Leistungsstarker IT-Partner für Geschäftskunden seit 1989.
Mon - Fri 08:00-18:00 +49 711 727 2220 Stuttgart

Sophos SG UTM EOL: Migration und Vergleich moderner Firewalls

31. März 2026

Das Ende des Supports fĂĽr alle Sophos SG UTM-Firewalls

Am 30. Juni 2026 endet der Support fĂĽr die Sophos SG UTM Firewall. FĂĽr Unternehmen in Stuttgart und ganz Deutschland bedeutet dieses End-of-Life (EOL) eine wichtige Entscheidung zu treffen. Welche Firewall-Lösung bietet nicht nur modernen Schutz, sondern optimiert die IT-Infrastruktur nachhaltig fĂĽr eine zukunftsfähige IT-Sicherheitsstrategie?

Sophos SG UTM End-of-Life

00 Tage
00 Stunden
00 Minuten
00 Sekunden

Mit der zunehmenden Verbreitung hybrider Arbeitsmodelle, der Nutzung von Managed Services wie Microsoft 365 und wachsenden Cyberbedrohungen durch Ransomware wird die Wahl einer neuen Next-Generation-Firewall (NGFW) zur strategischen SchlĂĽsselentscheidung. Der Umstieg bietet jedoch auch die Chance, Sicherheitskonzepte wie Netzwerksegmentierung grundlegend zu modernisieren und langfristig zukunftssicher aufzustellen – unsere Experten beraten Sie gerne!

Der Praxis-Vergleich: Next-Generation-Firewalls

Die Sophos SG UTM war lange eine feste Größe in deutschen KMUs, doch jetzt gilt es, auf leistungsstarke Alternativen zu setzen. Aus diesem Grund haben unsere IT-Experten von RAUSYS haben in den letzten drei Jahren die fĂĽhrenden NGFW-Lösungen intensiv in der Praxis getestet.

Von proaktiven Schutz vor Zero-Day-Exploits ĂĽber SD-WAN und QUIC-Inspektion bis hin zu ZTNA und TLS 1.3: Moderne Firewalls setzen neue MaĂźstäbe. Gleichzeitig spielen dabei wirtschaftliche Aspekte wie Lizenzmodelle und Hardwarekosten eine zentrale Rolle bei der Auswahl.

Fortinet mit FortiGate

Die Stärken von FortiGate

  • Einfache Bedienung: Wegen des einheitlichen FortiOS läuft auf FortiGate die Fortinet Security Fabric, was die Bedienung vereinheitlicht und die Effizienz der Nutzung somit erhöht.
  • Aktuelle Bedrohungsintelligenz: Durch einen KI-gestĂĽtzten Security-Dienst (FortiGuard) und die weltweite Vernetzung lernt das System schnell von neuartigen Cyberangriffen.
  • Leistungsfähig: Dank speziell entwickelter ASIC-Chips und Security Processing Units bietet FortiGate einen hohen Datendurchsatz, selbst bei hohem Aufkommen von verschlĂĽsseltem Datenverkehr.

Herausforderungen von FortiGate

  • Lizenzierung: Bei High-Availability-Clustern (HA) mĂĽssen bei einem Active/Passive-Setup beide Firewalls voll lizenziert werden.
  • Fehlende AuĂźenstellen-Hardware: Einfache „Plug & Play“-Appliances zur kosteneffizienten Anbindung kleiner Filialen oder Homeoffices fehlen. Stattdessen muss fĂĽr jeden Standort eine weitere FortiGate-Firewall angeschafft werden.
  • Hotpatching: Die Behebung von Schwachstellen erfordert ein komplettes Firmware-Upgrade wodurch ein Systemneustart nötig wird.
  • Administrativer Aufwand: Da sich FortiOS als sehr komplex im KMU-Kontext erweist, bringt dies zwangsläufig einen höheren administrativen Aufwand mit sich.

Sophos im Vergleich zu FortiGate

Bei einem HA-Cluster erfordert Sophos nur die vollständige Lizenzierung einer Firewall, wodurch eine Doppellizenzierung fĂĽr das Backup-Gerät entfällt. Zudem schlieĂźt Sophos kritische SicherheitslĂĽcken durch automatische Hotfixes im laufenden Betrieb ohne Systemneustart oder Firmware-Upgrade. Nicht zuletzt lassen sich bei einer Migration von der SG UTM bestehende RED-Geräte an der neuen XGS problemlos weiterbetreiben.

WatchGuard

Die Stärken von WatchGuard

  • Transparente Lizenzierung: Mit der Total Security Suite bietet WatchGuard ein All-Inclusive-Paket, was KMUs Zusatzkosten fĂĽr Einzelmodule erspart und gleichzeitig die Budgetplanung erleichtert.
  • Eigene Multi-Faktor-Authentifizierung: WatchGuard bietet eine eigene Multi-Faktor-Authentifizierung, die nativ in das WatchGuard-Ă–kosystem integriert ist.
  • Einfache Basisverwaltung: Standard-Setups in kleineren Umgebungen werden durch Vorkonfigurationen und gefĂĽhrte Setup-Assistenten in der GUI vereinfacht.

Herausforderungen von WatchGuard

  • Verwaltbarkeit bei höherer Komplexität: Bei tiefergehenden Netzwerkkonfigurationen und komplexen Routinen ist jedoch ein Wechsel auf den WatchGuard System Manager erforderlich, was zu einer fragmentierten Verwaltung und erhöhtem administrativen Aufwand fĂĽhrt.
  • Limitierte lokale Protokollierung: Log-Einträge bei normaler Netzwerklast werden oft innerhalb von Stunden ĂĽberschrieben, was die historische Fehleranalyse direkt auf der Firewall erschwert.
  • Cloud-abhängige Endpoint-Integration: Die VerknĂĽpfung von Firewall und Endgerät basiert bei WatchGuard auf cloudseitiger Datenkorrelation. Da direkte Kommunikationsschnittstellen im internen Netzwerk fehlen, ist die Lösung von der Erreichbarkeit und Latenz der Cloud-Infrastruktur abhängig.

Sophos im Vergleich zu WatchGuard

Die Verwaltung der Sophos XGS erfolgt einheitlich über die Plattform Sophos Central. Durch den nativen Security Heartbeat kommunizieren Endgeräte außerdem direkt mit der Firewall. Zudem bietet die XGS-Serie ein detailliertes Reporting für historische Fehleranalysen direkt auf dem Gerät.

SonicWall

Die Stärken von SonicWall

  • Integriertes SD-WAN: SonicOS bietet intelligentes, anwendungsbasiertes Routing direkt in der Basisversion, ohne benötigte Zusatzlizenzen.
  • Hohe Portdichte: Die Desktop-Modelle (TZ-Serie) bieten viele Schnittstellen, teils mit PoE, was in kleinen AuĂźenstellen zusätzliche Switches spart.
  • Integration: Im Transparent-Modus lässt sich die Firewall ohne aufwendige Anpassung an bestehende IP- und Routing-Strukturen in das Netzwerk einfĂĽgen.

Herausforderungen von SonicWall

  • Logging: Es gibt kein zentrales Logging, fĂĽr Logs, die älter als 15 Minuten sind, wird ein externer Syslog-Server benötigt.
  • Lizenzierung: Bei steigenden Sicherheitsanforderungen steigt zudem die Total Cost of Ownership schnell in die Höhe durch fragmentierte Lizenz-Tiers und notwendige Add-ons.
  • Web-Filtering: Das Web-Filtering erweist sich als aufwendig. Durch verschachtelte, objektorientierte MenĂĽfĂĽhrungen wird das Einrichten des Whitelistings dabei komplex. 
  • Fragmentiertes Management: Die Verwaltung der Firewall ist aufgeteilt zwischen der lokalen Firewall-GUI und dem cloudbasierten Management-Portal, was flĂĽssige Workflows stört.
  • Endpoint-Strategie: SonicWall bietet keine native Synchronisation zwischen Firewall und Endgerät.

Sophos XGS: Der logische und stärkste Nachfolger

Trotz kleiner Mängel hat sich die Sophos XGS in unseren Tests als die beste Lösung für deutschen KMU-Markt herauskristallisiert:

Was noch verbessert werden muss

  • Die GUI ist im Vergleich zur alten UTM anfangs gewöhnungsbedĂĽrftig, da viele Funktionen in KontextmenĂĽs gewandert sind. In der Praxis ist das jedoch reine Anpassungssache.
  • Microsoft Always-On-VPN via RRAS ist aktuell noch nicht nativ verfĂĽgbar, soll aber mit kommenden Firmwares nachgereicht werden. Individuelle Lösungswege fĂĽr stabile Geräte-Tunnel haben wir auf Anfrage parat.

Warum die XGS trotzdem der klare Testsieger ist

  • Neben hervorragender Application Control bietet die XGS natives Zero Trust Network Access (ZTNA). Statt pauschal Netzwerkzugang zu gewähren, wird der Zugriff auf spezifische Anwendungen nach dem Prinzip „Never trust, always verify“ geprĂĽft.
  • Die Single-Sign-On Authentifizierung (SSO) fĂĽr SSL-VPN via Microsoft Entra ID ist voll integriert. Das ermöglicht somit sichere Mechanismen via FIDO-Passkeys und risikobasierte Evaluierung zur einfachen Anmeldung.
  • Vorhandene Sophos RED-Devices aus der UTM-Zeit können an der neuen XGS einfach weiterbetrieben werden.
  • Die XGS-Serie bietet Enterprise-Sicherheitsfunktionen (wie TLS 1.3 Inspection) zu transparenten und planbaren Kosten.
  • Die Konfigurationslogik ist zwar modernisiert, aber Administratoren, die bereits die Sophos SG UTM genutzt haben, werden sich in der XGS-Oberfläche schnell zu Hause fĂĽhlen.
  • Hinweis: Leichte Abstriche bei der integrierten E-Mail-Protection sind im heutigen Zeitalter von Cloud-Diensten wie Microsoft 365 zu vernachlässigen.

Migration Sophos UTM zur Sophos XGS

Als zertifizierter Sophos Gold-Partner in der Region Stuttgart unterstĂĽtzen wir Ihr Unternehmen nicht nur bei der technischen Migration, sondern schulen Ihr Team im Umgang mit der neuen XGS-Architektur.

Wir kopieren nicht einfach blind Ihr altes UTM-Regelwerk. Durch unsere Erfahrung aus zahlreichen Firewall-Umstellungen stellen wir sicher, dass Ihre neue XGS aktuelle Best-Practices nutzt. Hierfür haben wir ein eigenes XGS-Tanker-Skript entwickelt, das es außerdem möglich macht, mehrere Firewalls reproduzierbar und skalierbar auszurollen. (Auszug Open Source auf GitHub)

Unser XGS Tanker Skript in Aktion: Pre-Configuration via REST API fĂĽr einen reproduzierbaren, sicheren Rollout.

Unsere Leistungen fĂĽr Ihre reibungslose Migration:

  • Sizing & Beschaffung: Bedarfsanalyse, Sizing der XGS-Hardware und transparente Lizenzberatung.
  • Architektur-Planung: Konzeption von externen Standortanbindungen und High-Availability-Clustern (HA).
  • Migrations-Audit: Migration der aktuellen Sophos UTM oder Evaluation der XGS.
  • Ganzheitliche Betrachtung: IT-Security und Implementierung eines neuen Konzepts fĂĽr eine zukunftssichere Architektur.
  • Modernisierung: Implementierung einer sauberen Netzwerksegmentierung und Integration von Synchronized Security.
  • Spezial-Deployments: Umsetzung von Zero-Touch-Deployments und komplexen AirGapped-Bereitstellungsszenarien.
  • Managed Services: Service, Wartung, Backup-Management und proaktives Lifecycle- & Firmware-Patch-Management nach der Migration.

Das EOL der Sophos SG UTM ist am 30. Juni 2026. Warten Sie nicht bis zur letzten Minute, wenn Hardware knapp und Dienstleister ausgebucht sind.

Schützen Sie Ihre IT-Infrastruktur zuverlässig und planen Sie Ihre Migration frühzeitig!

Kontakt aufnehmen

FAQ zum Sophos SG UTM End-of-Life und zur Migration

Was bedeutet das End-of-Life (EOL) der Sophos SG UTM konkret?

+
Ab dem 30. Juni 2026 leistet Sophos keinen offiziellen Support mehr für die Hard- und Software der SG UTM-Serie. Für Ihr Unternehmen bedeutet das: Es werden keine Sicherheits-Patches oder Signatur-Updates für neu entdeckte Schwachstellen bereitgestellt. Da das EOL Datum unmittelbar bevorsteht, besteht akuter Handlungsbedarf.

Kann ich meine Sophos SG UTM nach dem EOL weiterbetreiben?

+
Technisch ist ein Weiterbetrieb möglich, aus IT-Sicherheits- und Compliance-Sicht ist davon jedoch dringend abzuraten. Ohne aktuelle Security-Patches wird Ihre Firewall zu einem leichten Ziel für Ransomware und Zero-Day-Exploits. Zudem riskieren Sie weitreichende rechtliche Konsequenzen wegen Verstößen gegen die DSGVO und die neuen NIS2-Richtlinien.

Was ist die beste Firewall-Alternative zur Sophos SG UTM?

+
Nach unseren Praxis-Tests hat sich die Sophos XGS-Serie als stärkster und logischer Nachfolger für den deutschen KMU-Markt etabliert. Die moderne Xstream-Architektur der XGS bietet die nötige Performance, um verschlüsselten Datenverkehr (TLS 1.3) zu prüfen. Zudem schließt das Betriebssystem Sicherheitslücken durch automatische Hotfixes im laufenden Betrieb.

Können Sophos RED-Geräte bei Migration zur XGS behalten werden?

+
Ja. Bei einer Migration innerhalb des Sophos-Ökosystems können vorhandene Sophos RED- und SD-RED-Modelle aus Ihrer aktuellen UTM-Infrastruktur in die neue Sophos XGS migriert werden. Das schützt bisherige Hardware-Investitionen.

Können meine alten UTM-Firewall-Regeln auf die neue XGS kopiert werden?

+
Nein. Eine Migration bietet einen guten Zeitpunkt, um das Regelwerk nach aktuellen Best-Practices neu aufzubauen. Wir bei RAUSYS nutzen dafĂĽr ein eigen entwickeltes XGS-Tanker-Skript, mit dem wir sicher und automatisiert die neue Hardware ausrollen.

Wie lange dauert die Firewall-Migration von der SG UTM auf die XGS?

+
Die Migrationsdauer ist stark abhängig von Ihrer Unternehmensgröße. In der Regel dauert eine Migration von SG UTM auf XGS wenige Tage.

Kann der SSL VPN mit Microsoft 365-Anmeldung angebunden werden?

+
Ja, absolut. Die Anmeldung am SSL-VPN unterstützt vollständig Single-Sign-On (SSO) über Microsoft Entra ID. Dadurch profitieren Sie direkt von modernsten Sicherheitsstandards wie FIDO-Passkeys und einer risikobasierten Evaluierung bei der Anmeldung.

Ist es möglich, den Zugriff auf interne/sensible Ressourcen zu sperren, wenn Intercept X eine Gefahr entdeckt?

+
Ja, dank Synchronized Security. Wenn Intercept X eine Bedrohung auf einem Endgerät erkennt, teilt es diesen Sicherheitsstatus in Echtzeit mit der Firewall. Das infizierte Gerät wird dadurch vollautomatisch isoliert und der Zugriff auf sensible Unternehmensdaten sofort blockiert, bis die Gefahr gebannt ist.

Was macht die Firewall zu einer "NextGen"/"Next Generation"-Firewall?

+
Die umfassende und intelligente Kontrolle des Datenverkehrs. Eine NextGen-Firewall geht weit über Standard-Schutz hinaus. Die XGS bietet Deep Packet Inspection (DPI), Cloud Sandboxing und risikobasierte Synchronized Security. Zudem unterstützt sie moderne Encryption-Algorithmen inklusive TLS 1.3 Decryption zur Prüfung von verschlüsseltem Traffic und verfügt über leistungsstarkes SD-WAN für ein optimiertes Routing.

Welche Lizenz ist die Richtige fĂĽr unser Unternehmen?

+
Das hängt von Ihren individuellen Anforderungen ab. Für die meisten Unternehmen ist das Xstream Protection-Paket der ideale und empfohlene Standard. Ein großer Vorteil: Wenn Sie aktuell von einem Altgerät auf die neue XGS-Serie wechseln, bietet Sophos in der Regel sehr attraktive Lizenzmöglichkeiten für das erste Jahr.

Wir freuen uns auf Ihre Anfrage

KONTAKTIEREN SIE UNS!

    Ich bin damit einverstanden, dass die Rau Systemberatung GmbH die von mir angegebenen personenbezogenen Daten zur Kundenbetreuung und Kontaktaufnahme verarbeitet und nutzt.Weitere Informationen und Details zum Widerruf und zur Verarbeitung meiner personenbezogenen Daten finde ich in der Datenschutzerklärung.