Microsoft Exchange: Kritische Sicherheitslücke erfordert sofortiges Handeln
13.02.2026 - 07:41:12
Microsoft hat dringende Sicherheitsupdates für lokale Exchange-Server veröffentlicht. Sie schließen eine kritische Lücke, die Angreifern Administratorrechte verschaffen könnte. Für viele Unternehmen wird dies zum Weckruf für eine überfällige Modernisierung.
Hochriskante Schwachstelle in Exchange-Server
Im Zentrum der Updates vom 10. Februar steht die Privilegienausweitung CVE-2025-64666. Diese hochriskante Schwachstelle ermöglicht es einem bereits authentifizierten Angreifer im Netzwerk, sich Administratorrechte zu erschleichen. Die Ursache liegt in einer fehlerhaften Eingabeüberprüfung innerhalb des Exchange-Servers.
Ein erfolgreicher Angriff hätte fatale Folgen: Unbefugter Zugriff auf sensible Unternehmensdaten, die vollständige Kompromittierung der Exchange-Umgebung und die Möglichkeit, sich seitlich im Firmennetzwerk auszubreiten. Zwar sind laut Microsoft noch keine aktiven Angriffe mit dieser Lücke bekannt. Dennoch gilt die Empfehlung: Updates sofort installieren.
Veraltete Systeme im Fadenkreuz
Die Patches sind für aktuell unterstützte Versionen verfügbar, darunter die Exchange Server Subscription Edition (SE). Doch das Update wirft ein Schlaglicht auf ein verbreitetes Problem: Viele Unternehmen betreiben noch veraltete Systeme.
Für ältere, nicht mehr standardmäßig unterstützte Versionen wie Exchange Server 2016 und 2019 sind die Sicherheitsupdates ausschließlich über das kostenpflichtige Extended Security Update (ESU)-Programm erhältlich. Für Administratoren ist dies eine klare Botschaft: Ein sicheres, lokales System erfordert entweder eine aktuelle Version oder zusätzliche Investitionen in erweiterten Schutz. Andernfalls bleibt nur die Migration zur Subscription Edition.
Doppel-Herausforderung für IT-Abteilungen
Die aktuellen Patches bekämpfen akute Bedrohungen. Gleichzeitig müssen IT-Verantwortliche eine tiefgreifende Plattform-Transformation managen. Ein zentraler Baustein fällt bald weg: Exchange Web Services (EWS).
Microsoft hat den Zeitplan für die Abschaltung des rund 20 Jahre alten Protokolls bestätigt. Ab dem 1. Oktober 2026 wird EWS für neue Mandanten standardmäßig deaktiviert, die vollständige Abschaltung folgt am 1. April 2027. Das betrifft zahlreiche hausinterne Tools und Drittanbieter-Apps, die auf diese API angewiesen sind. Sie müssen auf die moderne Microsoft Graph API migriert werden.
Zur Unterstützung plant Microsoft für Anfang 2026 eine „AppID Allow List“. Dieses Feature gibt Administratoren während der Übergangsphase granulare Kontrolle darüber, welche Anwendungen EWS noch nutzen dürfen.
Cloud-Vorteile und strategische Weichenstellungen
Die wiederkehrende Entdeckung kritischer Lücken in lokalen Servern unterstreicht die Sicherheitsvorteile cloudbasierter Plattformen. Kunden von Exchange Online sind vor den aktuellen Schwachstellen geschützt, ohne selbst handeln zu müssen. Dies treibt die branchenweite Migration in die Cloud weiter voran.
Reaktive Patches sind wichtig – aber wie sichern Sie Ihre Infrastruktur dauerhaft? Unser kostenloses E-Book zeigt praxisnahe Schutzmaßnahmen für Unternehmen: Sofort-Checklisten für lokale Exchange-Server, Empfehlungen zur sicheren Hybrid-Konfiguration und Schulungsansätze für Mitarbeiter, damit Phishing und Missbrauch seltener greifen. Jetzt kostenlosen Cyber-Security-Report herunterladen
Doch für Unternehmen, die aus Komplexität oder Kosten Gründen an lokalen oder hybriden Umgebungen festhalten, gilt: Sorgfältiges Patch-Management und strategische Modernisierung sind überlebenswichtig. Die nächsten sechs Monate werden zur entscheidenden Planungsphase für die EWS-Migration.
Die Verwaltung von Exchange im Jahr 2026 erfordert einen umfassenden Ansatz. Er verbindet die reaktive Behebung akuter Sicherheitslücken mit einer proaktiven Strategie für die cloudzentrierte Zukunft der Plattform. Der erste Schritt ist klar: Die Februar-Updates müssen jetzt auf allen betroffenen Servern installiert werden.
@ boerse-global.de
Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.
