De Duitse overheid maakt zich zorgen over tienduizenden bedrijven die een oude, niet meer ondersteunde versie van Microsoft Exchange Server draaien en roept deze organisaties op om te upgraden. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, draait 92 procent van de 33.000 on-premises Exchange-servers in Duitsland waar het zich op heeft Exchange 2019, 2016 of nog oudere versie. Slechts 8 procent van de Exchange-servers draait op de Subscription Edition, die Microsoft nog wel ondersteunt.

Naast bedrijven gaat het volgens het BSI ook om een groot aantal ziekenhuizen, zorgpraktijken, scholen, universiteiten, sociale diensten, advocaten- en belastingkantoren, nutsbedrijven en gemeentes. De Duitse overheidsinstantie roept deze organisaties om meteen naar Exchange Server SE te upgraden of naar een alternatieve oplossing te migreren. Het BSI waarschuwt dat als er straks een kritiek lek in Exchange Server wordt gevonden, wat de afgelopen jaren herhaaldelijk het geval is geweest, zal Microsoft geen patch uitbrengen.

Kwetsbare Exchange-servers moeten in dat geval meteen van het netwerk worden gehaald om een succesvolle inbraak te voorkomen. Iets wat de communicatiemogelijkheden van de betreffende organisaties ernstig beperkt, zo waarschuwt het BSI. Een gehackte Exchange-server kan in het geval van platte netwerkstructuren en onvoldoende netwerksegmentatie vaak snel tot een volledig gehackt netwerk leiden, gaat de overheidsinstantie verder. Dit kan uiteindelijk leiden tot diefstal van gevoelige en vertrouwelijke gegevens en de uitrol van ransomware.

Naast het direct upgraden naar Exchange Server SE of een alternatieve oplossing adviseert het BSI om webgebaseerde diensten van Exchange Server, zoals Outlook Web Access, niet direct vanaf het internet toegankelijk te maken, maar de toegang te beperken tot vertrouwde ip-adressen of door middel van een vpn te beveiligen.