Microsoft zwingt Unternehmen zum Umstieg auf Graph API

Microsoft stellt den Betrieb der veralteten Exchange Web Services (EWS) in der Cloud ein. Ab April 2027 müssen alle Unternehmen auf die moderne Microsoft Graph API umgestiegen sein – aus Sicherheitsgründen.

Redmond, 6. Februar 2026 – Der Countdown läuft für Tausende IT-Abteilungen: Microsoft hat den endgültigen Fahrplan für die Abschaltung der alten Exchange Web Services (EWS) in Exchange Online veröffentlicht. Ab dem 1. April 2027 wird das Protokoll, das fast zwei Jahrzehnte lang den Zugriff auf E-Mails und Kalender regelte, endgültig abgeschaltet. Die Entscheidung zwingt Unternehmen weltweit zu einer schnellen Migration auf die sicherere Microsoft Graph API.

Hinter dem drastischen Schritt stehen massive Sicherheitsbedenken. Das veraltete EWS-Protokoll gilt als Einfallstor für Cyberangriffe – eine Schwachstelle, die bereits beim schwerwiegenden „Midnight Blizzard“-Vorfall Anfang 2024 ausgenutzt wurde. Für IT-Verantwortliche beginnt nun eine kritische 14-monatige Übergangsfrist.

Passend zum Thema IT-Sicherheit: Cyberangriffe nutzen oft veraltete Schnittstellen wie EWS – Studien zeigen, dass 73 % der Unternehmen nicht ausreichend geschützt sind. Angesichts der 14‑monatigen Übergangsfrist sind jetzt klare Schutzmaßnahmen nötig. Dieses kostenlose E‑Book fasst aktuelle Bedrohungen zusammen, zeigt konkrete Maßnahmen für Exchange Online, Backup‑Absicherung und Zugangskontrollen und liefert eine umsetzbare Checkliste für IT‑Teams. Jetzt kostenlosen Cyber-Security-Report herunterladen

Der unerbittliche Zeitplan: Keine Gnadenfrist

Microsoft kommuniziert klare Deadlines ohne Spielraum für Verlängerungen. Die Abschaltung erfolgt in drei Stufen:

• August 2026 (Vorbereitungsdeadline): Unternehmen müssen eine spezielle „AppID Allow List“ konfigurieren und den EWS-Zugriff explizit erlauben, um automatische Unterbrechungen zu vermeiden.
• 1. Oktober 2026 (Blockade beginnt): Microsoft blockiert standardmäßig alle EWS-Anfragen. Administratoren können den Zugriff zwar temporär wieder freischalten, doch das Ende des regulären Betriebs ist besiegelt.
• 1. April 2027 (Endgültige Abschaltung): EWS in Exchange Online wird komplett und unwiderruflich abgeschaltet. Alle Zugriffe versagen.

„Die Uhr tickt für jede Organisation, die auf veraltete E-Mail-Integrationen setzt“, kommentieren Analysten von Office 365 for IT Pros. Der Umstieg auf Graph sei keine Option mehr, sondern eine betriebliche Notwendigkeit.

Sicherheit als Treiber: Abschied von einem Risikofaktor

Die Einstellung von EWS ist vor allem ein Sicherheits-Update. Das alte Protokoll bietet nicht die granularen Berechtigungen und modernen Authentifizierungsmethoden von Microsoft Graph. Für Compliance-Verantwortliche wird die weitere Nutzung damit zum unkalkulierbaren Risiko – besonders im Hinblick auf Standards wie die EU-Datenschutz-Grundverordnung (DSGVO) oder ISO 27001.

Microsoft begründet den Schritt mit der Notwendigkeit, die „Angriffsfläche veralteter Technologien“ zu verkleinern und die Gesamtzuverlässigkeit von Exchange Online zu erhöhen.

Ausnahme für On-Premises, Warnung für Hybrid-Umgebungen

Ein wichtiger Detail: Die Abschaltung betrifft ausschließlich Microsoft 365 und Exchange Online. Firmen, die Exchange Server lokal betreiben, können EWS weiterhin nutzen.

Doch Vorsicht ist in Hybrid-Umgebungen geboten. Hier kommunizieren Cloud- und lokale Systeme oft über EWS. „Hybrid-Kunden müssen sicherstellen, dass ihre cloudorientierten Anwendungen Graph-tauglich sind“, warnen Experten, auch wenn die internen Server noch das alte Protokoll nutzen.

Der „Scream Test“: Versteckte Abhängigkeiten aufdecken

Um Unternehmen bei der Inventur zu helfen, kündigt Microsoft sogenannte „Scream Tests“ an. In den Monaten vor der Oktober-2026-Deadline könnte der EWS-Zugriff kurzzeitig unterbrochen werden. Das Ziel: „Versteckte Abhängigkeiten“ aufzudecken. Wenn plötzlich die Backup-Software oder das Archivierungstool ausfällt, wissen Administratoren, wo sie handeln müssen.

Viele Drittanbieter-Lösungen für Backup, Archivierung oder spezielle Geschäftsanwendungen greifen noch immer über EWS auf Mailbox-Daten zu.

Migration zu Graph: Mehr als ein einfacher Austausch

Die Nachfolge-API Microsoft Graph bietet inzwischen nahezu volle Funktionsparität. Microsoft stellt neue Tools wie die aktuell in der Vorschau befindliche „UserConfiguration API“ bereit, um die Migration von Anwendungseinstellungen zu erleichtern.

Doch Fachleute warnen: Der Umstieg ist selten ein simples „Suchen und Ersetzen“. Oft müssen Authentifizierung und Datenabruf komplett neu architektiert werden. „Die Migration bietet mehr Sicherheit, erfordert aber erheblichen Entwicklungsaufwand, der nicht auf das letzte Quartal 2026 verschoben werden darf.“

Die Botschaft aus Redmond ist eindeutig: Die Ära der EWS ist vorbei. Moderne Compliance- und Sicherheitsstandards verlangen eine moderne API. IT-Entscheider sollten jetzt alle mit Exchange Online verbundenen Anwendungen inventarisieren und von ihren Software-Lieferanten verbindliche Migrationspläne fordern.

PS: Planen Sie die Migration zu Microsoft Graph? Denken Sie an Sicherheitstests, kontinuierliches Monitoring und Mitarbeiterschulungen, damit die Umstellung nicht neue Lücken schafft. Unser Gratis-Report erläutert die wichtigsten organisatorischen und technischen Schritte — von Phishing‑Prävention über moderne Authentifizierung bis zur Absicherung von Backup‑ und Archivierungsprozessen, die noch über EWS laufen. Praktische Empfehlungen helfen Ihnen, Risiken während der Umstellung sofort zu senken. Gratis-Cyber-Security-Report jetzt herunterladen