Der Softwarekonzern veröffentlicht ein kritisches Update für Exchange Server SE – und setzt Unternehmen unter Zeitdruck.
Am 8. Mai 2026 hat Microsoft ein Hotfix-Update für den Exchange Server Subscription Edition (SE) veröffentlicht. Es ermöglicht die Umstellung der sogenannten „Rich Hybrid“-Koexistenz von den veralteten Exchange Web Services (EWS) auf die moderne Microsoft Graph API. Für Unternehmen mit Hybrid-Umgebungen ist dieser Schritt keine Option mehr – er wird zur Pflicht.
Hintergrund: Microsoft forciert die Abschaltung alter Protokolle, die nicht mehr den aktuellen Sicherheitsstandards entsprechen. Der Support für Exchange 2016 und 2019 ist bereits ausgelaufen. Kunden müssen ihre Migration zur Subscription Edition bis April 2027 abschließen. Dann schaltet Microsoft die EWS-Funktionalität in Exchange Online endgültig ab. Wer bis dahin nicht umgestellt hat, riskiert den Bruch zwischen lokalen Servern und der Cloud.
Während Microsoft die Server-Infrastruktur modernisiert, bleibt Outlook das zentrale Werkzeug für die tägliche Kommunikation im Unternehmen. Über 40.000 Nutzer optimieren ihren Arbeitsfluss bereits mit diesem kostenlosen Spezialkurs für effizienteres Mail-Management. 7 Zeitspar-Tricks für Outlook jetzt kostenlos entdecken
Der Wechsel zur Graph API
Das Mai-Update zielt auf die architektonische Gleichstellung von lokalen Installationen und Microsoft 365 ab. Die Graph API bietet eine robustere und skalierbarere Schnittstelle für die standortübergreifende Zusammenarbeit. Es geht nicht um eine technische Spielerei – sondern um die Grundlage für sichere hybride Umgebungen.
Die Umstellung wird auch durch Sicherheitsanforderungen getrieben. Bereits 2024 lag der durchschnittliche Schaden durch einen einzigen Identitätsdiebstahl bei über 4,5 Millionen Euro. Kein Wunder also, dass Unternehmen auf phishing-resistente Architekturen setzen müssen.
Für Administratoren alter Systeme birgt die Migration jedoch Tücken. Aktuelle Berichte aus Support-Foren zeigen: Der Umstieg von Exchange 2016 auf die Subscription Edition wird durch „BigFunnel“-Fehler und „ManagementObjectNotFoundException“-Probleme bei PowerShell-Operationen erschwert. Microsoft empfiehlt den Einsatz spezieller Migrationstools sowie sogenannter „Break-Glass“-Notfallkonten, um sich während der komplexen Umgebungs-Upgrades nicht auszusperren.
Modernisierung der Authentifizierung
Die Abschaltung von EWS ist Teil einer größeren Strategie. Microsoft eliminiert alte Einfallstore für Cyberangriffe. Konzerninterne Daten vom Mai 2026 zeigen: KI-gesteuerte Phishing-Angriffe erreichen eine Klickrate von 54 Prozent. Das hat Konsequenzen: Seit Anfang 2026 werden neue Konten standardmäßig passwortlos eingerichtet. Nach eigenen Angaben sind 99,6 Prozent aller Nutzer und Geräte in der Microsoft-Welt mittlerweile durch phishing-resistente Verfahren geschützt.
Ein weiterer Schritt: Microsoft schafft bis Januar 2027 die Sicherheitsfragen in Microsoft Entra ID komplett ab. Stattdessen kommen Passkeys und biometrische Verfahren zum Einsatz. In Partnerschaft mit den Identitätsfirmen 1Kosmos und CLEAR integriert der Konzern Gesichtserkennung und Ausweisprüfung für die Kontowiederherstellung.
Die Zahlen sprechen für sich: Passkeys erreichen eine Authentifizierungsrate von 93 Prozent – herkömmliche Passwörter nur 63 Prozent. Die Anmeldezeit sank von durchschnittlich 31 auf 8,5 Sekunden. Indem Microsoft EWS abschaltet und die Migration zur Graph API erzwingt, bewegt es seine Unternehmenskunden in diese sicherere Welt.
Die Altlasten der Vergangenheit
Doch der Weg ist steinig. Microsoft-CTO Mark Russinovich bestätigte im Mai 2026: Win32-Code aus den 1990er-Jahren bleibt das „Fundament“ des aktuellen Betriebssystems. Frühere Versuche, diese APIs zu ersetzen, scheiterten an der tiefen Integration. Ein kompletter Austausch kam einer Neuentwicklung gleich.
Diese Altlasten verursachen Latenzen und Leistungsengpässe. Microsoft testet daher „Project K2″ – ein Low Latency Profile, das die CPU-Taktfrequenz beim Start von Anwendungen kurzzeitig erhöht. Erste Tests mit einem Intel Core i5-13420H zeigten: Outlook und der Datei-Explorer starten bis zu 40 Prozent schneller, die Benutzeroberfläche reagiert 70 Prozent flotter.
Die Abschaltung von EWS und der Zwang zur Subscription Edition sind der Versuch, eine moderne Verwaltungsebene auf dieses alte Fundament zu setzen. Mit der Graph API als Standard kann Microsoft Sicherheitskontrollen und Leistungsoptimierungen umsetzen, die unter dem veralteten EWS-Protokoll unmöglich waren.
Was Administratoren jetzt tun müssen
Die Uhr tickt: Bis April 2027 müssen Unternehmen ihre Systeme umgestellt haben. IT-Experten raten, das Mai-Update als obligatorischen Schritt in der langfristigen Infrastrukturplanung zu betrachten. Passkeys und API-gesteuerte Zugriffe bieten Schutz, den traditionelle Passwörter und Legacy-Protokolle nicht liefern können – sie sind resistent gegen Erraten, Diebstahl und Phishing.
Da Microsoft herkömmliche Sicherheitsfragen und Passwörter zunehmend abschafft, wird die Umstellung auf biometrische Anmeldeverfahren für Nutzer zur Pflicht. Dieser kostenlose Report erklärt, wie Sie Passkeys bei Microsoft und anderen Diensten einrichten, um Ihre Konten phishing-resistent zu schützen. Passkeys einrichten und passwortlos sicher anmelden
Die Umsetzung erfordert einen strategischen Ansatz. Sicherheitsleitfäden vom Mai 2026 empfehlen den Fokus auf drei Bereiche: die Kompatibilität bestehender IAM-Lösungen, die physische Speicherung von Anmeldedaten (etwa über TPM oder Hardware-Token) sowie die Abhängigkeiten der Infrastruktur. Für privilegierte Nutzer wird der Einsatz von mindestens zwei Hardware-Token empfohlen, um die Kontowiederherstellung ohne veraltete Methoden zu gewährleisten.
Der Weg führt über zwei Gleise: die Aktualisierung der Serversoftware auf die Subscription Edition und die gleichzeitige Umstellung der Benutzerauthentifizierung auf Passkeys. Ja, der Wegfall langjähriger Dienste wie EWS und Sicherheitsfragen bedeutet kurzfristig mehr Aufwand. Doch Microsoft ist überzeugt: Diese Schritte sind unverzichtbar, um der wachsenden Bedrohung durch KI-gestützte Cyberangriffe zu begegnen. Unternehmen, die die Frist versäumen, riskieren massive Störungen – denn die alten Verbindungen zwischen lokalen Servern und der Cloud werden endgültig gekappt.
