Microsoft Exchange: Kritische Sicherheitsupdates vom 14. Juli 2026 – Was Ihr Unternehmen jetzt wissen sollte

Wenn auf Ihrem lokal betriebenen Exchange Server heute noch der gleiche Buildstand wie letzte Woche aktiv ist, lohnt sich ein kurzer Blick in die Updatehistorie. Microsoft hat am 14. Juli 2026 – im Rahmen des regulären Patch-Tuesday-Zyklus – neue Sicherheitsupdates für Exchange Server veröffentlicht. Die zugehörige Sicherheitsmeldung des CERT-Bund trägt die Kennung WID-SEC-2026-2326.

Dieser Beitrag erklärt sachlich, was bekannt ist, warum kurzfristiges Handeln sinnvoll ist und wie Sie das Update kontrolliert und sicher in Ihrer Umgebung einplanen können.

Was ist passiert?

Foto: IT-Sicherheitsanalyst prüft Sicherheitsmeldungen auf zwei Monitoren

Neue Schwachstellen in Microsoft Exchange Server

Microsoft hat im Rahmen des Patch-Tuesday vom 14. Juli 2026 Sicherheitsupdates für lokal betriebene Exchange-Server bereitgestellt. Die Meldung WID-SEC-2026-2326 des CERT-Bund beschreibt, dass mehrere Schwachstellen geschlossen werden – darunter mindestens eine mit kritischer Einstufung sowie weitere mit hoher Bewertung.

Die Schwachstellen betreffen ausschließlich lokal betriebene Exchange-Server-Umgebungen (Exchange Server On-Premises). Microsoft 365 beziehungsweise Exchange Online ist von dieser Meldung nicht pauschal betroffen – Unternehmen, die ausschließlich Exchange Online nutzen, müssen in diesem Zusammenhang keine eigene Updateaktion einleiten.

Wichtiger Hinweis zur Datenlage: CVE-Nummern, genaue Buildstände und KB-Nummern sollten vor der Updateplanung direkt gegen die aktuellen Sicherheitshinweise von Microsoft (Microsoft Security Update Guide) und die CERT-Bund-Meldung WID-SEC-2026-2326 geprüft werden. Diese Angaben können sich nach Veröffentlichung noch präzisieren.

Welche Exchange-Versionen sind betroffen?

Betroffen sind lokal betriebene Exchange-Server-Umgebungen. Grundsätzlich sollten Administratoren den Updatestatus für alle derzeit noch im Support befindlichen Exchange-Server-Versionen prüfen. Dazu gehören insbesondere Exchange Server 2016 und Exchange Server 2019. Exchange Server 2013 befindet sich seit April 2023 außerhalb des Microsoft-Supports – für diese Version werden keine neuen Sicherheitsupdates mehr bereitgestellt.

Bitte entnehmen Sie die genauen betroffenen Versionen, Buildstände und KB-Nummern direkt der Microsoft-Sicherheitsseite sowie der Meldung WID-SEC-2026-2326 des CERT-Bund. Nur so stellen Sie sicher, dass Sie mit aktuellen und verifizierten Informationen arbeiten.

Hybrid-Umgebungen – also Setups, bei denen lokal betriebene Exchange-Server mit Microsoft 365 verbunden sind – sind ebenfalls zu berücksichtigen, da hier ein lokaler Exchange-Server weiterhin eine aktive Rolle übernimmt.

Wie dringend ist das Update?

Eine kritisch eingestufte Schwachstelle bedeutet nicht automatisch, dass Ihr Exchange Server bereits kompromittiert ist – aber sie ist ein klares Signal, das Update kurzfristig zu planen und nicht auf den nächsten regulären Wartungszyklus zu warten.

— opticom IT-Systemhaus GmbH

Die Einstufung einer Schwachstelle als kritisch signalisiert, dass unter bestimmten Voraussetzungen ein erhöhtes Risiko besteht. Das bedeutet nicht, dass alle Exchange-Server bereits angegriffen werden oder kompromittiert sind – wohl aber, dass Handlungsbedarf besteht.

Erfahrungsgemäß beginnen Angreifer nach Bekanntwerden von Schwachstellen damit, öffentlich erreichbare Systeme systematisch zu testen. Je früher ein gepatchter Buildstand vorliegt, desto geringer ist das Zeitfenster, in dem ein System angreifbar bleibt. Wir empfehlen, das Update im nächsten kurzfristig verfügbaren Wartungsfenster kontrolliert und vorbereitet einzuspielen.

Warum öffentlich erreichbares OWA das Risiko erhöht

Foto: Firewall-Appliance in einem Serverrack, Nahaufnahme der Netzwerkports

OWA aus dem Internet erreichbar? Erhöhter Handlungsbedarf.

Outlook Web Access – kurz OWA – ermöglicht es Mitarbeitenden, von überall per Browser auf ihr Postfach zuzugreifen. Das ist praktisch, schafft aber gleichzeitig einen öffentlich sichtbaren Einstiegspunkt in Ihre Exchange-Infrastruktur.

Wenn Ihr OWA direkt aus dem Internet erreichbar ist, ist Ihr Exchange Server für potenzielle Angreifer grundsätzlich adressierbar. In diesem Fall sollte die Updateplanung besonders kurzfristig erfolgen – idealerweise innerhalb weniger Tage nach Verfügbarkeit des Sicherheitsupdates.

Gleiches gilt für Unternehmen, die ActiveSync für mobile Endgeräte oder Exchange Web Services (EWS) für angebundene Anwendungen nach außen hin zugänglich machen.

Schützt eine Firewall oder WAF?

Eine vorgeschaltete Web Application Firewall – zum Beispiel eine Sophos XGS mit aktivierter WAF-Funktion – kann die Angriffsfläche für extern erreichbare Exchange-Dienste wie OWA, ActiveSync oder EWS reduzieren. Sie filtert bekannte Angriffsmuster und kann verdächtigen Datenverkehr frühzeitig erkennen und blockieren.

Eine WAF ersetzt jedoch nicht das Microsoft-Sicherheitsupdate. Sie ist ein wichtiger Bestandteil eines mehrschichtigen Sicherheitskonzepts, schließt aber keine Schwachstellen im Exchange-Dienst selbst. Es ist daher nicht ausreichend, allein auf eine WAF oder Firewall zu vertrauen und das Update zurückzustellen.

Wenn Sie eine vorhandene WAF-Konfiguration nutzen: Prüfen Sie, ob die aktuellen Filterregeln auf den neuen Schwachstellentyp abgestimmt sind – und lassen Sie diese Konfiguration nach der Updateinstallation erneut bewerten.

Gibt es einen Workaround?

Für die mit WID-SEC-2026-2326 beschriebenen Schwachstellen gibt es keinen vollständigen Workaround, der alle Lücken zuverlässig schließt. Einzelne Maßnahmen – wie die temporäre Einschränkung des externen Zugriffs auf OWA oder die Nutzung einer WAF – können das Risiko kurzfristig reduzieren, ersetzen aber nicht die Installation des offiziellen Microsoft-Sicherheitsupdates.

Der einzig nachhaltige Weg ist die kontrollierte Installation des bereitgestellten Sicherheitsupdates in einem geeigneten Wartungsfenster.

Was sollten Unternehmen jetzt konkret tun?

Buildstand prüfen

Ermitteln Sie die aktuell installierte Exchange-Version und den genauen Buildstand. Vergleichen Sie diesen mit der offiziellen Microsoft-Updateseite und der CERT-Bund-Meldung WID-SEC-2026-2326.

OWA und Firewall bewerten

Prüfen Sie, ob OWA, ActiveSync oder EWS aus dem Internet erreichbar sind. Kontrollieren Sie Ihre Firewall- und WAF-Regeln und bewerten Sie, ob zusätzliche temporäre Einschränkungen sinnvoll sind.

Backup verifizieren

Stellen Sie vor dem Update sicher, dass aktuelle und wiederherstellbare Backups aller Exchange-Daten vorliegen. Testen Sie die Wiederherstellbarkeit, bevor Sie mit der Installation beginnen.

Wartungsfenster planen

Planen Sie ein kurzfristiges Wartungsfenster. Berücksichtigen Sie dabei Abhängigkeiten zu Drittsoftware, angebundenen Systemen und Hybridverbindungen zu Microsoft 365.

Update installieren

Installieren Sie das passende Sicherheitsupdate kontrolliert. Beachten Sie die Microsoft-Installationshinweise – insbesondere zur Reihenfolge bei mehreren Exchange-Servern in der Organisation.

Funktionskontrolle durchführen

Testen Sie nach der Installation Mailfluss, OWA, ActiveSync, EWS, Outlook-Anbindung und Hybridverbindungen. Führen Sie den Exchange Server Health Checker aus und kontrollieren Sie die Ereignisprotokolle.

Kurzcheck für IT-Verantwortliche

Exchange-Version und Buildstand prüfen – aktuellen Stand gegen Microsoft-Sicherheitsseite und WID-SEC-2026-2326 abgleichen
OWA-Erreichbarkeit prüfen – ist Outlook Web Access aus dem Internet zugänglich? Gleiches gilt für ActiveSync und EWS.
Firewall- und WAF-Regeln kontrollieren – sind aktuelle Filterregeln aktiv? Sind externe Zugänge sinnvoll eingeschränkt?
Backup und Wiederherstellbarkeit prüfen – aktuelles Backup vorhanden und getestet?
Drittsoftware und Abhängigkeiten prüfen – welche Anwendungen kommunizieren mit Exchange? Gibt es Kompatibilitätshinweise des Herstellers?
Hybridverbindungen berücksichtigen – besteht eine Exchange-Hybrid-Konfiguration mit Microsoft 365?
Wartungsfenster einplanen – kurzfristig verfügbaren Termin festlegen und Beteiligte informieren
Sicherheitsupdate installieren – kontrolliert, gemäß Microsoft-Dokumentation und in korrekter Reihenfolge
Exchange Server Health Checker ausführen – kostenloses Microsoft-Tool zur Nachkontrolle der Exchange-Konfiguration
Mailfluss, OWA, ActiveSync, EWS, Outlook und Hybridverbindungen testen – vollständige Funktionskontrolle nach der Installation
Monitoring und Ereignisprotokolle nachkontrollieren – unerwartete Fehler oder Warnungen nach dem Update erkennen

Einschätzung von opticom

opticom betreut seit 1992 mittelständische Unternehmen in der Region mit lokal betriebenen Exchange-Servern, hybriden Microsoft-365-Umgebungen und abgesicherten Netzwerkinfrastrukturen. Exchange-Sicherheitsupdates begleiten wir regelmäßig – von der Prüfung des aktuellen Buildstands über die Planung des Wartungsfensters bis zur vollständigen Funktionskontrolle nach der Installation.

Unsere Einschätzung zu WID-SEC-2026-2326: Der Handlungsbedarf ist real, aber mit guter Vorbereitung gut handhabbar. Wichtig ist, das Update nicht überstürzt, aber auch nicht unnötig aufzuschieben. Wer seinen Exchange Server gut kennt, ein aktuelles Backup hat und das Wartungsfenster sorgfältig vorbereitet, kann das Update sicher und mit kalkulierbarem Aufwand einspielen.

Für Unternehmen mit öffentlich erreichbarem OWA oder einer Hybridumgebung empfehlen wir, die Prüfung und Updateplanung besonders kurzfristig anzugehen.

Unterstützung durch opticom

Exchange-Prüfung und Updateplanung

Wir prüfen Ihren aktuellen Buildstand, bewerten den Handlungsbedarf auf Basis der aktuellen Sicherheitsmeldungen und planen das passende Updatevorgehen für Ihre Umgebung – inklusive Prüfung von Abhängigkeiten, Drittsoftware und Hybridverbindungen.

Jetzt anfragen

OWA- und WAF-Konfigurationsbewertung

Wir prüfen, ob Ihr OWA und Ihre Exchange-Dienste aus dem Internet erreichbar sind, bewerten Ihre aktuellen Firewall- und WAF-Einstellungen und geben Ihnen eine fundierte Empfehlung zur Konfiguration – auch im Zusammenhang mit Sophos XGS und anderen Sicherheitslösungen.

Jetzt anfragen

Begleitete Updateinstallation

Wir führen die Installation des Sicherheitsupdates in einem mit Ihnen abgestimmten Wartungsfenster durch – mit vollständiger Vorbereitung, Backup-Prüfung, Installation und anschließender Funktionskontrolle von Mailfluss, OWA, Outlook, ActiveSync, EWS und Ereignisprotokollen.

Wartungsfenster planen

Monitoring und Nachkontrolle

Nach dem Update prüfen wir mit dem Exchange Server Health Checker den Zustand Ihrer Umgebung und kontrollieren Monitoring und Ereignisprotokolle – damit Sie sicher sind, dass alles ordnungsgemäß funktioniert.

Mehr erfahren

Ist Ihr Exchange Server bereits ausreichend geschützt?

Wenn Sie sich nicht sicher sind, ob Ihr Exchange Server auf dem aktuellen Sicherheitsstand ist – oder wenn Sie das Update professionell begleitet einplanen möchten – sprechen Sie uns an. Wir prüfen Ihren Buildstand, bewerten Ihre OWA- und WAF-Konfiguration und planen das Update kontrolliert mit Ihnen.

Stand: 15. Juli 2026

So unterstützen wir Sie beim Patch-Management

Schwachstellenscans

Monatliche automatisierte Schwachstellenscans identifizieren offene Lücken in Ihren Exchange-Servern. Sie erhalten einen klaren Überblick über den aktuellen Sicherheitsstatus.

Sicherheitsmaßnahmen

Wir prüfen Firewalls, Zugriffsschutz und Konfigurationen. Unsere technische Unterstützung hilft bei der zügigen Umsetzung notwendiger Patches.

Beratung & Planung

Persönliche Ansprechpartner helfen Ihnen, Patches risikofrei zu planen und Ausfallzeiten zu minimieren.

Monitoring & Eskalation

24/7-Alarmierung bei kritischen Ereignissen je nach vereinbartem Serviceumfang. Definierte Eskalationswege für Notfälle.

IT-Wissen, das Ihr Unternehmen weiterbringt

Erhaltern Sie ausgewählte Tipps zur IT-Sicherheit, Infrastruktur und modernen IT-Lösungen - kompakt, praxisnah und ohne Werbeflut.

  • Aktuelle Sicherheitshinweise
  • Praxisnahe IT-Tipps für Unternehmen
  • Jederzeit abbestellbar

Newsletter abonnieren

Kostenlos. Kein Spam. Abmeldung jederzeit möglich