Für die Mail-Server-Produkte Microsoft Exchange Server 2016 und 2019 ist der Support des Herstellers planmäßig Mitte Oktober ausgelaufen. Seitdem werden keine Sicherheitsupdates mehr für diese Versionen bereitgestellt. Nach Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden dennoch weiterhin mehr als 30.000 MS-Exchange-Server in Deutschland mit diesen oder noch älteren Versionen sowie einem offen über das Internet erreichbaren Outlook Web Access betrieben. Das BSI weist daher darauf hin, dass diese Installationen für neu entdeckte Schwachstellen voraussichtlich dauerhaft verwundbar bleiben und nicht kurzfristig abgesichert werden können.
Dies betrifft nach Kenntnis des BSI Unternehmen, Krankenhäuser, Schulen, Stadtwerke, Kommunen und viele weitere Organisationen. Die Behörde hat eine entsprechende Bedrohungsinformation (BITS) veröffentlicht und an seine Zielgruppen versandt.
Thomas Caspers, Vizepräsident des BSI: „Wer trotz Hinweisen des Herstellers und ausreichender Vorlaufzeit Software einsetzt, die keine Sicherheitsupdates mehr erhält, handelt schlicht fahrlässig. Wenn für diese Software Schwachstellen entdeckt werden – und damit ist leider jederzeit zu rechnen – sind die Daten der Unternehmen und Organisationen Cyber-Angriffen schutzlos ausgeliefert. Hier ist schnelles und konsequentes Handeln der Verantwortlichen erforderlich!“
Das BSI rät, dringend auf aktuelle Software-Varianten umzustellen oder auf Alternativen zu migrieren.
