Mit dem Patch Tuesday im Oktober 2025 hat Microsoft neue Security Updates (SUs) für Exchange Server veröffentlicht – insbesondere für Exchange 2016 (CU23), Exchange 2019 (CU14/CU15) und Exchange Subscription Edition (SE).
Da gleichzeitig der Support für Exchange 2016 und 2019 am 14. Oktober 2025 endet, steht der Betrieb von On-Prem-Exchange-Instanzen unter massivem Zeit- und Sicherheitsdruck.
In einem Umfeld, in dem Angreifer gezielt Mailserver und OWA-Schnittstellen attackieren, bedeutet das: keine Updates = deutlich erhöhte Angriffsfläche.
Die Oktober-2025 SUs richten sich an Schwachstellen, die in Exchange entdeckt wurden – sowohl interne Reports als auch externe Meldungen.
Sie lassen sich kumulativ auf den unterstützten CUs installieren (d. h. wenn das CU-Level stimmt, müssen nicht alle Einzel-Hotfixes manuell nachgezogen werden).
Microsoft empfiehlt zudem, im Rahmen von Hybrid- oder On-Prem-Bereitstellungen stets die aktuelle CU + SU zu betreiben – etwa Exchange 2019 CU15 bzw. Exchange SE.
Besonders kritisch: In einer Umgebung ohne Support werden Attacken auf öffentlich erreichbare Komponenten wie OWA/ECP oder auf Proxy-/Reverse-WAF-Schichten unwesentlich schwerer – denn bekannte Lücken werden nicht mehr behoben.
Microsoft hat eine sechmonatige ESU-Option für Exchange 2016 und 2019 angekündigt – also eine bezahlte Übergangslösung von 14.10.2025 bis 14.04.2026, in der nur Sicherheitsupdates veröffentlicht werden, aber kein technischer Support mehr verfügbar ist.
Diese Option bietet Luft für Unternehmen, die ihre Migration noch nicht abgeschlossen haben – aber: ESU ist keine dauerhafte Lösung, keine neuen Features und keine Garantie gegen Exploits, die bislang unbekannt sind.
Prüfen Sie Ihr Exchange-Umfeld: Welche Version (2016/2019/SE) läuft? Welcher CU-Stand? Sind OWA/ECP öffentlich erreichbar?
Installieren Sie sofort die Oktober-2025 SUs, sofern Sie innerhalb der unterstützten Versionen unterwegs sind.
Planen Sie den Umstieg: Zeitnah migrieren zu Exchange SE oder Exchange Online – On-Prem 2016/2019 wird mittelfristig unsicher.
Härten Sie Ihre Peripherie: Beschränken Sie externen Zugriff, setzen Sie Reverse-Proxy/WAF ein, auditieren Sie Logs und Zugriffspfade.
Kommunizieren Sie intern: Stellen Sie sicher, dass Management & Stakeholder die Risiken kennen – fehlender Support = erhöhte Haftung & Betriebsgefahr.
Der Oktober 2025-Patchzyklus ist für On-Prem Exchange-Systeme kein normales Update – er ist ein Letzter Weckruf. Wer noch Exchange 2016 oder 2019 betreibt, muss spätestens jetzt handeln: sichern, patchen, migrieren. Wer wartet, öffnet sein System für bekannte Angriffsvektoren und erhöht das Risiko für Ausfälle oder Datenschutzverletzungen.