Oktober 2026 blockiert Microsoft standardmäßig alle EWS-Zugriffe auf Exchange Online. Für Unternehmen in Deutschland und Europa wird die Zeit knapp.**
Seit 2007 war die SOAP-basierte Schnittstelle das Rückgrat der Mailbox-Anbindung – doch nun endet eine Ära. Microsoft treibt die Abschaltung von Exchange Web Services (EWS) für Exchange Online in die finale Phase. IT-Abteilungen weltweit müssen ihre Drittanbieter-Apps und eigenen Skripte umstellen. Wer bis August 2026 keine Maßnahmen ergreift, riskiert ab Oktober den Totalausfall der Mail-Anbindung.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Report jetzt herunterladen
Der lange Abschied beginnt 2018
Bereits im Juli 2018 kündigte Microsoft an, EWS keine Funktions-Updates mehr zu geben. Der konkrete Zeitplan folgte Ende 2023: Oktober 2026 als Start der globalen Abschaltung. Im Frühjahr 2026 verfeinerte Microsoft den Plan mit einem gestaffelten Deaktivierungsprozess.
Der 1. Oktober 2026 ist der Stichtag: Dann blockiert Microsoft EWS-Anfragen an Exchange Online standardmäßig für die meisten Mandanten. Wer noch Zugriff braucht, muss die Eigenschaft „EWSEnabled“ aktiv setzen und bis Ende August eine AppID-Zulassungsliste konfigurieren. Versäumnis bedeutet automatische Blockade.
Der endgültige Schlussstrich folgt am 1. April 2027. Dann schaltet Microsoft EWS für Exchange Online komplett ab – ohne Ausnahmen, Verlängerungen oder Reaktivierung. Nur für lokale Exchange-Server bleibt EWS vorerst erhalten, um hybride Konfigurationen zu unterstützen.
Sicherheitsvorfall beschleunigt den Wandel
Der Wechsel zu modernen APIs war lange strategisches Ziel. Doch der „Midnight Blizzard“-Sicherheitsvorfall im Januar 2024 gab dem Ganzen Dringlichkeit. Sicherheitsforscher identifizierten die veraltete EWS-Architektur als Einfallstor für den Angriff.
Das grundlegende Problem: EWS arbeitet nach dem „Alles-oder-nichts“-Prinzip. Erhält eine App Zugriff, kann sie auf das gesamte Postfach zugreifen – Mails, Kalender, Kontakte. Der Nachfolger Microsoft Graph setzt dagegen auf granulare Berechtigungen via OAuth 2.0. Administratoren können den Zugriff auf einzelne Funktionen beschränken, etwa „Lesen, aber nicht ändern“. Das reduziert die Schadenswirkung bei Kompromittierungen drastisch.
Auch die „Application Impersonation“-Rolle fällt weg. Microsoft hat sie bereits Anfang 2025 auslaufen lassen und drängt Entwickler zum Graph-basierten „App-Access-Policy“-Modell. Das macht Service-Integrationen transparenter und besser prüfbar in der Entra-ID-Umgebung.
Technische Lücken schließen sich langsam
Die Umstellung von SOAP-basiertem EWS auf REST-basiertes Microsoft Graph war technisch anspruchsvoll. Besonders knifflig: der Zugriff auf Archiv-Postfächer und die Verwaltung öffentlicher Ordner.
Microsoft hat 2025 und 2026 Hilfstools veröffentlicht: einen EWS Code Analyzer und detaillierte Nutzungsberichte im Microsoft 365 Admin Center. IT-Teams können damit genau identifizieren, welche Skripte, PowerShell-Befehle oder Drittanbieter-Tools noch EWS nutzen. Empfohlen werden „Scream Tests“ – temporäre, kontrollierte Blockaden des EWS-Verkehrs – um versteckte Abhängigkeiten aufzuspüren.
Für Software-Anbieter wie Mimecast oder Commvault bedeutete der Wechsel einen kompletten Neubau ihrer Konnektoren. Nischenfunktionen wie Massenimport und -export von Postfächern oder spezielle rechtliche Halteverfahren benötigten Übergangslösungen, bis die finalen Graph-APIs in den letzten Monaten verfügbar wurden.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. Cyber Security E-Book kostenlos sichern
Hybride Umgebungen besonders betroffen
Unternehmen mit hybriden Konfigurationen – lokale Exchange-Server kombiniert mit Exchange Online – stehen vor besonderen Herausforderungen. Funktionen wie „Frei/Gebucht“-Kalenderabfragen und MailTips nutzten bisher einen gemeinsamen Service-Principal auf EWS-Basis. Seit Ende 2025 müssen diese Organisationen auf eine dedizierte Hybrid-App in Entra ID umsteigen.
Auch die Drosselungsmechanismen unterscheiden sich grundlegend. EWS erlaubte Administratoren gelegentlich Anpassungen der Exchange-spezifischen Richtlinie. Microsoft Graph verwendet dagegen ein einheitliches, mandantenweites Drosselungssystem. Bei Überlastung gibt es „429 Too Many Requests“-Fehler mit klaren „retry-after“-Headern zurück – ein disziplinierterer Ansatz für den Datenabruf.
Integrationspartner berichten: Die REST-basierte Graph-API bietet zwar schnellere JSON-Serialisierung und geringeren Netzwerk-Overhead, die anfängliche Migration ist jedoch ressourcenintensiv. Für Großunternehmen mit tausenden individuellen Integrationen geht es nicht nur um Code-Änderungen, sondern um eine Neubewertung der gesamten Governance- und Berechtigungsstrukturen.
Die letzten Monate bis April 2027
Der August 2026 ist der letzte Termin für die Konfiguration der Zulassungslisten. Wer bis dahin handelt, kann EWS-Stabilität bis Jahresende gewährleisten. Die Zeit von Oktober 2026 bis April 2027 dient als Gnadenfrist: Administratoren können den Dienst für kritische Workflows vorübergehend reaktivieren.
Experten warnen jedoch: Diese Frist ist kein dauerhaftes Sicherheitsnetz. Mit der endgültigen Abschaltung im Frühjahr 2027 hört der EWS-Endpunkt für Exchange Online auf zu existieren. Alle verbliebenen Legacy-Verbindungen werden gekappt.
Der erfolgreiche Umstieg auf Microsoft Graph verspricht ein widerstandsfähigeres und sichereres Ökosystem. Doch die kommenden Monate werden zeigen, ob IT-Abteilungen die jahrzehntelange Abhängigkeit von veralteten Webdiensten rechtzeitig überwinden können. Die Botschaft der großen Infrastrukturanbieter ist klar: Unternehmen müssen ihre Bestände erfassen und die Migration sofort umsetzen – oder ab Oktober ohne Mailbox-Anbindung dastehen.
