BSI: Nach wie vor 17'000 Exchange Server ungepatcht
Quelle: Depositphotos

BSI: Nach wie vor 17'000 Exchange Server ungepatcht

Das BSI hat sich wieder einmal dem Update-Stand der Exchange Server in Deutschland angenommen. Die Zahl der verwundbaren Systeme ist nach wie vor beängstigend. Ob es hierzulande besser aussieht, ist fraglich.
27. März 2024

     

Täglich grüsst das Murmeltier: Noch immer ist eine erschreckend grosse Zahl an Exchange-Servern angreifbar, wie das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI in einer Mitteilung bekanntgibt. Das BSI spricht von 17'000 Exchange Servern, die nach wie vor die bekannten kritischen Schwachstellen aufweisen. Weiter rechnet das Bundesamt mit einer vergleichbar grossen Dunkelziffer. Einmal mehr werden die Betreiber dazu aufgerufen, ihre Systeme zu patchen – und einmal mehr werden wohl wenige der verbleibenden darauf hören.


Laut dem entsprechenden Bericht des BSI laufen auf 12 Prozent der 45'000 Exchange Server mit offen aus dem Internet erreichbarem Outlook Web Access (OWA) noch Exchange 2010 oder 2013. Für diese werden seit Oktober 2020 respektive April 2023 keine Security Updates mehr ausgeliefert. Diese Systeme weisen daher gleich mehrere kritische Sicherheitslücken auf, der Betrieb wird als hochriskant eingestuft.
Zu Denken gibt auch die Einschätzung der Dunkelziffer: Bei 48 Prozent der Server müsste, um sie sicher zu betreiben, die Extended Protection aktiviert sein. Wie viele diese eingerichtet haben, ist jedoch kaum zu sagen. Das BSI geht daher davon aus, dass potenziell über die Hälfte aller Exchange Server in Deutschland nach wie vor verwundbar sind.

Die Zahlen aus Deutschland lassen natürlich keine direkte Ableitung für die Situation in der Schweiz zu. Es ist aber davon auszugehen, dass die Lage auch hierzulande nicht optimal ist. So sagte Florian Schütz, Leiter des Bundesamtes für Cybersicherheit im Sommer 2023 gegenüber "Swiss IT Magazine" zu den Exchange-Lücken: "Selbst wenn man den Unternehmen eingeschriebene Briefe schickt mit der Aufforderung, die Systeme zu patchen, gibt es eine grosse Menge, die spät oder gar nie reagiert. Eine gewisse Naivität registrieren wir da schon, und die Unterschiede sind riesig." Es gilt also nach wie vor auch hierzulande, das Bewusstsein für die massiven Security-Lecks in alten Exchange-Systemen zu fördern. (win)


Weitere Artikel zum Thema

Microsoft patcht Zero-Day-Bug in Exchange Server

15. Februar 2024 - Mit dem diese Woche veröffentlichten kumulativen Update 14 für Exchange Server behebt Microsoft eine Zero-Day-Schwachstelle, die bereits für Angriffe missbraucht wurde.

Weiterhin Probleme mit Exchange-IPs auf Spam-Listen

18. Januar 2024 - Seit Anfang Jahr werden zahllose IP-Adressen von Microsofts Exchange-Service bei Anti-Spam-Diensten wie Spamcop geführt. Microsoft hat den Sachverhalt bestätigt, ist aber auch zwei Wochen nach dem ersten Auftreten nicht in der Lage, das Problem zu lösen.

Exchange 2019 wird pensioniert

10. Januar 2024 - Der Mainstream Support für Exchange Server 2019 ist zu Ende. Nach zwei weiteren Cumulative Updates, die 2024 folgen, geht der Mailserver offiziell in den Extended Support über. Was mit den Kunden passiert, die eine On-Prem-Version behalten wollen, ist noch unklar.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER