Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Warum CVE-2026-42897 ein Weckruf für die E-Mail-Architektur ist

Warum CVE-2026-42897 ein Weckruf für die E-Mail-Architektur ist

von Bob Ertl updated Mai 19, 2026 Sichere E-Mail
Lesezeit: 8 Minuten

Am 14. Mai 2026 veröffentlichte Microsoft CVE-2026-42897, eine aktiv ausgenutzte kritische Cross-Site-Scripting-Sicherheitslücke in Microsoft Exchange Server. CVSS 8.1. Betroffen sind Exchange Server 2016, Exchange Server 2019 und Exchange Server Subscription Edition. Exchange Online ist nicht betroffen.

Wichtige Erkenntnisse

  1. Neunzehn Exchange-CVEs in fünf Jahren. Im Katalog der bekannten ausgenutzten Schwachstellen (KEV) der CISA sind inzwischen fast zwei Dutzend Exchange-Sicherheitslücken gelistet. Vierzehn davon wurden bei Ransomware-Angriffen ausgenutzt. Das ist ein Muster, kein Zufall.
  2. Das Patch-Problem ist das größere Problem. Microsoft bestätigte die aktive Ausnutzung am 14. Mai 2026, aber es gibt keinen dauerhaften Patch. Kunden haben nur temporäre Maßnahmen – und eine CISA-Frist bis zum 29. Mai, um diese umzusetzen.
  3. End-of-Life verschärft das Problem. Exchange Server 2016 und 2019 erreichten das Support-Ende am 14. Oktober 2025. Kunden, die diese Versionen 2026 noch betreiben, erhalten Patches nur über das Extended Security Updates-Programm (Periode 2).
  4. OWA ist die Schwachstelle. Der Exploit wird ausgelöst, wenn ein Anwender eine präparierte E-Mail in Outlook Web Access öffnet. Es gibt keinen bösartigen Link zum Blockieren. Keine Payload zum Entschärfen. Die E-Mail selbst ist der Exploit.
  5. Architektur ist wichtiger als der Patch. E-Mail bleibt der zentrale Kanal für sensiblen externen Datenaustausch. Nach 19 CVEs in fünf Jahren stellt sich nicht mehr die Frage, wie schnell gepatcht werden kann – sondern ob sensible Inhalte überhaupt auf dieser Infrastruktur liegen sollten.

Die Offenlegung war in mehrfacher Hinsicht ungewöhnlich. Der Patch Tuesday im Mai 2026, nur 48 Stunden zuvor veröffentlicht, schloss 137 Schwachstellen – ohne eine einzige Zero-Day-Lücke. Dann folgte diese Schwachstelle – außerplanmäßig, ohne dauerhaften Patch, nur mit temporären Maßnahmen über den Exchange Emergency Mitigation Service oder das Exchange On-Premises Mitigation Tool.

Die US-Behörde für Cybersicherheit und Infrastrukturschutz (CISA) nahm die Schwachstelle am 15. Mai in ihren Known Exploited Vulnerabilities Catalog auf. Bundesbehörden der zivilen Exekutive erhielten eine Frist bis zum 29. Mai 2026 – also 14 Tage – um die Maßnahmen umzusetzen.

Dieser Zeitrahmen verdeutlicht die Dringlichkeit. CISA verhängt keine 14-Tage-Fristen bei rein theoretischen Risiken.

Wie der Exploit tatsächlich funktioniert

Die Technik ist trügerisch einfach. Ein Angreifer sendet eine speziell präparierte E-Mail. Der Anwender öffnet sie in Outlook Web Access – dem browserbasierten Exchange-Client. Unter „bestimmten Interaktionsbedingungen“, die Microsoft nicht öffentlich erläutert hat, wird beliebiger JavaScript-Code im Browser ausgeführt. Es folgen Spoofing und Missbrauch der Sitzung.

Die Gefahr liegt darin, was in dieser Kette fehlt. Es gibt keinen bösartigen Link, der am Gateway gefiltert werden könnte. Kein Anhang, der in einer Sandbox entschärft werden müsste. Keine Webshell, die auf dem Server entdeckt werden könnte. Die Payload ist die E-Mail selbst, und der Angriff findet innerhalb der Browsersitzung des Nutzers statt – nicht auf dem Exchange-Host.

Genau dieser Unterschied unterläuft die meisten Abwehrmaßnahmen. Sicherheitsteams, die auf Webshells, verdächtige IIS-Prozesse oder anomale ausgehende Verbindungen achten, erkennen diesen Angriff erst, wenn die Kompromittierung im Browser Folgeaktivitäten ermöglicht. Zu diesem Zeitpunkt wurden Sitzungen bereits übernommen, OWA-Aktionen im Namen des Opfers durchgeführt und der Angreifer hat Zugriff im Umfang der Opferrechte.

Die von Microsoft veröffentlichte Gegenmaßnahme bringt eigene Einschränkungen mit sich. Nach der Umsetzung funktioniert die Druckfunktion für Kalender in OWA nicht mehr, Inline-Bilder werden im Lesebereich des Empfängers möglicherweise nicht angezeigt und OWA Light steht nicht zur Verfügung. Anwender werden dies bemerken. Der Helpdesk wird Tickets erhalten.

Ein Muster, das 2021 begann und nie endete

CVE-2026-42897 ist kein Einzelfall. Es ist der jüngste Eintrag in einer fünfjährigen Serie, die mit ProxyLogon im März 2021 begann und seither nicht abgerissen ist.

ProxyLogon (CVE-2021-26855 und drei verwandte CVEs) kompromittierte laut KrebsOnSecurity mindestens 30.000 Organisationen in den USA, Tenable schätzte weltweit über 60.000 betroffene Organisationen innerhalb einer Woche. Die Hafnium-APT nutzte die Schwachstelle zuerst aus, danach folgten finanziell motivierte Ransomware-Gruppen. Vier Monate später traf ProxyShell mindestens 30.000 Server mit einer Angriffskette, die nicht authentifizierte Remote-Code-Ausführung ermöglichte. ProxyNotShell 2022 zeigte, dass Microsofts frühere Patches die Ursache nicht beseitigt hatten – die Path-Confusion-Schwachstelle war weiterhin ausnutzbar.

Das Muster ist eindeutig: Offenlegung einer Schwachstelle, hektische Gegenmaßnahmen, unvollständige Patches, anhaltende Verwundbarkeit und jahrelange Ausnutzung für Ransomware und Datendiebstahl. Im KEV-Katalog der CISA sind inzwischen 19 Exchange Server-Schwachstellen gelistet, 14 davon wurden in Ransomware-Kampagnen beobachtet.

Zwei Tage nach der Offenlegung im Mai 2026 kombinierte Orange Tsai von DEVCORE – der Forscher, der ProxyLogon mitentdeckte und ProxyShell entdeckte – drei weitere Exchange-Bugs auf der Pwn2Own Berlin 2026 und erreichte Remote-Code-Ausführung als SYSTEM. Dafür gab es 200.000 US-Dollar. Damit begann die 90-tägige Offenlegungsfrist für drei weitere Exchange-Schwachstellen.

Die Pipeline für ausnutzbare Exchange-Angriffsflächen versiegt nicht.

Die End-of-Life-Kollision

Neu im Jahr 2026 ist, dass der Patch-Lebenszyklus für die meistverbreiteten Versionen abgelaufen ist. Exchange Server 2016 und Exchange Server 2019 erreichten das Support-Ende am 14. Oktober 2025. Kunden, die diese Versionen danach weiter betreiben, erhalten Sicherheitsupdates nur noch über das Extended Security Updates-Programm – und nur solange sie daran teilnehmen.

Für CVE-2026-42897 ist Microsoft eindeutig: Exchange SE erhält ein öffentliches Sicherheitsupdate, während Fixes für Exchange 2016 und 2019 nur für Kunden im ESU-Programm Periode 2 bereitgestellt werden. Periode 1 endete im April 2026. Organisationen ohne Teilnahme an Periode 2 erhalten keinen Fix.

Die Shadowserver Foundation schätzte Ende 2025 etwa 20.000 bis 30.000 Exchange-Server ohne Support, die öffentlich im Internet erreichbar sind. Diese Zahl sinkt, bleibt aber erheblich – vor allem in regulierten Branchen, in denen Anforderungen an die Datenlokalisierung und Air-Gap-Policies eine Migration zu Exchange Online verhindern.

Das Ergebnis: Die Kunden, die Exchange am dringendsten sicher benötigen, sind auch am stärksten exponiert, wenn es unsicher ist.

Warum E-Mail im Zentrum des Risikostapels steht

Der Grund, warum Exchange-Schwachstellen immer wieder zu Ransomware und Datendiebstahl führen, ist strukturell. E-Mail ist der Ort, an dem sensible Inhalte liegen, sobald sie das Unternehmen verlassen.

Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report dokumentiert, dass Legacy-Filesharing- und Managed File Transfer-Infrastrukturen „granulare Zugriffskontrollen, Echtzeit-DLP, zero trust-Architektur, prüfprotokollfähige Audit-Trails und KI-basierte Richtlinienkontrolle“ fehlen. Dasselbe gilt – noch ausgeprägter – für On-Premises-E-Mail-Infrastrukturen, die vor der heutigen Bedrohungslage konzipiert wurden.

Externe Datenpunkte bestätigen dieses Bild. Der CrowdStrike 2026 Global Threat Report verzeichnet einen Anstieg KI-gestützter Angreiferaktivitäten um 89 % im Jahresvergleich. Phishing-Angriffe mit Adversary-in-the-Middle gegen Microsoft 365 und Entra ID dominieren als Zugangsmuster. CrowdStrike berichtet außerdem, dass 82 % der Erkennungen 2025 ohne Malware erfolgten – Angreifer setzen also auf Identitätsmissbrauch, Sitzungsdiebstahl und legitime Tools statt auf Dropper.

Der WEF Global Cybersecurity Outlook 2026 stuft KI-Schwachstellen als das zweitgrößte Cyberrisiko für CEOs im Jahr 2026 ein – noch vor Ransomware. Im selben Bericht rangieren Cyberbetrug und Phishing auf Platz eins.

E-Mail-basierte Angriffsketten stehen im Schnittpunkt aller drei Risiken. CVE-2026-42897 ist der jüngste Beleg dafür.

Die Architekturfrage hinter der CVE

Nach der dritten oder vierten großen Exchange-CVE in dieser fünfjährigen Serie war die operative Frage nicht mehr „Wie schnell können wir patchen?“. Die richtige Frage ist architektonisch: Sollten sensible, regulierte Inhalte weiterhin über dieselbe Infrastruktur laufen, die in fünf Jahren 19 aktiv ausgenutzte Schwachstellen hervorgebracht hat?

Microsoft empfiehlt die Migration zu Exchange Online. Das funktioniert für einige Unternehmen. Für Organisationen mit Anforderungen an die Datenlokalisierung, die Standard-Cloud-Bereitstellungen verbieten, für Verteidigungsunternehmen mit kontrollierten, nicht klassifizierten Informationen nach CMMC 2.0, für Gesundheitsorganisationen mit spezifischen HIPAA-Konfigurationen, Finanzunternehmen mit regulatorischen Standortvorgaben oder Bundesbehörden mit FedRAMP High-Anforderungen ist Exchange Online oder die Government-Cloud-Variante nicht immer eine Option.

Der 2026 Forecast Report beschreibt diese Lücke als Steuerungsebenen-Defizit: Unternehmen betreiben KI-Workloads und sensible Datenaustausche auf Infrastrukturen, die der heutigen Bedrohungslage nicht mehr gerecht werden. Der Report bringt es auf den Punkt: „Die Modernisierung der Datenaustausch-Technologie ist keine Option – sie ist eine Voraussetzung für Supply-Chain-Sicherheit.“

CVE-2026-42897 ist nicht der Grund, die E-Mail-Architektur zu überdenken. Es ist nur der aktuellste. Die Gründe summieren sich.

Der Kiteworks-Ansatz: Separate Architektur für sensiblen Datenaustausch

Die architektonische Antwort auf fünf Jahre E-Mail-Server-CVEs ist nicht schnelleres Patchen. Es ist, den sensiblen externen Datenaustausch von der Infrastruktur zu trennen, die diese CVEs produziert.

Kiteworks Secure Email läuft auf einer gehärteten virtuellen Appliance mit integriertem WAF, Netzwerk-Firewall und Intrusion Detection. Single-Tenant-Isolierung bedeutet: keine geteilte Infrastruktur mit anderen Kunden – keine Cross-Tenant-Angriffsfläche. FIPS 140-3-validierte Verschlüsselung schützt Daten während der Übertragung und im ruhenden Zustand. Der Code unterscheidet sich grundlegend von Exchange. Eine CVE in Microsofts IIS/Exchange-Stack wirkt sich nicht auf Kiteworks aus.

Das architektonische Prinzip ist belegt: Als Log4Shell mit CVSS 10 die Branche traf, reduzierte die Defense-in-Depth-Architektur von Kiteworks die Auswirkung innerhalb der Plattform auf CVSS 4. Das ist kein Marketingversprechen zu einer einzelnen CVE, sondern das gleiche Defense-in-Depth-Prinzip auf der E-Mail-Ebene.

Im Betrieb läuft Kiteworks Secure Email parallel zu Exchange Online oder M365, nicht als Ersatz für allgemeine Unternehmens-E-Mails. Der relevante Datenverkehr – regulierte Dokumente, sensible Partnerkommunikation, externe Anhänge mit geschützten Daten – läuft über Kiteworks. Routinemäßige interne E-Mails bleiben, wo sie sind. Zwei Systeme, zwei Bedrohungsmodelle, ein konsolidiertes Audit-Log für die wirklich wichtigen Inhalte.

Dieses Architekturmodell hätten 19 Exchange-CVEs in fünf Jahren der Branche bereits vermitteln sollen. CVE-2026-42897 ist nur die jüngste Erinnerung daran.

Was Unternehmen jetzt tun sollten

Erstens: Setzen Sie die Microsoft-Maßnahmen sofort um. Wenn Sie Exchange Server 2016, 2019 oder Subscription Edition On-Premises betreiben, sollte der Exchange Emergency Mitigation Service standardmäßig aktiviert sein. Überprüfen Sie dies. Führen Sie das Exchange Health Checker-Skript aus, um zu bestätigen, dass die M2.1.x-Maßnahme angewendet wurde. Für Air-Gap-Umgebungen nutzen Sie das Exchange On-Premises Mitigation Tool mit dem CVE-2026-42897-Parameter.

Zweitens: Prüfen Sie Ihren Extended Security Updates-Status. Periode 1 ESU endete im April 2026. Die Teilnahme an Periode 2 entscheidet, ob Exchange 2016 und 2019 den dauerhaften Patch erhalten. Ist Ihr Unternehmen nicht angemeldet und eine Migration nicht möglich, besteht hier eine akute Lücke.

Drittens: Prüfen Sie, welche sensiblen Daten über Exchange OWA mit Internetzugang laufen. Die Daten des Kiteworks 2026 Forecast Report zeigen, warum das wichtig ist: Die Lücke zwischen „angegebener Compliance“ und „nachweisbarer Kontrolle“ wächst am schnellsten, wenn Legacy-Infrastruktur regulierte Inhalte verarbeitet. Erfassen Sie, was über OWA läuft. Identifizieren Sie, was dort nicht hingehört.

Viertens: Bewerten Sie, ob sensibler Datenaustausch auf derselben Infrastruktur stattfinden sollte, die in fünf Jahren 19 KEV-gelistete Schwachstellen hervorgebracht hat. Das ist die Architekturfrage. Laut Kiteworks 2026 Forecast Report reduzieren Unternehmen, die sensiblen Datenaustausch auf eine gehärtete Plattform konsolidieren, sowohl ihre Patch-Risiken als auch den Aufwand für Audit-Vorbereitung. Der Architekturwechsel ist kein Sechsmonatsprojekt. Die Risikoreduktion ist sofort spürbar.

Fünftens: Planen Sie für die nächste CVE. Orange Tsais drei weitere Exchange-Bugs von der Pwn2Own Berlin laufen auf eine 90-Tage-Offenlegungsfrist zu. Bis August 2026 werden weitere Warnungen folgen. Das Muster setzt sich fort. Planen Sie die architektonische Antwort jetzt – nicht erst nach der nächsten Notfallmeldung.

Die Kunden, die ProxyLogon, ProxyShell und ProxyNotShell mit den geringsten Schäden überstanden haben, waren diejenigen, die ihren sensiblen Datenaustausch bereits von der betroffenen Infrastruktur getrennt hatten. CVE-2026-42897 ist der Moment, diese Lehre erneut anzuwenden.

Häufig gestellte Fragen

CVE-2026-42897 betrifft direkt Exchange Server 2016, 2019 und Subscription Edition On-Premises, während Exchange Online nicht betroffen ist. Die aktive Ausnutzung führt zu Meldepflichten nach der GLBA-Safeguards Rule und nach Datenschutzgesetzen der Bundesstaaten. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt, dass Legacy-Filesharing- und E-Mail-Infrastrukturen die prüfprotokollfähigen Audit-Trails fehlen, die Aufsichtsbehörden heute verlangen. Setzen Sie Microsofts Maßnahmen sofort um und prüfen Sie architektonische Alternativen für sensible Inhalte.

Ja. CMMC Level 2 verlangt den nachweisbaren Schutz kontrollierter, nicht klassifizierter Informationen über alle Übertragungskanäle, einschließlich E-Mail. Eine aktiv ausgenutzte Zero-Day-Lücke auf einem internetzugänglichen Exchange-Server schafft AC-, AU- und SI-Kontrolllücken, die Prüfer beanstanden werden. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report fand heraus, dass sich nur 46 % der DIB-Organisationen für die Level-2-Zertifizierung vorbereitet sehen. Setzen Sie die von CISA geforderte Maßnahme bis zum 29. Mai um und dokumentieren Sie dies für die Prüfung.

Der Exploit ermöglicht die Ausführung von JavaScript in der OWA-Browsersitzung unter der Identität des Opfers und schafft damit ein direktes Risiko für den Zugriff auf PHI und potenzielle Meldepflichten nach der HIPAA Breach Notification Rule. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report dokumentiert, dass Gesundheitseinrichtungen die höchsten durchschnittlichen Kosten pro Datenschutzvorfall tragen. Setzen Sie Microsofts Notfallmaßnahme um, prüfen Sie PHI-Flüsse über OWA und dokumentieren Sie die Maßnahmen für die OCR-Prüfung.

Ja. CVE-2026-42897 betrifft Exchange Server 2016, 2019 und Subscription Edition On-Premises – unabhängig von der Anzahl der Postfächer. Ist ein Exchange-Server On-Premises internetzugänglich – auch in hybriden Konfigurationen für Legacy-Anwendungen – besteht die OWA-Angriffsfläche. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report bewertet hybride Konfigurationen als Steuerungsebenen-Lücke. Überprüfen Sie, dass der EM Service auf jedem Exchange-Server aktiviert ist, nicht nur auf den primären Mail-Hosts.

Das Muster ist strukturell, nicht zufällig. Neunzehn Exchange-CVEs wurden in fünf Jahren im KEV-Katalog der CISA gelistet; 14 davon wurden bei Ransomware-Angriffen genutzt. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report argumentiert klar: Legacy-Datenaustausch-Infrastruktur, die der heutigen Bedrohungslage nicht mehr entspricht, ist ein Supply-Chain-Sicherheitsrisiko. Die Frage ist nicht, ob schneller gepatcht werden sollte – sondern ob sensible Inhalte überhaupt auf dieser Infrastruktur liegen sollten.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks