E-Mail ist das Rückgrat der Unternehmenskommunikation — und für viele Unternehmen läuft sie noch immer auf einem lokalen Exchange-Server. Lange Zeit war das die sichere, beherrschbare Wahl. Doch wer heute noch auf Exchange Server 2016 oder frühere Versionen setzt, betreibt Infrastruktur, für die es keine Sicherheitsupdates mehr gibt.
Laut Einschätzungen von Sicherheitsforschern aus dem Jahr 2025 liefen noch rund 30.000 Exchange-Server in Deutschland auf Versionen, deren Support bereits ausgelaufen ist — ein offenes Einfallstor für Angreifer.
Ende des Supports: Was das konkret bedeutet
Microsoft stellt für ältere Exchange-Versionen keine Sicherheitspatches mehr bereit. Das bedeutet:
- Bekannte Schwachstellen werden nicht mehr geschlossen. Neu entdeckte Sicherheitslücken in veralteten Versionen werden öffentlich bekannt — und bleiben dauerhaft offen.
- Angreifer kennen die Schwachstellen. Exploit-Code für bekannte Exchange-Schwachstellen ist in einschlägigen Foren frei verfügbar.
- Compliance ist gefährdet. Unternehmen, die unter DSGVO, NIS2 oder branchenspezifische Regularien fallen, können mit veralteter, ungepatchter Software keine ausreichende Sicherheit nachweisen.
Das BSI stuft ungepatchte Exchange-Server in seinen Lageberichten regelmäßig als kritisches Risiko ein und empfiehlt dringend die Migration auf unterstützte Versionen oder cloudbasierte Alternativen.
Welche Versionen betroffen sind
- Exchange Server 2013: Support endete im April 2023. Jeder Server dieser Version ist seit über zwei Jahren ohne Sicherheitsupdates.
- Exchange Server 2016: Mainstream-Support lief aus, erweiterter Support endete Oktober 2025.
- Exchange Server 2019: Extended Support läuft bis Oktober 2025 — wer noch auf 2019 setzt, hat heute keinen Support mehr.
Einzig Exchange Server Subscription Edition (SE), die Nachfolgeversion von Exchange 2019, wird noch aktiv unterstützt — aber nur für Unternehmen, die bereit sind, die laufenden Lizenzkosten zu tragen.
Warum viele Unternehmen noch nicht migriert haben
Die Gründe für den Aufschub sind bekannt: Migration ist aufwendig, teuer und riskant — zumindest gefühlt. Im Unternehmensalltag konkurriert ein Migrationsprojekt mit laufenden Projekten und dem Tagesgeschäft.
Hinzu kommt eine gewisse Komfortzone: Der Exchange-Server läuft seit Jahren stabil, warum sollte man ihn anfassen? Diese Logik ist verständlich, aber gefährlich. Ein stabiler, ungepatchter Server ist wie ein stabiles Schloss mit einem bekannt kaputten Schloss — es läuft, bis es geknackt wird.
Besonders problematisch sind Exchange-Server, die direkt aus dem Internet erreichbar sind — für den Webmail-Zugang (OWA) oder ActiveSync. Diese sind aktiv exponiert und werden von automatisierten Scannern kontinuierlich auf bekannte Schwachstellen geprüft.
Migrationswege im Überblick
Es gibt keine Universallösung — die richtige Wahl hängt von Unternehmensgröße, Anforderungen und Budget ab.
Option 1: Exchange Online (Cloud)
Der naheliegendste Weg für viele Unternehmen ist die Migration zu Exchange Online als Teil eines Microsoft 365-Abonnements. Vorteile:
- Kein eigener Server mehr nötig
- Automatische Updates und Patches
- Integration mit weiteren M365-Diensten
- Skalierbar nach Bedarf
Nachteile: Laufende Kosten, Daten liegen beim Anbieter, Abhängigkeit von der Cloud-Verfügbarkeit, DSGVO-Aspekte müssen sorgfältig geprüft werden.
Option 2: Exchange Server SE (On-Premises)
Für Unternehmen mit klaren Anforderungen an Datensouveränität und ausreichend IT-Personal bleibt ein lokaler Exchange-Server eine Option — dann aber auf der aktuellen, unterstützten Version (Exchange Server SE). Migration von 2016/2019 auf SE ist technisch möglich, erfordert aber sorgfältige Planung.
Option 3: Open-Source-Alternativen
Für Unternehmen, die Unabhängigkeit von Microsoft anstreben, gibt es leistungsfähige Alternativen wie Zimbra (Community Edition) oder Mailcow (Docker-basiert, Open Source). Diese bieten vollständige E-Mail-, Kalender- und Kontaktverwaltung und lassen sich selbst hosten.
Der Umstieg erfordert Kompatibilitätsprüfungen (besonders für Outlook-Nutzer) und möglicherweise Anpassungen bestehender Workflows.
Option 4: Hybrid-Betrieb
Während der Migration kann ein Hybrid-Betrieb sinnvoll sein: Exchange On-Premises und Exchange Online laufen parallel, Postfächer werden schrittweise migriert. Das reduziert den Migrationsdruck, erhöht aber vorübergehend die Komplexität.
Konkrete Schritte für die Migration
1. Bestandsaufnahme Welche Exchange-Version läuft wo? Wie viele Postfächer, welche Größen, welche Abhängigkeiten (z. B. SMTP-Relay für Drucker, Applikationen, ERP-Systeme)?
2. Anforderungsanalyse Cloud oder On-Premises? Welche Compliance-Anforderungen gelten? Welche Integration mit anderen Systemen ist notwendig?
3. Migrationspfad planen Cutover-Migration (alles auf einmal), Staged Migration (schrittweise) oder Hybrid-Migration? Jeder Ansatz hat Vor- und Nachteile in Bezug auf Aufwand und Betriebsunterbrechung.
4. Testumgebung aufsetzen Vor der produktiven Migration sollte ein Testsystem die Zielkonfiguration validieren — inklusive Client-Anbindung, Spam-Filter, Routing und Sonderkonfigurationen.
5. Migration durchführen und kommunizieren Mitarbeiter müssen informiert werden. Outlook-Profile müssen neu konfiguriert werden. Mobile Geräte brauchen neue Einstellungen. Ein Rollout-Plan mit klar definierten Zeitfenstern verhindert Chaos.
6. Alt-Server absichern oder abschalten Nach der Migration sollten veraltete Exchange-Server sofort vom Netz genommen oder zumindest strikt isoliert werden. Ein ungepatchter Server, der noch irgendwo läuft, bleibt ein Risiko.
Was bei Nichttun droht
Unternehmen, die ihre Exchange-Infrastruktur nicht modernisieren, riskieren mehr als nur einen Angriff. Im Kontext von NIS2 und DSGVO können nachweisbare Versäumnisse bei der Absicherung bekannter Schwachstellen zu Bußgeldern und Haftung führen. Das Thema Ransomware und seine Auswirkungen auf den Mittelstand behandeln wir ausführlich in unserem Artikel Ransomware 2026.
Fazit
Exchange-Migration ist kein optionales Projekt — es ist eine Sicherheitspflicht. Die Migration mag aufwendig erscheinen, aber sie ist planbar, kalkulierbar und mit dem richtigen Partner durchführbar. Der Status quo ist es nicht.
Binary System Services unterstützt Unternehmen bei der vollständigen Migrationsplanung, Durchführung und dem Betrieb moderner E-Mail-Infrastruktur — ob Cloud, Hybrid oder On-Premises.