Consulting Briefing: Thema des Tages
Exchange SE On-Prem-Commitment bis 2035 als Sovereignty-Anker
|
COMPLIANCE/DSGVO |
|---|
Exchange SE: On-Prem-Commitment bis 2035 als Sovereignty-Anker
Executive Summary
Microsoft hat still und leise eine der wichtigsten strategischen Aussagen der letzten Jahre in einen Blog-Post gepackt: Exchange Server Subscription Edition (SE) bekommt Support bis mindestens Ende 2035. Kein Tippfehler, kein Marketing-Geschwurbel – eine ganze Dekade On-Prem-Mail, direkt aus Redmond unterschrieben. Wer bisher argumentieren musste, warum das eigene Rechenzentrum nicht bloss eine Nostalgie-Veranstaltung ist, hat jetzt ein belastbares Argument in der Hand. Und zwar eins, das Microsoft selber mit „digital sovereignty“ und „regulatory compliance“ begruendet.
Fuer DACH-Kunden – Finanzdienstleister, KRITIS-Betreiber, Gesundheitswesen, oeffentliche Hand – ist das kein nettes Nice-to-have, sondern die Rueckkehr der Planungssicherheit. Exchange SE ist technisch ein Evergreen-Release auf Basis Exchange 2019 CU15, laeuft unter Modern Lifecycle Policy, bekommt zwei CUs pro Jahr und wird mit CU2 (Mitte 2026) das Multi-Version-Zeitalter beenden. Kurz: Das Ding wird kein Museumsstueck, sondern ein aktiv weiterentwickelter Pfad.
Der Catch: Gratis ist das nicht. Active Software Assurance bleibt Pflicht, CAL-Preise sind zum 01.07.2025 um 15-20 Prozent gestiegen, und Microsoft zieht die Security-Hardening-Schraube gnadenlos an. Wer Exchange 2013 noch irgendwo im Keller hat, faehrt direkt gegen die Wand – das Setup bricht ab. Und ja, Exchange 2016/2019 sind seit 14.10.2025 offiziell tot. Wer jetzt nicht umzieht, betreibt unsupported Mail – was spaetestens beim naechsten Audit sehr unangenehme Gespraeche ausloest.
|
FAKT: Der harte Commitment-Satz Microsoft (Tech Community, August 2025): Exchange SE wird 'at least through 2035' unterstuetzt. Begruendung woertlich: 'Cloud-first does not need to mean cloud-only.' Uebersetzung fuer deinen CISO: Ihr duerft On-Prem bleiben – und sollt euch dabei nicht schlecht fuehlen. |
|---|
Worum geht es im Detail? Auch Hintergruende erlaeutern
Exchange Server SE ist am 01.07.2025 im VLSC und Download Center aufgeschlagen, Build 15.02.2562.017. Keine neue Engine, keine Architektur-Revolution – der Code ist ein Folge-Release von Exchange 2019 CU15. Wer CU14/CU15 sauber am Laufen hat, installiert SE technisch wie einen weiteren CU. Kein Schema-Swap, kein neuer License Key, keine Migration im klassischen Sinn. Darum geht es bei SE eben nicht – sondern ums Lizenz- und Lifecycle-Modell.
Genau hier steckt der Paradigmenwechsel: Exchange SE laeuft unter Modern Lifecycle Policy. Das heisst im Klartext – solange Microsoft das Produkt aktiv pflegt und du innerhalb definierter Update-Fenster bleibst, gibt es kein festes End-of-Life-Datum. Microsoft gibt dir lediglich eine Ankuendigungsfrist zwischen 12 Monaten und 3 Jahren, bevor ueberhaupt jemand das Licht ausmachen koennte. Das August-2025-Statement ('through at least 2035') ist also eher ein Vertrauens-Floor als ein hartes Enddatum.
Technisch hat Microsoft in der ersten SE-Welle aufgeraeumt: Zwei CUs pro Jahr (H1/H2), monatliche Security-Updates, Server Core wird explizit empfohlen, .NET 4.8.1 ist Soll-Zustand, Windows Extended Protection ist Default, TLS 1.2 Minimum. Ab CU1 (Ende 2025) wurde NTLM fuer Server-zu-Server-Auth zugunsten Kerberos deprecated, die REST-basierte Admin-API wird mittelfristig Remote-PowerShell beerben. CU2 (geplant fuer das erste Halbjahr 2026) bringt den grossen Schnitt: keine Multi-Version-Koexistenz mehr. Vorbei die Zeiten, in denen drei verschiedene Exchange-Generationen nebeneinander her herumgedoetscht haben – ab CU2 ist SE einziger Spieler im AD.
Abbildung 1: Exchange-Lifecycle vom EoL 2016/2019 bis zum 2035-Commitment fuer SE.
Warum Microsoft ausgerechnet jetzt so deutlich wird: Der europaeische Druck ist real. Seit Schrems II, seit den Diskussionen um den EU-US Data Privacy Framework, seit NIS2-Transposition und DORA fuer den Finanzsektor, seit BSI-IT-Grundschutz-Updates wird in jeder zweiten Ausschreibung 'Datenhoheit' als K.o.-Kriterium abgefragt. Microsoft hat mit Sovereign Cloud, EU Data Boundary und jetzt eben Exchange SE eine dreifache Antwort gebaut: volle Cloud, regionale Cloud, On-Prem. Das Exchange-SE-Versprechen ist der unterste Sicherheitsanker – der Punkt, an dem Microsoft sagt: 'Du brauchst nicht mal unsere Rechenzentren, wir liefern dir den Code auf dein Blech.'
Hintergrund, den viele CIOs unterschaetzen: Mit dem EoL von Exchange 2016 und 2019 am 14.10.2025 gibt es keinen legalen Stillstand mehr. Wer nicht auf SE umzieht, steht entweder im ESU-Programm (teuer, zeitlich begrenzt) oder faehrt 100 Prozent Cloud. Exchange SE ist damit nicht mehr 'eine Option unter vielen', sondern die einzige wirtschaftlich vertretbare On-Prem-Option, die Microsoft anbietet. Die Alternative heisst Exchange Online – und damit Tenant in irischen oder US-verwalteten Rechenzentren.
|
HINWEIS: Lizenz-Realitaet statt Wunschdenken Exchange SE braucht aktive Software Assurance – oder M365 E3/E5 fuer alle Nutzer. CAL-Preise per 01.07.2025: Core CAL +15%, Enterprise CAL +20%, Server +10%. Wenn SA ausfaellt, darfst du rechtlich nur noch Exchange 2019 nutzen – das ist seit Oktober 2025 tot. Kurz: Subscription-Modell ist keine Kuer, sondern Pflichtuebung. Budget-Planung: OPEX statt CAPEX. |
|---|
Was sind Chancen? Was sind Risiken?
Chancen
Planungssicherheit ist die grosse Story. Zehn Jahre Commitment sind im IT-Alltag praktisch eine Ewigkeit – wer heute ein Exchange-SE-Deployment baut, hat real zwei volle Hardware-Refresh-Zyklen freie Bahn. Fuer Banken und Versicherungen, die ohnehin alles in 7-10-Jahres-Abschreibungsfenstern denken, ist das ein sauberes Match. Die typische Diskussion 'Wir koennen doch nicht fuer drei Jahre investieren' ist damit vom Tisch.
Zweite Chance: Das Sovereignty-Argument schlaegt im Ausschreibungs-Endgame richtig ein. Wenn im Lastenheft 'Datenverarbeitung ausschliesslich in eigenen Rechenzentren unter europaeischer Rechtsordnung' steht – und das steht immer haeufiger drin – ist EXO raus, und SE ist die Antwort. Die bisherige Gegenrede ('das laeuft doch bald aus') funktioniert nicht mehr. Microsoft hat selbst den Pfahl in den Boden gerammt.
Drittens: Technische Konsolidierung. Mit dem Zwang zur Single-Version ab CU2 entfaellt der ganze Wust aus 2013-/2016-/2019-Koexistenz-Logik, alten Proxies, doppelten Routen und historisch gewachsenen Message-Hygiene-Loesungen. Wer das jetzt als Chance fuer eine ehrliche Inventur nutzt, kommt am Ende mit einer deutlich kleineren, sauberer dokumentierten Mail-Infrastruktur raus. Nebenbei wird Server Core zum neuen Default – weniger Angriffsflaeche, weniger Patches, weniger Reboots.
Viertens, etwas unsichtbar: Exchange SE bleibt Identitaets-Anker fuer viele Workflows. Raumpostfaecher, geteilte Postfaecher, interne Verteiler, Public Folders – all die hundert Kleinigkeiten, die in einer reinen EXO-Migration gerne als 'machen wir spaeter' weggeschoben werden und dann nie jemand anfasst. SE laesst diese Struktur intakt, ohne dass du einen Technologie-Bruch erzwingst.
Risiken
Microsofts 'through at least 2035' ist keine vertragliche Garantie, sondern ein Blog-Post. Juristisch traegt dich das nur so weit wie Microsofts Modern Lifecycle Policy – und die erlaubt 12 bis 36 Monate Vorwarnzeit vor einem Ende. Sprich: Selbst im pessimistischen Szenario hast du eine lange Reissleine, aber eben keine Garantie bis zum letzten Tag. Wer dem Vorstand 2035 als Zahl in den Projektplan schreibt, sollte 'mindestens' davorsetzen und eine jaehrliche Review-Klausel einziehen.
Naechstes Risiko: Security-Hardening wird nicht mehr verhandelt, sondern erzwungen. Microsoft hat bereits angekuendigt, dass Hardening-Schritte zur Voraussetzung fuer CU-Installationen werden. Wer seine Exchange-Landschaft bisher mit 'laeuft ja' verwaltet hat, wird die naechsten 18 Monate mit gestressten Admins und neuen Ticket-Wellen verbringen. Extended Protection, Kerberos statt NTLM, AuthCert-Rotation, REST-Admin-API – alles Mini-Projekte, die sich addieren.
Das dritte, oft unterschaetzte Risiko ist wirtschaftlich. CAL-Preiserhoehungen um 15-20 Prozent plus erzwungene SA plus Stromkosten plus Admin-Personal – das Ding ist nicht mehr die guenstige On-Prem-Variante, die es mal war. Wer die TCO nicht ehrlich rechnet, stellt am Ende fest, dass EXO in bestimmten Groessenordnungen schlicht billiger ist. Exchange SE ist eine Compliance-Entscheidung, keine Cost-Entscheidung. Wenn du sie als Cost-Entscheidung begruendest, verlierst du.
Viertes Risiko: Fachkraefte. Der Pool an Exchange-Admins, die wirklich noch HA/DAG, Database Availability Groups, Transport-Regeln und Hybrid-Konfigurationen koennen, schrumpft. Microsofts Marketing hat in den letzten acht Jahren so konsequent 'Cloud first' gepredigt, dass eine ganze Generation von Admins Exchange On-Prem nie angefasst hat. Wer heute SE macht, muss Personal-Strategie mitdenken – Consulting-Partner wie boddenberg.de werden verstaerkt wieder gebraucht, aber Inhouse-Wissen lohnt sich ebenfalls.
Abbildung 2: Entscheidungsmatrix aus Compliance-Sicht – EXO vs. Hybrid vs. Exchange SE On-Prem.
|
WARNUNG: Exchange 2013 im Keller? Setup-Abbruch garantiert. Wenn irgendwo im Forest noch ein 2013er Server steht, bricht das SE-Setup hart ab. Nicht theoretisch, sondern praktisch. Wir haben das in 2025 in drei Projekten erlebt. Klassiker: Alter Edge Transport, den seit Jahren niemand mehr gesehen hat, aber noch im AD steht. Praxis: Vor dem SE-Rollout zwingend eine vollstaendige Exchange-Topologie-Inventur – inkl. Topology-DC-Objekten. |
|---|
Praxisbeispiel aus dem 2025er Projektjahr: Ein mittelstaendischer Maschinenbauer in NRW, gut 1.500 Mailboxen, wollte 'mal eben' von Exchange 2016 auf SE upgraden. Der Plan war in der PowerPoint sauber – in der Realitaet gab es einen vergessenen Exchange 2013 Edge Transport im DMZ-Netz, der seit 2019 nicht mehr im Ticketsystem aufgetaucht war. Folge: Setup-Abbruch, fuenf Tage Krisenmeeting, am Ende musste der 2013er durch einen temporaeren 2019er ersetzt werden, bevor das SE-Upgrade lief. Wert dieser Anekdote: Gib dir selbst mindestens zwei Wochen Inventur vor dem Go. Kein Projektplan uebersteht drei Exchange-Generationen ohne Ueberraschung.
Was muessen wir jetzt schon vorbereiten?
Wenn du Exchange SE als Sovereignty-Anker bis 2035 ernst meinst, startet die Arbeit nicht 2027 – sie startet jetzt. Die naechsten zwoelf bis achtzehn Monate entscheiden, ob du CU2 sauber nimmst oder in einem Rollback-Drama endest. Mein Pflichtprogramm:
1. Topologie-Inventur und Exchange-2013-Ausrottung. Jeder Forest, jede DMZ, jeder vergessene Backup-Server. Jedes 2013er-Objekt im AD, das irgendwo ein 'Exchange Server'-Attribut traegt. Tools wie Get-ExchangeServer, Exchange Health Checker und ein manueller Walk durch die AD-Organisationseinheit CN=Microsoft Exchange. Alles dokumentieren, alles abloesen oder stilllegen.
2. Lizenz-Audit. Wie viele Server, wie viele CALs, welche SA-Laufzeiten, wo sitzt die SA im Enterprise Agreement, wann faellt die naechste Verhandlung? Wenn SA auslaeuft, darf SE nicht weiterbetrieben werden – das ist das scharfe Ende der Subscription-Logik. Kombiniere das mit der CAL-Preiserhoehung und pack einen echten TCO-Vergleich gegen EXO auf den Tisch. Nicht weil du migrieren sollst, sondern weil der Vorstand fragen wird.
3. Plattform-Prep. Windows Server 2022 oder 2025 ist Zielplattform – Server Core empfohlen. .NET 4.8.1 ausrollen, DCs mit November-2025-KB patchen (sonst Schema-Probleme beim Windows-Server-2025-Schema-Master). Wer heute noch auf 2019 als Host-OS sitzt, hat Rest-Support bis 2029 – aber das naechste Exchange-SE-CU wird Windows Server 2019 irgendwann nicht mehr lieben. Reboot-Fenster mit den Fachbereichen jetzt planen.
4. Security-Hardening auf Projektplan. Extended Protection pruefen, Kerberos forcieren, AuthCert-Monitoring etablieren (MonitorExchangeAuthCertificate), Export-ExchangeCertificate durch Export-PfxCertificate-Workflows ersetzen, TLS-Profile auditieren. Wer das fuer CU2 nicht fertig hat, sitzt im Sommer 2026 auf Installationsfehlern statt im Biergarten.
5. Betriebsmodell neu denken. REST-Admin-API kommt, Remote-PowerShell verschwindet. Automatisierung und Scripting sollten auf dem neuen API-Modell basieren – nicht erst, wenn das alte abgeschaltet ist. Ops-Runbooks, Monitoring-Hooks, Ticketsystem-Integrationen alle durchgehen.
6. Kommunikation nach innen. Compliance, Recht, Datenschutz, CISO – alle wollen die Sovereignty-Geschichte erzaehlt bekommen. Stell dir eine zweiseitige Briefing-Note zu Exchange SE und digitaler Souveraenitaet zusammen, inklusive Microsoft-Zitat und Lifecycle-Erklaerung. Das spart dir in den naechsten drei Jahren ungefaehr 20 'Warum-wir-nicht-in-die-Cloud-gehen'-Meetings.
Abbildung 3: Abhaengigkeitskette fuer die technische Vorbereitung bis CU2 (Mitte 2026).
|
TIPP: Sprachregelung fuer den Vorstand Nicht: 'Wir bleiben auf altem Exchange, weil Cloud zu teuer ist.' Sondern: 'Wir nutzen Exchange Subscription Edition als On-Prem-Souveraenitaets-Anker – Microsoft garantiert bis mindestens 2035 Support.' Wirkung: Aus einer Defensiv-Entscheidung wird eine strategische Positionierung. Nebeneffekt: Im naechsten DSGVO-/NIS2-/DORA-Audit hast du die Antwort auf 'Was macht ihr mit euren Mails?' fix und fertig. |
|---|
Zusammengefasst: Exchange SE ist kein Retro-Projekt und kein Cloud-Verweigerer-Statement. Es ist die planbare On-Prem-Saeule fuer Unternehmen, die Datenhoheit nicht als Slogan, sondern als regulatorische Pflicht verstehen. Die naechsten zwoelf Monate entscheiden, ob du das Ding als strategisches Asset positionierst – oder ob du am Ende hektisch migrierst, weil dir die Compliance-Abteilung auf den Tisch haut. Der Unterschied ist Vorbereitung, nicht Glueck.
Quellen
https://winbuzzer.com/2026/03/25/microsoft-exchange-server-se-multi-version-support-ended-xcxwbn/
https://techcommunity.microsoft.com/blog/exchange/exchange-server-subscription-edition-se-is-now-available/4424924
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/supportability-matrix
https://techcommunity.microsoft.com/blog/exchange/released-february-2026-exchange-server-security-updates/4494076
https://techcommunity.microsoft.com/blog/exchange/announcing-exchange-2016–2019-extended-security-update-program/4433495