Eine E-Mail genügt — und der Angriff läuft im Postfach

Mitte Mai 2026 hat Microsoft eine Schwachstelle in lokalen Exchange-Servern öffentlich gemacht, die bereits aktiv ausgenutzt wird: CVE-2026-42897. Sie trägt einen Schweregrad von 8,1 von 10 und betrifft die webbasierte Postfach-Oberfläche Outlook Web Access (OWA). Das Tückische daran: Ein Angreifer muss Ihren Server nicht knacken. Er muss nur eine E-Mail schicken.

Für Unternehmen, die ihre E-Mail noch auf einem eigenen Exchange-Server betreiben, ist das eine Nachricht mit Handlungsbedarf. Dieser Beitrag erklärt, was passiert, wer betroffen ist — und was Sie jetzt konkret tun sollten.

Was genau passiert

CVE-2026-42897 ist eine Spoofing-Lücke, die auf einem sogenannten Cross-Site-Scripting-Fehler beruht. Im Klartext: Öffnet ein Mitarbeiter eine speziell präparierte E-Mail in Outlook Web Access, kann unter bestimmten Bedingungen fremder Programmcode direkt in seiner angemeldeten Browser-Sitzung ausgeführt werden.

Damit kann ein Angreifer Sitzungsschlüssel stehlen, sich als der betroffene Nutzer ausgeben und Postfachregeln manipulieren — etwa heimlich E-Mails weiterleiten. All das, ohne den Server selbst je zu berühren. Genau das macht die Lücke so heikel: Klassische Schutzmaßnahmen, die auf den Server zielen, greifen hier nicht, weil der Angriff im Browser des Anwenders abläuft.

Wer betroffen ist — und wer nicht

Betroffen sind ausschließlich lokal betriebene Exchange-Server:

  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition

Nicht betroffen ist Exchange Online, also die E-Mail aus Microsoft 365. Wer seine Postfächer bereits in die Microsoft-Cloud verlagert hat, muss wegen dieser Lücke nichts unternehmen. Der Handlungsbedarf liegt allein bei Unternehmen mit eigenem Exchange-Server im Haus.

Wie ernst die Lage ist

Die Lücke wird nicht nur theoretisch diskutiert, sondern bereits für Angriffe genutzt. Die US-amerikanische Cybersicherheitsbehörde CISA hat sie Mitte Mai in ihren Katalog der aktiv ausgenutzten Schwachstellen aufgenommen und US-Bundesbehörden eine Frist zum 29. Mai 2026 gesetzt, die Lücke zu schließen. Diese Frist gilt rechtlich nur für US-Behörden — als Dringlichkeitssignal ist sie aber auch für deutsche Unternehmen eindeutig: Wenn eine Behörde eine feste Frist setzt, ist die Gefahr real und nicht hypothetisch.

Was Sie jetzt tun sollten

Gehen Sie in dieser Reihenfolge vor:

  • Klären Sie, ob Sie überhaupt betroffen sind. Läuft Ihre E-Mail über Microsoft 365 (Exchange Online), sind Sie außen vor. Nur bei einem eigenen Exchange-Server geht es weiter.
  • Aktivieren bzw. prüfen Sie die automatische Notfall-Minderung. Microsoft stellt über den Exchange Emergency Mitigation Service eine automatische Gegenmaßnahme bereit, die die Lücke entschärft. Auf Servern mit aktiviertem Dienst wird sie selbsttätig eingespielt — Ihr Administrator kann prüfen, ob sie aktiv ist.
  • Wo das automatisch nicht möglich ist, lässt sich die Minderung manuell über das Exchange On-premises Mitigation Tool anwenden.
  • Spielen Sie das eigentliche Update ein. Für die Subscription Edition ist es öffentlich verfügbar. Für Exchange 2016 und 2019 stehen Updates nur Kunden im erweiterten Support-Programm (ESU) offen — wer hier nicht abgesichert ist, sollte den Lizenzstatus dringend klären.
  • Rechnen Sie mit Nebenwirkungen. Nach Anwendung der Minderung können die Kalender-Druckfunktion in OWA, eingebettete Bilder im Lesebereich und die Leichtversion von OWA eingeschränkt sein. Das ist bekannt und ein vertretbarer Preis gegenüber einem offenen Einfallstor.

Was das für Ihr Unternehmen heißt

Diese Lücke ist auch eine grundsätzliche Erinnerung: Wer einen eigenen Exchange-Server betreibt, trägt die volle Verantwortung dafür, ihn aktuell und sicher zu halten — Lücke für Lücke, Update für Update. Das ist machbar, erfordert aber jemanden, der diese Meldungen verfolgt und im Ernstfall innerhalb von Stunden reagiert, nicht erst beim nächsten Wartungstermin.

Für viele kleine und mittlere Unternehmen ist genau das der Punkt, an dem sich die Frage lohnt: Muss die E-Mail wirklich auf einem eigenen Server liegen? Ein Umzug nach Exchange Online nimmt diese Patch-Last vollständig von Ihren Schultern — Microsoft betreibt und sichert die Infrastruktur dann selbst.

Unsere Einschätzung

Wenn Sie einen lokalen Exchange-Server betreiben, behandeln Sie diese Lücke als das, was sie ist: dringend. Aktive Ausnutzung plus eine Angriffsfläche, die so simpel ist wie eine eingehende E-Mail, lässt keinen Spielraum zum Abwarten. Über den Tag hinaus zeigt der Fall aber ein bekanntes Muster: Eigene Server bedeuten eigene Verantwortung. Wer diese Verantwortung nicht aktiv organisiert — durch Überwachung, schnelle Reaktion oder den Umzug in eine betreute Umgebung — schiebt das Risiko nur vor sich her, bis die nächste Lücke auftaucht.