Microsoft Exchange 2016/2019: Support-Ende erreicht – jetzt handeln

Am 14. Oktober 2025 hat Microsoft den regulären Support für Exchange Server 2016 und 2019 eingestellt. Sicherheitsupdates werden seitdem nicht mehr bereitgestellt – eine Situation, die laut Bundesamt für Sicherheit in der Informationstechnik (BSI) besondere Aufmerksamkeit verdient.

Der Status quo

In Deutschland sind nach aktuellen Zahlen noch rund 33.000 Exchange-Server im Einsatz, die über das Internet erreichbar sind. Über 90 % davon laufen mit einer Version, für die keine kostenlosen Updates mehr zur Verfügung stehen. Dazu zählen auch viele Installationen in öffentlichen Einrichtungen, Schulen, Arztpraxen, Kanzleien oder mittelständischen Unternehmen.

Ohne regelmäßige Sicherheitsupdates können neue Schwachstellen in Exchange 2016 oder 2019 nicht mehr geschlossen werden. Das betrifft insbesondere den Webzugang (Outlook Web Access), der bei vielen Installationen öffentlich zugänglich ist. Ein Angreifer könnte eine potenzielle Schwachstelle ausnutzen, um Zugang zu internen Netzwerken zu erhalten – mit entsprechenden Folgen für den Geschäftsbetrieb und den Datenschutz.

Welche Optionen gibt es?

Microsoft bietet bis April 2026 ein kostenpflichtiges Extended Security Update Programm (ESU) an. Diese Zwischenlösung erfordert zusätzliche Lizenzkosten und verschiebt die eigentliche Entscheidung um maximal sechs Monate.

Das BSI empfiehlt daher, jetzt ein Upgrade auf Exchange Server SE oder die Migration auf alternative Lösungen, z. B. cloudbasierte Dienste, zu planen. Ergänzend sollten webbasierte Exchange-Dienste nicht mehr offen aus dem Internet erreichbar sein. Ein Zugriff über VPN oder gezielte IP-Freigaben gilt als sicherer.