Exchange Server am Lebensende: Migration, Microsoft 365 oder On-Prem SE?

Seit Oktober 2025 erhalten Exchange Server 2016 und 2019 keine Sicherheitsupdates mehr. Wer einen dieser Server noch im Haus betreibt – und das sind im Berchtesgadener und Traunsteiner Land mehr Betriebe, als man denken wuerde – steht damit vor einer Entscheidung, die sich nicht mehr lange aufschieben laesst. Ein Mailserver ohne Patches ist kein theoretisches Risiko. Exchange war in den letzten Jahren eines der beliebtesten Angriffsziele ueberhaupt, von ProxyLogon bis zu den Hafnium-Wellen. Ein ungepatchter Exchange am Internet ist eine offene Tuer.

Wir begleiten gerade eine ganze Reihe von Migrationen rund um genau dieses Thema und merken: Die Lage ist unuebersichtlicher geworden, als sie sein muesste. Microsoft hat parallel zum Support-Ende ein neues Produkt eingefuehrt – die Exchange Server Subscription Edition (SE) – und gleichzeitig den Weg in die Cloud weiter forciert. Dieser Artikel sortiert die Optionen und sagt klar, fuer wen sich was lohnt.

Was genau zu Ende gegangen ist

Der 14. Oktober 2025 war das offizielle End-of-Support-Datum fuer Exchange Server 2016 und 2019. Ab diesem Zeitpunkt gibt es keine Sicherheitsupdates, keine Bugfixes und keinen technischen Support mehr von Microsoft. Die Server laufen technisch natuerlich weiter – aber jede neue Schwachstelle bleibt offen. Fuer einen E-Mail-Server, der naturgemaess Verbindung nach aussen hat, ist das eine andere Risikoklasse als bei einem internen Fileserver.

Wichtig fuer die Einordnung: Es geht hier um die lokal installierten Exchange-Server. Wer seine Postfaecher ohnehin schon in Microsoft 365 / Exchange Online hat, ist davon nicht betroffen. Betroffen sind die klassischen On-Premises-Installationen, die in vielen mittelstaendischen Betrieben ueber Jahre gewachsen sind.

Die neue Subscription Edition – kein neues Produkt, sondern ein Abo-Modell

Microsoft hat im Sommer 2025 die Exchange Server Subscription Edition (SE) veroeffentlicht. Der Name klingt nach einem grossen Versionssprung, ist aber bewusst keiner. Die erste Auslieferung von Exchange SE ist im Kern codegleich mit dem letzten Cumulative Update von Exchange Server 2019. Microsoft hat hier also nicht primaer neue Funktionen gebaut, sondern das Lizenz- und Servicemodell umgestellt.

Drei Dinge sind in der Praxis entscheidend:

• Lizenzierung als Abo: Statt einer einmaligen Lizenz braucht es nun entweder Server-Lizenzen plus Zugriffslizenzen (CALs) mit aktiver Software Assurance oder eine Abdeckung ueber Cloud-Subscription-Lizenzen. Wer keine Software Assurance hat, kommt an einer Neubeschaffung nicht vorbei.
• Modern Lifecycle: SE hat kein festes End-of-Support-Datum mehr nach dem alten Muster. Stattdessen gilt: Nur wer auf dem jeweils aktuellen Stand bleibt, bleibt im Support. Updates werden also zur Daueraufgabe, nicht zur Aktion alle paar Jahre.
• Upgrade-Weg: Von einer aktuellen Exchange-2019-Installation aus laesst sich auf SE in einem Verfahren wechseln, das Microsoft selbst als "so aufwaendig wie ein normales Cumulative Update" beschreibt. Das ist ein sehr viel sanfterer Weg als die frueheren Versionswechsel mit parallelem Aufbau neuer Server.

Ein Punkt, den wir im Blick behalten: Mit den fuer 2026 angekuendigten Updates fuer SE wird die Koexistenz mit den alten, nicht mehr unterstuetzten Versionen weiter eingeschraenkt. Wer also auf On-Prem bleiben will, sollte nicht zu lange auf einer Mischumgebung sitzenbleiben.

Option A: Wechsel zu Exchange Online / Microsoft 365

Fuer die meisten KMU, die wir betreuen, ist die Migration nach Exchange Online die naheliegende Antwort – aber nicht automatisch fuer alle. Die Vorteile sind real:

• Kein Mailserver mehr im Haus, der gepatcht, ueberwacht und gegen Ausfaelle abgesichert werden muss. Patch-Management und Verfuegbarkeit liegen bei Microsoft.
• Planbare Kosten pro Postfach statt Investitionsspitzen alle paar Jahre fuer Hardware und Lizenzen.
• Moderne Funktionen – Teams-Integration, mobiler Zugriff, Schutzmechanismen gegen Phishing und Schadsoftware – sind enthalten und werden laufend aktualisiert.

Gegen die Cloud sprechen in der Praxis vor allem zwei Dinge. Erstens laufende Kosten: Bei vielen Postfaechern summieren sich die monatlichen Lizenzen, und ueber zehn Jahre gerechnet ist die Cloud nicht zwangslaeufig billiger als ein gut gepflegter eigener Server. Zweitens Datenschutz und Datenresidenz. Hier lohnt ein ehrlicher Blick.

Datenschutz: Microsoft 365 ist machbar, aber nicht von allein DSGVO-konform

Wir hoeren oft die Sorge, E-Mail in der Microsoft-Cloud sei "nicht DSGVO-konform". So pauschal stimmt das nicht – aber es stimmt auch nicht, dass es von allein passt. Microsoft bietet fuer Geschaeftskunden EU-Datenregionen und einen Auftragsverarbeitungsvertrag. Das ist die Grundlage. Verantwortlich fuer die korrekte Konfiguration, fuer dokumentierte Einwilligungen, fuer das Loeschkonzept und fuer die Bewertung des Drittlandtransfers bleibt aber das Unternehmen selbst.

Wer hier sauber arbeiten will, kombiniert die Migration mit einer datenschutztechnischen Bestandsaufnahme. Welche Punkte dabei in der Praxis am haeufigsten klemmen, haben wir in unserer DSGVO-Checkliste fuer KMU zusammengetragen. Den Drittlandtransfer und die TOMs prueft man am besten zusammen mit der Migration mit, nicht erst hinterher. Genau diese Verzahnung ist Teil unserer IT-Security-Beratung.

Option B: On-Premises mit Exchange Server SE weiterbetreiben

Es gibt gute Gruende, auf einem eigenen Mailserver zu bleiben – wir reden das nicht klein. Wer hohe Anforderungen an die volle Datenkontrolle hat, wer aus regulatorischen Gruenden Daten im eigenen Haus halten muss, oder wer eine sehr grosse, stabile Postfach-Landschaft mit vorhandener Software Assurance betreibt, fuer den kann SE die wirtschaftlich und organisatorisch sinnvollere Wahl sein.

Ehrlich dazugehoert aber die Kehrseite:

• Sie bleiben in der Patch-Verantwortung. Mit dem Modern-Lifecycle-Modell ist Aktualisieren keine seltene Aktion mehr, sondern Daueraufgabe. Ein Exchange-Server, der nur halbherzig gepflegt wird, ist genau das Risiko, vor dem das Support-Ende eigentlich warnen sollte.
• Lizenzkosten und Software Assurance muessen vorhanden oder neu beschafft werden – das ist je nach Ausgangslage ein spuerbarer Posten.
• Betrieb braucht Know-how. Hochverfuegbarkeit, Backup, Spamschutz, Zertifikate, Monitoring – das laeuft nicht nebenbei.

Der Mittelweg: Hybrid

Viele Migrationen, die wir machen, laufen nicht von heute auf morgen, sondern ueber eine Hybrid-Phase. Dabei koexistieren der lokale Exchange und Exchange Online eine Zeit lang, Postfaecher werden schrittweise verschoben, das gemeinsame Adressbuch bleibt konsistent. Das nimmt Druck aus dem Projekt und erlaubt ein kontrolliertes Umziehen statt eines Big-Bang-Wochenendes.

Wichtig ist nur: Hybrid ist ein Uebergang, kein Dauerzustand. Den alten, nicht mehr unterstuetzten Exchange dauerhaft "nur fuer die Hybrid-Anbindung" stehen zu lassen, ist ein verbreiteter Fehler. Genau diese Mischbetriebe werden mit den kommenden SE-Updates zudem technisch zunehmend ausgebremst.

Unsere Praxis-Empfehlung

Fuer den typischen Betrieb mit 10 bis 80 Postfaechern im Berchtesgadener und Traunsteiner Land, ohne harte regulatorische Vorgabe zur lokalen Datenhaltung, ist die Migration nach Exchange Online / Microsoft 365 in aller Regel die richtige Wahl. Sie nehmen sich die Patch-Verantwortung fuer einen exponierten Server vom Hals und gewinnen Funktionen, die Sie sonst muehsam selbst nachbauen muessten.

Bei Exchange Server SE bleiben sollten Sie, wenn mindestens einer dieser Punkte zutrifft: Sie haben harte Anforderungen an die lokale Datenhaltung, Sie betreiben bereits eine stabile, gut gepflegte Exchange-Landschaft mit aktiver Software Assurance, oder die laufenden Cloud-Lizenzkosten waeren bei Ihrer Postfachzahl ueber die Jahre deutlich teurer als der Eigenbetrieb – und Sie haben das Know-how, einen Mailserver dauerhaft sicher zu betreiben.

Wovon wir in jedem Fall abraten: nichts tun und den alten Server einfach weiterlaufen lassen. Das ist die einzige Option, die garantiert teuer wird – spaetestens beim ersten Sicherheitsvorfall.

Wenn Sie unsicher sind, welcher Weg zu Ihrem Betrieb passt, schauen wir uns Ihre Ausgangslage konkret an: Postfachzahl, Lizenzstand, Datenschutzanforderungen, vorhandene Infrastruktur. Daraus wird eine Empfehlung mit Zahlen, kein Bauchgefuehl. Das ist Teil unserer IT-Consulting- und Digitalisierungsberatung – und wir begleiten die Umsetzung, nicht nur die Folie.

---