Smile Studio AP – shutterstock.com
Der Help für Microsofts Change-Server 2016 und 2019 endete planmäßig am 14. Oktober 2025. Seitdem werden keine Sicherheitsupdates mehr für diese Versionen bereitgestellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat allerdings festgestellt, dass hierzulande die Mehrheit der rund 33.000 öffentlich zugänglichen Change-Server weiterhin mit Outlook Net Entry 2019 oder einer früheren Model laufen.
„Sollte demnächst eine kritische Schwachstelle in Microsoft Change bekannt werden – wie es in den vergangenen Jahren mehrfach der Fall warfare – kann diese nicht mit einem Sicherheitsupdate geschlossen werden“, warnt die Behörde. Betroffenen Change-Server müssten in so einem Fall umgehend vom Netz genommen werden, um eine Kompromittierung zu vermeiden.
Ransomware-Angriffe möglich
Angriffe auf Change-Server führen laut BSI aufgrund flacher Netzwerkstrukturen und unzureichender Segmentierung und Härtung häufig schnell zu einer vollständigen Kompromittierung des kompletten Netzwerks. Dadurch bestehe die Gefahr für Ransomware-Attacken mit Datendiebstahl und anschließender Lösegeldforderung sowie wochenlange Produktionsausfälle.
„Da auf Change-Servern personenbezogene Daten verarbeitet werden, stellt der weitere Betrieb veralteter Versionen zudem einen Verstoß gegen die DSGVO dar“, mahnt die Sicherheitsbehörde.
Nach Angaben des BSI betrifft das Sicherheitsproblem neben tausenden Unternehmen auch zahlreiche Organisation aus dem öffentlichen Sektor wie Krankenhäuser, Arztpraxen, Schulen und Hochschulen, Stadtwerke und Kommunalverwaltungen.
Improve erforderlich
Microsoft stelle zwar mit dem Prolonged Safety Replace Programm (ESU) noch bis zum 14. April 2026 weitere potenzielle Sicherheitsupdates für kritische Schwachstellen zur Verfügung, so die Behörde. Dies erfordere jedoch zusätzliche finanzielle Mittel und verschiebe erforderliche Maßnahmen zum Improve beziehungsweise zur Migration der Systeme.
Das BSI ruft deshalb Betreiber der betroffener Change-Server dazu auf, umgehend ein Improve auf Model SE oder eine Migration auf eine different Lösung durchzuführen. Darüber hinaus wird empfohlen, webbasierte Dienste des Change-Servers wie Outlook Net Entry grundsätzlich nicht offen aus dem Web erreichbar zu machen, sondern den Zugriff auf vertrauenswürdige Quell-IP-Adressen zu beschränken oder über ein VPN abzusichern.
