheitsupdates stehen für die folgenden Versionen zur Verfügung [MIC2021c]:
- Exchange Server 2010 (RU 31 für Service Pack 3, hierüber werden künftige Angriffe verhindert)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18)
- Exchange Server 2019 (CU 8, CU 7)
Datensicherheit gewährleisten
Ein sehr hohes Risiko besteht für alle aus dem Internet erreichbaren Exchange-Server, die Outlook Web Access (OWA) nutzen. Betroffen sind möglicherweise auch Server, die ActiveSync, Unified Messaging (UM), Exchange Control Panel (ECP) VDir, Offline Address Book (OAB) VDir Services sowie weitere Dienste nutzen.
Es wird dringend empfohlen, die von Microsoft bereitgestellten Updates zeitnah zu installieren. Bei einer hohen Wahrscheinlichkeit der Kompromittierung sollten umgehend weitere Schritte entsprechend dem unternehmensinternen Incidenceplan eingeleitet werden. Insbesondere sind Protokoll- und Logdateien zu sichern und von Löschroutinen auszunehmen.
Sie benötigen einen betrieblichen Datenschutzbeauftragten?
Wir betreuen mittelständische Unternehmen und Unternehmensgruppen aus unterschiedlichen Branchen und stellen bei Bedarf den betrieblichen Datenschutzbeauftragten auch im Konzernverbund.
Meldepflicht nach DSGVO beachten
Wichtig zu wissen: Im Falle einer Kompromittierung haben Sie einen meldepflichtigen Vorfall nach Art. 33 DSGVO, ggf. auch nach Art. 34. Konsultieren Sie in einem solchen Fall neben Ihrem IT-Dienstleister oder Ihrer IT-Abteilung umgehend auch betrieblichen Datenschutzbeauftragten. Es gilt die 72-Stunden-Regel der DSGVO.