Exchange-Server-Sicherheit: Warum so viele Systeme noch angreifbar sind

Eine E-Mail, die nicht ankommt, wirkt erst einmal wie ein kleines Ärgernis. Doch in vielen Organisationen hängt daran viel mehr. Rechnungen laufen per Mail ein, Lieferketten werden abgestimmt, Termine landen im Kalender, und Passwörter werden über Links zurückgesetzt. Fällt der Mailserver aus oder wird er kompromittiert, entsteht schnell ein Dominoeffekt. Mitarbeitende arbeiten plötzlich im Blindflug, Kunden warten auf Antworten, und im schlimmsten Fall werden interne Zugänge mit übernommen.

Viele Unternehmen und öffentliche Stellen betreiben Microsoft Exchange noch selbst im eigenen Rechenzentrum. Das ist nicht automatisch unsicher, aber es verschiebt Verantwortung. Updates, Härtung und Überwachung sind dann nicht nur ein Technikthema, sondern eine Managementfrage mit Budget, Personal und Prioritäten. Das BSI hat in den vergangenen Jahren wiederholt vor verwundbaren Exchange-Servern gewarnt und konkrete Größenordnungen genannt. In der Berichterstattung tauchte zudem die Zahl 81 Prozent auf. Entscheidend ist, was hinter solchen Zahlen steckt und was sie im Alltag wirklich bedeuten.

Angreifbar bedeutet im Sicherheitskontext nicht, dass ein Angriff garantiert gelingt. Es heißt, dass es einen bekannten Weg gibt, wie ein System unter bestimmten Bedingungen ausgenutzt werden kann. Bei Exchange-Servern geht es dabei häufig um Schwachstellen in Webdiensten wie Outlook Web App oder administrativen Komponenten. Wenn so ein Dienst aus dem Internet erreichbar ist, kann ein Fehler in der Software oder eine riskante Konfiguration zur Eintrittskarte werden.

Das BSI hat 2024 veröffentlicht, dass in Deutschland rund 45.000 Exchange-Instanzen aus dem Internet erreichbar waren und mindestens 17.000 davon durch eine oder mehrere kritische Schwachstellen verwundbar seien. Das ist ein harter Befund, weil es um bestätigte Verwundbarkeit geht. Zusätzlich nannte das BSI eine große Gruppe, bei der von außen nicht sicher feststellbar war, ob bestimmte Schutzmaßnahmen aktiv sind. Genau an dieser Stelle entstehen in der Praxis sehr unterschiedliche Prozentzahlen. Je nachdem, ob man nur bestätigte Fälle zählt oder auch unklare Fälle als Risiko einbezieht, springt die Quote deutlich nach oben.

Externe Messungen können oft zeigen, ob ein Server erreichbar und welche Version wahrscheinlich im Einsatz ist. Ob jede Schutzoption wirklich aktiv ist, lässt sich von außen nicht immer zuverlässig beurteilen.

In Berichten wurde daraus teilweise eine Angabe von rund 81 Prozent abgeleitet. Diese Zahl ist in dieser Form vor allem als Medienzusammenfassung dokumentiert. Die zugrunde liegende Logik ist jedoch nachvollziehbar. Wer zu den bestätigten Lücken auch die schwer einzuordnenden Systeme addiert, kommt schnell in einen Bereich oberhalb von 80 Prozent. Ein zweiter Treiber ist der Lebenszyklus. Nach dem Supportende älterer Versionen warnte das BSI 2025 zudem, dass zehntausende Systeme weiter betrieben würden, obwohl sie keine regulären Sicherheitsupdates mehr erhalten. Auch das erhöht den Anteil potenziell angreifbarer Installationen.

Die wichtigsten BSI-Zahlen lassen sich so einordnen.

Von außen wirkt es oft unverständlich. Eine Warnung ist öffentlich, Updates sind verfügbar, und trotzdem bleiben Systeme verwundbar. In der Realität ist der Weg zwischen Wissen und Umsetzung erstaunlich lang. Ein Exchange-Server ist selten nur eine einzelne Maschine. Er hängt an Verzeichnissen, Zertifikaten, Gateways, Backup-Systemen, Spamfiltern und manchmal auch an Eigenentwicklungen. Jede Änderung kann Nebenwirkungen haben. Wer schon einmal erlebt hat, dass nach einem Update plötzlich die Kalender-Synchronisation ausfällt, versteht, warum Admin-Teams zögern.

Hinzu kommt ein alltäglicher Zielkonflikt. Der Betrieb soll stabil sein, und E-Mail ist ein kritischer Dienst. Deshalb werden Wartungsfenster klein geplant, oft nachts oder am Wochenende. In Zeiten knapper IT-Teams konkurrieren Sicherheitsupdates mit anderen Aufgaben. Neue Laptops müssen ausgerollt werden, Tickets stapeln sich, und nebenbei läuft ein Digitalprojekt. Ein Patch, der mehrere Stunden Vorbereitung, Tests und ein Rollback-Konzept braucht, wird leicht verschoben.

Ein weiterer Faktor ist die Versionsfrage. Viele Organisationen betreiben ältere Installationen, weil Migrationen teuer sind und Risiken bergen. Der Schritt auf eine neue Version oder in eine andere Betriebsform bedeutet oft mehr als ein Update. Er betrifft Lizenzen, Datenschutz, Schulungen und manchmal auch politische Entscheidungen in Gremien. Wenn dann ein Supportende näher rückt, entsteht Zeitdruck. Das BSI warnte 2025 ausdrücklich vor einem großen Bestand an Exchange-Systemen, die nach dem Supportende weiter online stehen. Das ist kein Einzelfall, sondern ein Muster, das man bei vielen Infrastrukturen sieht.

Und dann ist da noch die Kommunikationslücke. Eine BSI Warnung erreicht nicht automatisch die Person, die am Freitagabend wirklich den Patch einspielt. Häufig liegt die Verantwortung zwischen IT-Betrieb, externen Dienstleistern und Management verteilt. Sicherheit scheitert in solchen Fällen nicht an fehlendem Wissen, sondern an unklaren Zuständigkeiten und zu wenig Zeit im Kalender.

Bei einem Angriff auf einen Mailserver denken viele zuerst an gestohlene Nachrichten. Das ist bereits problematisch, weil E-Mails oft Verträge, personenbezogene Daten oder interne Strategien enthalten. In der Praxis ist der Schaden aber häufig breiter. Ein kompromittierter Mailserver kann zur Schaltzentrale werden, um sich im Netzwerk weiterzubewegen. Der Grund ist banal. Mailserver sind eng mit Identitäten verbunden. Sie sprechen mit Verzeichnisdiensten, prüfen Anmeldungen und verteilen Berechtigungen. Wer an dieser Stelle Fuß fasst, findet oft weitere Türen.

Ökonomisch wird das schnell spürbar. Wenn Angreifer interne Postfächer lesen oder im Namen von Mitarbeitenden schreiben können, steigt das Risiko für Betrugsfälle. Eine scheinbar echte Mail an die Buchhaltung reicht manchmal, um Zahlungen umzulenken oder Rechnungen auszutauschen. In anderen Fällen geht es um Erpressung. Daten werden kopiert, Systeme verschlüsselt, und plötzlich steht die Organisation unter Druck, weil der Betrieb nicht mehr läuft. Das trifft nicht nur einzelne Firmen. Wenn Kommunen oder Krankenhäuser betroffen sind, spüren es Bürgerinnen und Bürger direkt, etwa durch verzögerte Abläufe und eingeschränkte Erreichbarkeit.

Auch gesellschaftlich ist das ein Thema. E-Mail ist eine Art digitale Grundversorgung, vor allem im beruflichen Kontext. Wenn Warnungen über verwundbare Systeme in großer Zahl auftauchen, geht es deshalb immer auch um Vertrauen in digitale Verwaltung und in die Fähigkeit von Organisationen, zentrale Dienste zuverlässig zu betreiben. In Europa kommt eine weitere Ebene hinzu. Regelwerke wie NIS2 erhöhen den Druck, IT-Risiken systematisch zu managen. Nicht als Strafe, sondern weil Ausfälle und Datenabflüsse längst zu einem realen Standortfaktor geworden sind.

Wichtig ist dabei die richtige Balance. Eine hohe Zahl potenziell verwundbarer Server heißt nicht, dass überall bereits ein Angriff läuft. Sie heißt, dass die Angriffsfläche groß bleibt. Genau deshalb sind nüchterne Prioritäten entscheidend, also zuerst dort handeln, wo Systeme aus dem Internet erreichbar sind und wo der Patchstand unklar ist.

Die gute Nachricht ist, dass sich das Risiko deutlich senken lässt. Die weniger gute Nachricht ist, dass es selten mit einem einzelnen Update erledigt ist. Nachhaltige Sicherheit entsteht aus mehreren, eher unspektakulären Entscheidungen. Der wichtigste Hebel ist Sichtbarkeit. Wer nicht genau weiß, wo überall ein Exchange-System läuft, welche Version aktiv ist und ob es aus dem Internet erreichbar ist, reagiert immer zu spät. Viele Betreiber nutzen dafür herstellereigene Prüfwerkzeuge und bauen daraus eine einfache, wiederholbare Bestandsaufnahme.

Der zweite Hebel ist die Angriffsfläche. E-Mail muss erreichbar sein, aber nicht jede Admin- oder Webfunktion muss offen im Internet hängen. In vielen Umgebungen hilft es schon, Zugänge zu begrenzen, etwa über vorgeschaltete Gateways oder geschützte Zugriffswege. Das ist kein Allheilmittel, aber es reduziert die Chancen für automatisierte Massenscans. Gleichzeitig lohnt es sich, den Betrieb zu entkoppeln. Wenn möglich, werden Dienste stärker segmentiert, damit ein Vorfall nicht sofort das ganze Netzwerk erfasst.

Drittens geht es um Tempo. Updates müssen planbar werden, sonst bleiben sie Zufall. Organisationen, die das gut machen, behandeln Serverupdates wie Routine. Es gibt feste Wartungsfenster, klare Verantwortliche und einen Prozess für Tests und Rückfallpläne. Das senkt nicht nur das Risiko, sondern auch die Angst vor Updates. Und es hilft beim Umgang mit Supportenden. Wer früh migriert, vermeidet die Situation, plötzlich unter Zeitdruck zwischen Abschaltung und Notlösungen wählen zu müssen.

Für die Exchange-Server Sicherheit spielt außerdem Kommunikation eine größere Rolle, als viele denken. Warnungen von Behörden und Herstellern wirken am besten, wenn sie intern sofort in eine Prioritätenliste übersetzt werden. Was ist extern erreichbar. Was ist geschäftskritisch. Was ist nicht mehr unterstützt. Mit dieser Sicht wird aus einer abstrakten Zahl eine konkrete Entscheidung.

Die Schlagzeile mit 81 Prozent bleibt hängen, weil sie ein Gefühl beschreibt, das viele Admin-Teams kennen. Es gibt zu viele Systeme, zu wenig Zeit und zu viele Abhängigkeiten. Zugleich zeigen die BSI-Daten, dass das Problem greifbar ist. Tausende Exchange-Server waren nachweislich verwundbar, und viele weitere sind so schwer einzuschätzen, dass sie als Risiko betrachtet werden müssen. Der Kern ist weniger die einzelne Prozentzahl, sondern das Muster aus Internet-Exponierung, veraltetem Patchstand und Supportenden.

Wer das Thema als reines Technikproblem sieht, übersieht den entscheidenden Hebel. Sicherheit entsteht durch Organisation. Klare Zuständigkeiten, verlässliche Update-Routinen, reduzierte Angriffsflächen und früh geplante Migrationen senken das Risiko deutlich. Das ist nicht spektakulär, aber wirksam. Und es ist eine Investition, die sich in stabileren Abläufen auszahlt, nicht erst nach einem Vorfall.