Mit der Veröffentlichung der aktuellen Exchange Server Sicherheitsupdates macht Microsoft erneut deutlich, wie kritisch der sichere Betrieb von On-Premises-E-Mail-Systemen ist. Auch wenn aktuell keine aktiv ausgenutzten Angriffe gemeldet wurden, ist die Botschaft klar: Ungepatchte oder nicht mehr unterstützte Exchange-Server stellen ein erhebliches Risiko dar.
Für Unternehmen bedeutet das konkret:
Entweder Exchange Server Subscription Edition (SE) einsetzen – oder zwingend am ESU-Programm teilnehmen.
Alles andere ist aus Sicherheits- und Compliance-Sicht nicht mehr vertretbar.
Was bedeutet die aktuelle Sicherheitsupdate-Ankündigung?
Microsoft stellt Sicherheitsupdates inzwischen primär für Exchange Server Subscription Edition (SE) bereit.
Für Exchange Server 2016 und 2019 gilt:
- Sicherheitsupdates gibt es nur noch im Rahmen des kostenpflichtigen Extended Security Update (ESU) Programms
- Ohne ESU-Teilnahme erhalten diese Versionen keine weiteren Security Updates
- Das ESU-Programm ist zeitlich befristet und endet spätestens im April 2026
Damit ist klar: Exchange 2016/2019 befinden sich faktisch im End-of-Life-Betrieb – selbst wenn sie technisch noch laufen.
Warum Unternehmen längst auf Exchange SE umgestellt haben sollten
Als IT-Consultant sehe ich in Projekten immer wieder dieselbe Situation:
Exchange funktioniert „noch“, also wird das Thema Migration aufgeschoben. Genau das ist gefährlich.
1. Sicherheitsrisiko
Exchange war in den letzten Jahren regelmäßig Ziel großflächiger Angriffe. Ein ungepatchter Server ist kein isoliertes Risiko, sondern oft ein Einstiegspunkt ins gesamte Unternehmensnetzwerk.
2. Compliance & Audit-Fähigkeit
Viele Standards (ISO 27001, TISAX, NIS2, interne Audits) verlangen:
- Hersteller-Support
- zeitnahe Sicherheitsupdates
- dokumentierte Patch-Prozesse
Ein Exchange ohne Support oder ESU ist hier nicht mehr verteidigungsfähig.
3. Exchange SE ist der neue Standard
Microsoft hat die Richtung klar vorgegeben:
- Exchange Server SE ist die einzige On-Premises-Version mit langfristigem Update-Pfad
- Regelmäßige Sicherheitsupdates
- Planbare Wartung
- Keine Sonderprogramme oder Ausnahmen mehr nötig
Kurz gesagt: SE ist kein „Upgrade“, sondern der neue Normalzustand.
Was ist das ESU-Programm – und wann ist es sinnvoll?
Das Extended Security Update (ESU) Programm ist eine Übergangslösung für Unternehmen, die aus organisatorischen oder technischen Gründen noch nicht auf Exchange SE migriert sind.
Was ESU bietet:
- Sicherheitsupdates für Exchange 2016 / 2019
- Nur Critical und Important Vulnerabilities
- Keine Feature-Updates
- Kein regulärer Produktsupport
Was ESU nicht ist:
- Keine dauerhafte Lösung
- Kein Ersatz für eine Migration
- Keine Garantie auf monatliche Updates
ESU kauft Zeit – nicht Sicherheit auf Dauer.
Wie kann man das ESU-Programm erwerben?
Der Erwerb des ESU-Programms läuft nicht automatisiert, sondern über Microsoft bzw. Partner.
Voraussetzungen
- Exchange 2016: CU23
- Exchange 2019: CU14 oder CU15
- Sauberer, unterstützter Update-Stand
Ablauf in der Praxis
- Microsoft Account Team oder Partner kontaktieren
Falls kein eigenes Account Team vorhanden ist, übernimmt dies meist ein Microsoft-Partner. - ESU-Lizenz pro Exchange-Server erwerben
- Zugriff auf private Security Updates erhalten
- Patch-Prozess weiterhin aktiv betreiben
Wichtig:
Nach Ende der öffentlichen Updates werden ESU-Security-Updates nicht mehr frei verfügbar, sondern nur noch ESU-Kunden bereitgestellt.