BSISchwachstellen im Exchange Server
Cyber-Sicherheit erhöhen: Das BSI rät, auf aktuelle Versionen von Microsoft Exchange umzusteigen.
(Bildquelle: pixabay.com)
In Deutschland sind mindestens 17.000 Instanzen von Microsoft Exchange Servern durch eine oder mehrere kritische Schwachstellen gefährdet. Experten gehen davon aus, dass die tatsächliche Zahl der gefährdeten Server noch höher liegt. Zu diesem alarmierenden Ergebnis kommt eine aktuelle Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Das BSI fordert die Betreiber dieser Systeme auf, umgehend Maßnahmen zu ergreifen: „Es ist notwendig, auf aktuelle Versionen von Exchange umzusteigen, alle verfügbaren Sicherheitsupdates einzuspielen und die Server sicher zu konfigurieren“, heißt es in einer diese Woche veröffentlichten Warnung. Diese Schritte seien entscheidend, um die Sicherheit der IT-Infrastruktur zu gewährleisten.
Dringender Handlungsbedarf
Cyber-Kriminelle und staatliche Akteure nutzen die Schwachstellen bereits aus, um Schad-Software zu verbreiten, Spionage zu betreiben oder Ransomware-Angriffe durchzuführen. Besonders kritische Bereiche wie Bildungseinrichtungen, medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie viele mittelständische Unternehmen seien von Angriffen betroffen.
Claudia Plattner, Präsidentin des BSI, macht den Ernst der Lage deutlich: „Es darf nicht sein, dass es in Deutschland zehntausende angreifbare Installationen einer derart relevanten Software gibt. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die hochsensibel sein können. Cyber-Sicherheit muss endlich ganz oben auf der Agenda stehen. Es besteht dringender Handlungsbedarf.“
Weitere verwundbare Server
Weitere Untersuchungen ergaben, dass in Deutschland etwa 45.000 Microsoft Exchange Server direkt aus dem Internet erreichbar sind, von denen etwa 37 Prozent aufgrund veralteter Versionen oder Patch-Stände angreifbar sind. Weitere 48 Prozent der Server könnten gefährdet sein, wenn bestimmte Schutzmaßnahmen nicht aktiviert sind. Das BSI weist darauf hin, dass es auch eine neu entdeckte Schwachstelle in Microsoft Exchange gibt, für die erst kürzlich Updates bereitgestellt wurden. Werden diese Updates nicht eingespielt, kann sich das Sicherheitsrisiko weiter erhöhen. Um die Netzwerksicherheit zu erhöhen, informiert das CERT-Bund des BSI bereits seit einiger Zeit die Netzbetreiber in Deutschland über bekannte verwundbare Server in ihren Netzen.
Mobile Sicherheit: BSI gibt iPhone und iPad für NATO-RESTRICTED frei
[02.04.2026] iPhone und iPad dürfen künftig auch für NATO RESTRICTED eingesetzt werden. Grundlage der BSI-Freigabe ist das Plattformkonzept indigo. Materna Virtual Solution sieht darin Impulse für den Ausbau mobiler Arbeitsplätze in Behörden. mehr...
BSI: Frühwarnsystem für Cyber-Sicherheitsvorfälle
[26.03.2026] Angesichts der angespannten Cyber-Sicherheitslage stärkt das BSI die Reaktionsfähigkeit gegen IT-Sicherheitsvorfälle. Mit den öffentlichen IT-Dienstleistern von Ländern und Kommunen soll der Einsatz von Datensensorik ausgebaut werden – als Grundlage für Echtzeitanalysen und erster Schritt Richtung Cyberdome. mehr...
BSI: NIS2-FAQ für den Public Sector
[16.03.2026] Mit dem NIS2-Umsetzungsgesetz gelten für die Bundesverwaltung und teilweise auch für Landes- und Kommunalverwaltungen verbindliche Mindestanforderungen zur Informationssicherheit. Das BSI hat nun – neben weiteren Informationsangeboten – eine ausführliche FAQ für die öffentliche Verwaltung publiziert. mehr...
Brandenburg: Enge Zusammenarbeit mit dem BSI
[12.03.2026] Um die Widerstandsfähigkeit seiner digitalen Infrastruktur zu stärken, wird das Land Brandenburg künftig eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) kooperieren. mehr...
BMFTR: Impulse für die Cyber-Sicherheitsforschung
[02.03.2026] Anfang 2027 will der Bund ein Forschungsrahmenprogramm zur Cyber-Sicherheit veröffentlichen. Nun hat das Bundesforschungsministerium ein erstes Eckpunktepapier dazu vorgelegt. Wichtige Elemente: resiliente staatliche IT-Systeme und ein Umfeld, das den Weg von der Forschung bis zur Anwendung abkürzen kann. mehr...
BSI: Wer souverän sein will, muss Technologie beherrschen
[17.02.2026] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstrich die sicherheitspolitische Tragweite digitaler Souveränität während der Münchner Sicherheitskonferenz. An deren Rande vereinbarten die Bundesbehörde und Schwarz Digits eine Kooperation zum Aufbau souveräner Cloud-Strukturen. mehr...
Brandenburg: Cyber-Sicherheitsstrategie verabschiedet
[11.02.2026] Brandenburg hat erstmals eine landesweite Cyber-Sicherheitsstrategie verabschiedet. Damit reagiert das Land auf die wachsende Zahl von Cyber-Angriffen und setzt auf klare Zuständigkeiten, Frühwarnsysteme und den langfristigen Ausbau von IT-Sicherheit in Verwaltung und Kommunen. mehr...
Podcast: „Wir werden schon angegriffen“
[11.02.2026] Bitkom-Präsident Ralf Wintergerst spricht im Podcast mit dem Chef des Bundesamtes für Verfassungsschutz, Sinan Selen. Dabei geht es auch darum, dass in Deutschland der Ernst der (Sicherheits-)Lage bisher nicht richtig eingeschätzt wird. mehr...
Deutschland/Israel: Üben für den Cyber-Ernstfall
[10.02.2026] Schneller reagieren, Abläufe abstimmen, Angriffe früher erkennen: Bei der Cyber-Sicherheitsübung Blue Horizon arbeiteten Fachleute aus Deutschland und Israel erstmals praktisch zusammen. Die Übung gilt als erster konkreter Schritt des im Januar geschlossenen bilateralen Cyber- und Sicherheitspakts. mehr...
Datenschutzkonferenz: Klare Regelung für das Polizeiprojekt P20-Datenhaus
[05.02.2026] Die Datenschutzkonferenz von Bund und Ländern begleitet das Modernisierungsvorhaben der polizeilichen IT schon lange – und bemängelt nun die Rechtssicherheit des geplanten Datenhauses. Eindeutige Regelungen zu Betrieb und Verantwortlichkeiten fehlten. mehr...
Mecklenburg-Vorpommern: Alles neu bei der Polizei-IT
[02.02.2026] Seit einem Angriff auf IT-Infrastrukturen im Juni 2025 muss die Landespolizei Mecklenburg-Vorpommern ohne Smartphones auskommen. Das Innenministerium nahm den Vorfall zum Anlass, die mobile IT-Infastruktur grundlegend zu erneuern. Das Vorhaben soll im Verlauf dieses Jahres abgeschlossen werden. mehr...
Baden-Württemberg: Cyber-Sicherheit bei der Landtagswahl
[02.02.2026] Im März wird in Baden-Württemberg der 18. Landtag gewählt. Die Cybersicherheitsagentur warnt vor Cyber-Risiken im Wahlkampf und verweist auf konkrete Unterstützungsangebote für Kandidierende. Daneben stellen auch Verfassungsschutz und Polizei konkrete Hilfsangebote bereit. mehr...
Niedersachsen: Schutzschirm gegen Cyber-Angriffe
[29.01.2026] Niedersachsen implementiert mit dem Projekt Aegis einen Cyber-Schutzschirm, von dem neben der Landesverwaltung perspektivisch auch die niedersächsischen Kommunen und Hochschulen profitieren sollen. Technisches Kernstück ist eine XSIAM-Lösung von Palo Alto Networks. mehr...
Hessen: KRITIS-Monitoring weiter optimiert
[26.01.2026] Schon seit 2023 stellt die Hessische Zentrale für Datenverarbeitung Monitoring-Software für die Kritische Infrastruktur bereit. Jetzt wurde das Tool erweitert: Über eine Schnittstelle können relevante Daten nun automatisiert an den Bund übermittelt werden. mehr...
BSI: Neues NIS2-Registrierungsportal
[13.01.2026] Das BSI hat ein neues Portal gestartet, das für sogenannte NIS2-Unternehmen und Bundesbehörden als zentrale Anlaufstelle für die Registrierung sowie das Melden von Sicherheitsvorfällen dient. Zudem bündelt das Portal Informationen zu NIS2 und IT-Sicherheit. mehr...