Das CERT-Bund hat alarmierende Neuigkeiten veröffentlicht. Über 15.000 Exchange-Server in Deutschland haben Sicherheitslücken. Diese Lücken sind aus dem Internet angreifbar.
Rückgang oder Problem?
Die Anzahl der betroffenen Server ist nur geringfügig gesunken. Im Vergleich zu den Zahlen aus dem März sind das 35 Prozent aller Server mit einem verfügbaren Outlook Web Access (OWA)-Webinterface. Die Experten des CERT-Bund bezeichneten diese Situation als „vergleichsweise gut“. In den letzten Monaten blieb eine neue kritische Schwachstelle in Exchange aus.
Veraltete Patch-Stände
In einem weiteren Beitrag auf der Plattform X stellte der CERT-Bund weitere besorgniserregende Zahlen vor. Mehr als 12.000 Exchange-Server aus den Jahren 2016 und 2019 haben einen Patch-Stand der älter als ein halbes Jahr ist. Das entspricht etwa 28 Prozent dieser Systeme. Alarmierend ist auch, dass 6500 Server also rund 15 Prozent, immer noch einen Patchlevel von vor über einem Jahr besitzen.
Positive Tendenz bei veralteten Versionen
Erfreulicherweise wurde eine Abnahme der Server festgestellt. Vor etwa einem halben Jahr waren noch 12 Prozent der OWA-bereitstellenden Server außerhalb des Support-Lebenszyklus, also mit Exchange 2010 oder 2013 im Internet erreichbar. Jetzt liegt deren Anteil unter zehn Prozent. Diese Versionen erhalten keine Sicherheitsupdates mehr. Eine Migration auf unterstützte Versionen ist dringend notwendig.
Ausblick auf die kommenden Jahre
Im März 2023 warnte das BSI noch vor über 17.000 verwundbaren Exchange-Servern. Sollte sich dieser Trend fortsetzen könnte in etwa vier Jahren jeder solcher Server gepatcht sein. Die neue Warnung des CERT-Bund könnte dazu führen, dass weiterhin IT-Administratoren ihre Exchange-Instanzen auf den neuesten Stand bringen.
Kommentare