Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer aktuellen Sicherheitsmitteilung (BITS-B Nr. 2025-287772-1032, 28.10.2025) vor den Risiken durch das Supportende für Microsoft Exchange Server 2016 und 2019. Seit dem 14. Oktober 2025 stellt Microsoft für diese Versionen nämlich keine Sicherheitsupdates mehr bereit, ein Umstand, der zehntausende Systeme in Deutschland betrifft.
Trotz dessen laufen laut BSI noch rund 92 % der ~33.000 dem BSI bekannten Exchange-Server in Deutschland mit den veralteten Versionen. Unter den Betroffenen finden sich dabei nicht nur Unternehmen und öffentliche Einrichtungen, sondern auch zahlreiche Krankenhäuser und Arztpraxen.
Hohes Risiko für betroffene Gesundheitseinrichtungen
Gesundheitseinrichtungen sollten sich diese Warnung besonders zu Herzen nehmen, denn bereits unsere Sicherheitsanalyse von Webservern hat gezeigt, dass viele Krankenhäuser ihre Software nicht auf dem neusten Stand halten. Doch gerade sie sind auf ununterbrochen funktionierende Kommunikationssysteme angewiesen, sowohl für die interne und externe Koordination als auch für den Austausch von Patientendaten.
Sollte nun jedoch eine neue kritische Schwachstelle bekannt werden, müssten die betroffenen Server trotz dessen umgehend vom Netz genommen werden. Denn über den Ausfall hinaus hinaus droht bei einer erfolgreichen Attacke laut BSI nämlich auch schnell eine vollständige Kompromittierung des gesamten Netzwerks. Denkbar wäre dann nicht nur der Abfluss von sensiblen Patientendaten, sondern auch die Verschlüsselung weiterer Systeme, was zu großflächigen Ausfällen weit über den Exchange Server hinaus führen würde.
Das BSI mahnt zudem an, dass der Betrieb eines vulnerablen Exchange Servers alleine bereits ein Verstoß gegen die DSGVO darstellt, was empfindliche Strafen nach sich ziehen könnte.
Handlungsempfehlungen des BSI
Das BSI empfiehlt allen Betreibern betroffener Systeme dringend:
- Sofortige Migration auf die aktuelle Exchange-Version „SE“ oder auf eine alternative E-Mail-Lösung.
- Nutzung des Extended Security Update Programms (ESU) von Microsoft als kurzfristige Übergangslösung bis maximal April 2026.
- Absicherung von webbasierten Diensten (wie Outlook Web Access) durch ein VPN oder Beschränkung auf vertrauenswürdige IP-Adressen.
- Orientierung an den Grundschutz-Empfehlungen zur sicheren Konfiguration von E-Mail-Systemen.
Fazit
Für Einrichtungen des Gesundheitswesens gilt besondere Dringlichkeit: Der Weiterbetrieb veralteter Exchange-Systeme gefährdet nicht nur die Informationssicherheit, sondern kann im Ernstfall Menschenleben indirekt gefährden, wenn kritische Systeme ausfallen.
IT-Verantwortliche in Kliniken und Praxen sollten daher unverzüglich prüfen, welche Systeme betroffen sind, und die Migration aktiv vorantreiben.