novaCapta ist Teil der
DE
/
EN
data protection and internet security concept, user typing login and password on computer, secured access

BSI: Neue Sicherheitswarnung für 17.000 Exchange Server

Schwachstellen entstehen vor allem durch veraltetem Patch-Stand

Köln, den 07. Mai 2024. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung (Bedrohungsstufe orange) für Microsoft Exchange Server veröffentlicht. Tausende Exchange On-Premises Server in Deutschland weisen kritische Schwachstellen auf und sind demnach verwundbar.         
 

Bereits 2021 hat das BSI mehrfach vor der aktiven Ausnutzung kritischer Schwachstellen in Exchange gewarnt. Doch drei Jahre später sind weiterhin 17.000 Exchange Server (37%) verwundbar, weil sie eine oder mehrere kritische Sicherheitslücken aufweisen. Damit bieten die Exchange Server Cyberkriminellen zu hohen Wahrscheinlichkeiten ein offenes Eingangstor, um Unternehmen zu schädigen. Laut BSI nutzen Cyberkriminelle diese Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus.

Von den 17.000 betroffenen Servern sind laut BSI 12% der Server so veraltet, dass für sie keine Sicherheitsupdates mehr angeboten werden (Exchange 2010/2013). 25% aller Server werden zwar mit den aktuellen Versionen Exchange 2016 und 2019 betrieben, verfügen aber über einen veralteten Patch-Stand. Dadurch sind diese Server für CVE-2023-36439 und ggfs. weitere ältere kritische Schwachstellen verwundbar.

Ein zusätzliches Problem: Für weitere 48% kann keine eindeutige Aussage hinsichtlich der Verwundbarkeit für die kritische Schwachstelle CVE-2024-21410 getroffen werden, die im Februar von Microsoft bekanntgegeben wurde. Insgesamt können damit nur 12% der Exchange Server als wahrscheinlich sicher eingestuft werden.        
 

Welche Möglichkeiten haben Sie?

Anzahl und Komplexität von Cyberangriffen nehmen stetig zu. Sicherheitslücken wie die beschriebenen Schwachstellen in Exchange Servern können daher fatale Folgen haben und den sicheren und reibungslosen Betrieb von Unternehmen stark gefährden.

Wir unterstützen Sie gerne dabei, Ihre Cybersecurity zu stärken – egal ob sie von dieser Warnung konkret betroffen sind oder proaktiv handeln möchten. Folgende Möglichkeiten bieten wir Ihnen an:

 

Einspielen von Patches

Wir spielen Ihnen die aktuellen Patches inkl. Sicherheitsupdate ein. Bei Bedarf bieten wir Ihnen zusätzlich eine regelmäßige Prüfung der Patches (Patch Management) über unseren Managed Service.

Security Screening

Wir führen ein umfassendes Security Screening Ihrer Exchange Umgebung durch, um potentielle Schwachstellen aufzudecken und diese auf Wunsch im Anschluss zu beheben.

Migration in die Cloud

Wenn Sie den Weg vom lokalen Exchange Server in die sichere Cloud gehen möchten, begleiten wir Sie gerne bei der Migration – von der Analyse über die Planung bis zur Durchführung. Dabei gehen wir immer individuell auf Ihre Anforderungen und Bedürfnisse ein.

Microsoft gibt Update zur Zukunft von Exchange Server

Microsoft hat eine Roadmap zur neuen Version Exchange Server Subscription Edition (frühere Benennung: Exchange Server vNext) veröffentlicht. So wird Exchange Server SE zu Beginn von Q3/2025 verfügbar sein. Die aktuelle Version (Exchange Server 2019) erhält dementsprechend Ende 2024 ein finales kumulatives Update (CU15). CU15 wird dabei neue Funktionen und Änderungen einführen, um die RTM-Version von Exchange Server SE zu unterstützen.

Wir behandeln auch dieses Thema bei Bedarf ausführlich und beraten Sie gerne zu Ihren Optionen. Dabei klären wir u.a. folgende Fragen:

  • Wann wird die nächste Version verfügbar sein?
  • Was ändert sich, was bleibt gleich?
  • Wie wird das Produkt lizenziert?
  • Wie sieht das inPlace Upgrade aus? Ist ggfs. ein Hardwareupgrade nötig?
  • Wie sehen die Upgrade Pfade generell aus?

 

Ihr Ansprechpartner

Martin Sende ist seit 2023 bei der novaCapta als Senior Consultant und Team Lead Identity & Communication in der Business Unit Cloud Security & Infrastructure tätig. Er arbeitet vorrangig an Microsoft Projekten in den Bereichen Kommunikation und Kollaboration (Migrationsprojekte, Architektur und Design) – und das sowohl in der Beratung als auch Infrastruktur. Seine Expertise speist sich aus einer Ausbildung zum Fachinformatiker für Systemintegration, einem Studium der Wirtschaftsinformatik und über 15 Jahren Berufserfahrung im IT-Consulting.