Der ultimative Guide: Exchange Server Mai 2026 Hotfix & die Graph-Migration

Von /

Exchange Server Update Mai 2026: Warum Sie jetzt handeln müssen

E-Mail-Server sind das Rückgrat fast jeder Firma. Aber genau deshalb sind sie auch das Lieblingsziel von Angreifern. Wenn Microsoft am Patchday ein neues Exchange Server Update veröffentlicht, ist das für IT-Admins oft der Startschuss für eine Nachtschicht. Im Mai 2026 geht es aber um mehr als nur das Schließen einer Sicherheitslücke. Es ist der Beginn einer architektonischen Zeitenwende für alle, die Exchange betreiben – egal ob in der Cloud oder im eigenen Keller.

Ich weiß, dass Updates oft Stress bedeuten. Man hat Angst, dass nach dem Neustart die Dienste nicht hochfahren oder die Datenbanken streiken. Aber die Alternative – ein gehacktes System oder eine kaputte Hybrid-Anbindung – ist weitaus schlimmer. In diesem Artikel schauen wir uns an, was im aktuellen Hotfix steckt, warum das Ende von EWS (Exchange Web Services) Ihre Planung dominieren wird und was das alles für reine On-Prem-Umgebungen bedeutet.

Was ist neu im Exchange Server Update vom Mai 2026?

Das aktuelle Update ist ein sogenanntes Hotfix Update (HU). Im Gegensatz zu den großen Cumulative Updates (CU) konzentriert sich ein HU gezielt auf zwei Bereiche: Sicherheitskorrekturen und die Vorbereitung auf die Zukunft der Cloud-Konnektivität.

1. Die Sicherheitslücke (EoP)

Im Fokus steht die Behebung einer „Elevation of Privilege“ (EoP) Schwachstelle. Angreifer könnten diese Lücke nutzen, um sich höhere Rechte auf Ihrem Server zu verschaffen. Wenn jemand erst einmal Admin-Rechte auf dem Exchange hat, gehört ihm praktisch das gesamte Active Directory. Das Update schließt diese Lücke und sorgt dafür, dass Ihr System wieder den aktuellen Sicherheitsstandards entspricht.

2. Der Wechsel zu Microsoft Graph (Der „Gamechanger“)

Das ist der Punkt, der viele Hybrid-Admins kalt erwischen könnte. Das Mai 2026 Update enthält die Funktionalität, um die sogenannte „Rich Coexistence“ (Frei/Gebucht-Zeiten, MailTips, Profilbilder) von EWS auf die REST-basierte Microsoft Graph API umzustellen. Microsoft schaltet EWS in der Cloud bald ab. Wer jetzt nicht handelt, wird im April 2027 feststellen, dass die Zusammenarbeit zwischen lokalem Server und Cloud plötzlich nicht mehr funktioniert.

Entwarnung für „Pure On-Prem“: Was, wenn ich keine Cloud nutze?

Ich höre oft von Admins: „Wir nutzen kein Entra ID, kein M365 und kein Azure. Was geht mich diese Graph-Migration an?“

Die kurze Antwort: Technisch gesehen betrifft Sie die Graph-Migration für „Rich Coexistence“ nicht.

Wenn Ihr Exchange Server eine Insel ist, die nur interne Postfächer bedient und keine Verbindung zu Exchange Online hält, müssen Sie keinen PowerShell-Befehl für Graph absetzen. Microsoft Graph ist eine Cloud-API. Ohne Cloud-Anbindung gibt es für Ihren Server nichts, wohin er „graphen“ könnte.

Aber (und das ist ein großes Aber):

  • Die Sicherheitslücke bleibt: Die EoP-Schwachstelle ist für jeden Exchange Server gefährlich, der im Netz hängt. Der Patch ist für Sie also genauso überlebenswichtig wie für Hybrid-Kunden.
  • Support-Ende von 2016/2019: Auch ohne Cloud-Pläne müssen Sie sich mit der Exchange Server Subscription Edition (SE) beschäftigen. Exchange 2016 und 2019 nähern sich dem Ende ihres Lebenszyklus. Wer weiterhin Sicherheitsupdates erhalten möchte, kommt um den Wechsel auf die SE-Version nicht herum.
  • Interne Applikationen: Viele Ihrer internen Tools (Backup, Archivierung, CRM) nutzen EWS lokal auf Ihrem Server. Das bleibt vorerst erhalten. Microsoft schaltet EWS in der Cloud ab, nicht die lokale Schnittstelle auf Ihrem eigenen Server. Dennoch ist es ratsam, bei künftigen Software-Anschaffungen auf moderne Schnittstellen zu achten.

Die bittere Pille: Exchange 2016 und 2019 bleiben außen vor

Hier wird es politisch und technisch ungemütlich. Microsoft hat zwar Patches für die alten Versionen veröffentlicht:

  • Exchange Server 2019 (CU14 und CU15)
  • Exchange Server 2016 (CU23)

Aber Vorsicht: Diese Versionen erhalten lediglich die Sicherheits-Fixes. Die neue Graph-Unterstützung für Hybrid-Szenarien gibt es nur für die Exchange Server Subscription Edition (SE).

Das bedeutet im Klartext: Wenn Sie doch irgendwann eine Hybrid-Anbindung planen oder bereits nutzen, haben Sie mit den alten Versionen ein Verfallsdatum. Spätestens im April 2027 schaltet Microsoft EWS in Exchange Online ab. Ein Upgrade auf Exchange SE ist also für die meisten Firmen eine zwingende Voraussetzung.

Warum das Hotfix Update so wichtig für Ihre Sicherheit ist

Manche Admins denken: „Wir haben eine Firewall und nutzen MFA, uns passiert schon nichts.“ Das ist leider ein gefährlicher Irrtum. Sicherheitslücken wie die aktuelle EoP-Vulnerability greifen oft an Stellen an, an denen klassische Schutzwälle bereits überwunden wurden oder gar nicht greifen.

Ein Sicherheitsupdate ist Ihre letzte Verteidigungslinie. Ohne diesen Patch bleibt die Tür für versierte Hacker einen Spalt weit offen. In der Vergangenheit haben wir gesehen, wie schnell Exploit-Code nach der Veröffentlichung von Updates im Netz landet. Zeit ist hier also der entscheidende Faktor.

Die Gefahr von Privilege Escalation

Bei einer Rechteausweitung muss der Angreifer nicht einmal Ihr Passwort kennen. Er nutzt einen Fehler im Code des Servers aus, um von einem normalen Benutzerkonto auf die Ebene des System-Admins aufzusteigen. Das ist so, als würde ein Gast in einem Hotel plötzlich den Generalschlüssel für alle Zimmer erhalten. Das aktuelle Mai-Update nimmt den Angreifern diesen Schlüssel wieder weg.

Deep Dive: Die Migration zu Microsoft Graph API (Hybrid-Fokus)

Wenn Sie bereits auf Exchange SE migriert sind und Hybrid nutzen, ist das Mai-Update Ihr Startschuss für die „Stage 2“.

Was ist „Rich Coexistence“?

Vielleicht fragen Sie sich: „Brauche ich das überhaupt?“ Wenn Ihre Nutzer im Outlook sehen wollen, ob ein Kollege in der Cloud gerade in einem Meeting ist (Free/Busy), oder wenn sie beim Tippen einer Mail gewarnt werden wollen, dass der Empfänger im Urlaub ist (MailTips), dann nutzen Sie Rich Coexistence. Bisher lief das alles über EWS.

Die Deadline im Nacken

  • Oktober 2026: Ab diesem Zeitpunkt wird EWS in vielen Tenants bereits eingeschränkt.
  • April 2027: EWS wird in Exchange Online endgültig abgeschaltet.

Wer bis dahin seine hybride Konfiguration nicht auf die neue „dedicated Exchange hybrid app“ und die Graph-Berechtigungen umgestellt hat, wird mit Ticket-Anfragen von verärgerten Nutzern überhäuft werden.

Vorbereitung: So machen Sie Ihren Server bereit für das Patching

Bevor Sie auf „Installieren“ klicken, ist eine gute Vorbereitung die halbe Miete. Ich habe schon zu viele Server gesehen, die nach einem abgebrochenen Update im „Limbus“ hingen. Das lässt sich fast immer durch einfache Schritte vermeiden.

Prüfen Sie zuerst Ihren aktuellen Patch-Stand. Der Exchange HealthChecker ist hier Ihr bester Freund. Dieses Skript zeigt Ihnen sofort, ob Ihr Server die nötigen Voraussetzungen erfüllt.

Checkliste vor der Installation:

  • Vollständiges Backup: Erstellen Sie ein Backup der virtuellen Maschine (Snapshot) und der Datenbanken.
  • Speicherplatz prüfen: Stellen Sie sicher, dass auf dem Systemlaufwerk mindestens 10 GB freier Platz sind.
  • Admin-Rechte: Sie müssen die Installation mit erhöhten Rechten ausführen.
  • Wartungsfenster: Informieren Sie die Nutzer. Exchange-Updates dauern oft länger als geplant.

Schritt-für-Schritt-Anleitung: Installation des Exchange Hotfixes

Es gibt zwei Wege, das Update einzuspielen. Entweder nutzen Sie Windows Update oder Sie laden das Paket manuell als .msp-Datei herunter. Ich persönlich bevorzuge den manuellen Weg, da man hier mehr Kontrolle über den Prozess hat.

Installation via Windows Update

Falls Ihr Server so konfiguriert ist, finden Sie das Update unter „Optionale Updates“ oder direkt in der Liste der wichtigen Sicherheitsupdates. Der Vorteil: Windows kümmert sich um den Neustart der Dienste. Der Nachteil: Man sieht bei Fehlern oft nur kryptische Codes.

Manueller Download und Installation

  1. Laden Sie das Paket (KB5081755 für Exchange SE) von der offiziellen Microsoft-Seite herunter.
  2. Öffnen Sie die Eingabeaufforderung (CMD) unbedingt als Administrator.
  3. Navigieren Sie zum Pfad der Datei und führen Sie sie aus: msiexec /p ExchangeSE-KB5081755-x64-en.msp.
  4. Folgen Sie den Anweisungen und lassen Sie das System danach neu starten.

Wichtig: Klicken Sie niemals einfach doppelt auf die Datei im Explorer. Das führt oft dazu, dass die Installation zwar durchläuft, aber wichtige Registrierungsschlüssel nicht gesetzt werden, weil die nötigen Rechte fehlen.

Nach der Installation: Graph API aktivieren (Nur für Hybrid-Szenarien)

Wenn das Update installiert ist, ist der Server zwar sicher, aber die Hybrid-Konnektivität nutzt standardmäßig immer noch EWS. Rein lokale Umgebungen ignorieren diesen Schritt bitte. Alle anderen müssen aktiv werden.

Der PowerShell-Befehl

Nachdem Sie sichergestellt haben, dass Sie die dedizierte Hybrid-App in Entra ID konfiguriert haben, müssen Sie die Funktion auf dem lokalen Server freischalten. Nutzen Sie dazu die Exchange Management Shell (EMS) mit Administratorrechten:

New-SettingOverride -Name "EnableGraphHybridCoexistence" -Component "CloudService" -Section "HybridConfiguration" -Parameters @("Enabled=true") -Reason "Migration from EWS to Graph"

Nachdem Sie diesen Befehl ausgeführt haben, müssen Sie den Microsoft Exchange Active Directory Topology Dienst neu starten. Danach beginnt Ihr Server, für Anfragen an die Cloud die moderne Graph-Schnittstelle zu nutzen.

Häufige Probleme und wie Sie sie lösen

Es läuft nicht immer alles glatt. Eines der häufigsten Probleme nach einem Exchange Server Update ist, dass die Exchange-Dienste auf „Deaktiviert“ stehen bleiben. Das passiert oft, wenn die Installation vorzeitig abgebrochen wird oder ein Fehler auftritt.

Keine Panik. Schauen Sie in die Diensteverwaltung (services.msc). Wenn die Dienste auf „Disabled“ stehen, setzen Sie sie manuell auf „Automatisch“ und starten Sie sie. Prüfen Sie danach im Event Viewer unter „Anwendung“ nach Fehlern mit der Quelle „MSExchange Common“.

Wenn das Update abbricht

Sollte die Installation mit einem Fehler abbrechen, löschen Sie die temporären Dateien im Ordner C:\Windows\Temp. Starten Sie den Server neu und versuchen Sie es erneut. Oft blockiert ein Virenscanner den Zugriff auf bestimmte Dateien. Ein Blick in das Setup-Log unter C:\ExchangeSetupLogs\ServiceUpdate gibt meist den entscheidenden Hinweis.

Nach dem Update: Kontrolle ist besser als Vertrauen

Nutzen Sie erneut das Exchange HealthChecker Skript. Es zeigt Ihnen die neue Versionsnummer an und bestätigt, dass die Sicherheitslücke geschlossen ist. Für Exchange SE Kunden zeigt es auch an, ob die Graph-Migration erfolgreich eingeleitet wurde. Erst wenn hier alles grün ist, sollten Sie den Snapshot der VM löschen.

Warum der HealthChecker unverzichtbar ist

Dieses Tool prüft nicht nur die Version, sondern auch, ob die nötigen Konfigurationen (wie Extended Protection) korrekt gesetzt sind. Ohne dieses Tool tappen Sie im Dunkeln.

Die Rolle von Extended Protection beim Exchange Patching

Extended Protection verhindert Man-in-the-Middle-Angriffe, indem es die Authentifizierung stärker an den TLS-Kanal bindet. Das aktuelle Update vom Mai 2026 setzt voraus, dass Ihre Konfiguration sauber ist. Der HealthChecker warnt Sie, falls hier Handlungsbedarf besteht. Denken Sie daran: Sicherheit ist kein Ziel, sondern ein fortlaufender Prozess.

Fazit: Sicherheit ist ein Dauerlauf, kein Sprint

Das Exchange Server Update vom Mai 2026 ist weit mehr als eine lästige Wartungsaufgabe. Für reine On-Premise-Umgebungen ist es vor allem ein Pflichttermin für die Sicherheit. Für Hybrid-Admins ist es der lebensnotwendige Rettungsring vor dem EWS-Ende.

Warten Sie nicht bis zum Wochenende oder bis zum April 2027. Planen Sie das Update für die nächsten Tage ein. Ein sicherer und zukunftsfähiger Mailserver ist die beste Visitenkarte für eine IT-Abteilung, die ihre Infrastruktur im Griff hat.

Meine Empfehlung: Installieren Sie das Hotfix sofort wegen der Sicherheitslücke. Auch wenn Sie keine Cloud nutzen: Prüfen Sie Ihren Upgrade-Pfad zu Exchange SE, um langfristig im Support-Rahmen zu bleiben. Viel Erfolg beim Patching!

Nach oben scrollen