Microsoft schließt mit den Februar 2026 Security Updates kritische Lücken in Exchange Server – für viele Unternehmen ist es die letzte Warnung vor dem Support-Ende. Wer jetzt nicht handelt, riskiert die Sicherheit seiner E-Mail-Infrastruktur.
Die Updates beheben mehrere Schwachstellen, darunter eine bemerkenswerte Spoofing-Lücke (CVE-2026-21527). Sie könnte Angreifern erlauben, die Vertraulichkeit und Integrität von E-Mail-Kommunikation zu untergraben, indem sie die Anzeige von Informationen manipulieren. Microsoft ist zwar keine aktiven Angriffe bekannt, empfiehlt Administratoren aber dringend die sofortige Installation.
Gerade jetzt, wo Exchange-Server kritische Lücken wie CVE-2026-21527 schließen müssen, ist ein praxisnaher Sicherheits-Check für Ihr Unternehmen entscheidend. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Bedrohungen und zeigt konkrete, sofort umsetzbare Schutzmaßnahmen für IT‑Verantwortliche. Jetzt kostenlosen Cyber-Security-Report herunterladen
Zugang nur mit teurer Lizenz
Die Patches gelten für die aktuelle Exchange Server Subscription Edition (SE) sowie für die Versionen 2016 und 2019. Der Haken: Für die alten Versionen 2016 und 2019 ist der Zugriff strikt auf Unternehmen beschränkt, die ein kostenpflichtiges Extended Security Update (ESU)-Programm erworben haben. Für Kunden von Exchange Online sind die Updates automatisch aktiv; sie müssen nur ihre lokalen Verwaltungsserver aktualisieren.
Die kumulative Natur der Updates bedeutet, dass der Februar-Patch alle vorherigen Fehlerbehebungen enthält. Doch der Countdown läuft unerbittlich.
April 2026: Die letzte Frist
Für Unternehmen mit Exchange Server 2016 oder 2019 ist dieser Patch ein drängender Weckruf. Der Mainstream-Support für diese Versionen endete bereits im Oktober 2025. Das ESU-Programm, das noch Sicherheitsupdates liefert, läuft im April 2026 aus. Danach erhalten die alten Server keine Patches mehr und sind zukünftigen Bedrohungen schutzlos ausgeliefert.
Microsofts Weg für lokale Kunden ist eindeutig: die Migration zur Exchange Server Subscription Edition (SE). Dieses Nachfolgemodell, Mitte 2025 eingeführt, erfordert ein aktives Software-Abonnement. Das Unternehmen kündigte an, Verbindungen von nicht unterstützten Servern zu Exchange Online möglicherweise zu drosseln oder zu blockieren – ein erhebliches operatives Risiko für säumige Firmen.
Roadmap 2026: Modernisierung mit Druck
Microsoft hat eine klare Roadmap für Exchange Server SE in 2026 vorgelegt, die neue Features und striktere Anforderungen bringt. Zwei große kumulative Updates (CUs) sind geplant.
Das erste Update (CU1) soll in der ersten Jahreshälfte erscheinen und Stabilitätsverbesserungen sowie Modernisierungen wie Kerberos für die Server-zu-Server-Authentifizierung bringen. Das zweite Update (CU2) in der zweiten Jahreshälfte setzt den endgültigen Schlusspunkt: Die Installation wird abbrechen, wenn sie noch Informationen alter Exchange-Server im Active Directory findet. Unternehmen müssen ihre alten 2016er und 2019er Server also vollständig abgeschaltet haben, bevor sie updaten können.
Strategischer Zwang zur Modernisierung
Die Updates sind Teil von Microsofts breiterer Strategie, die Sicherheit zu erhöhen und Enterprise-Produkte zu modernisieren. Durch das Abonnement-Modell mit aggressiverem Update-Rhythmus will der Konzern die Zahl anfälliger, ungepatchter Server reduzieren – ein früheres Lieblingsziel von Angreifern.
Die Prioritäten für Administratoren sind klar: Sofort die Februar-Updates testen und einspielen. Mittel- bis langfristig muss jede Organisation mit alten Exchange-Servern ihre Migrationsstrategie zu SE vor der April-Frist finalisieren. Die Zukunft von Exchange On-Premises verlangt ein Commitment zur Aktualität. Die Updates von 2026 erzwingen einen neuen, sichereren Standard.
