Nach fast zwei Jahrzehnten im Einsatz hat Sophos die UTM-Produktlinie endgültig abgekündigt. Für tausende Unternehmen bedeutet das: Die bewährte Firewall muss ersetzt werden. Doch die Migration ist komplexer als gedacht.
Die EOL-Timeline im Überblick
Astaro gegründet – Deutsches Security-Startup entwickelt die Astaro Security Gateway
Übernahme durch Sophos – Astaro wird Teil von Sophos, Produkt wird zu "Sophos UTM"
Sophos XG Firewall – Neue Plattform wird als Nachfolger positioniert
End-of-Sale angekündigt – Keine neuen UTM-Lizenzen mehr verfügbar
End-of-Life – Support und Sicherheitsupdates eingestellt
Warum die Migration so schwierig ist
Die Sophos UTM war mehr als eine Firewall – sie war ein All-in-One Security Gateway mit einzigartigen Features. Viele dieser Funktionen lassen sich nicht 1:1 auf andere Systeme übertragen.
RED-Geräte
Die Remote Ethernet Devices (RED) für Außenstellen funktionieren nur mit Sophos-Produkten. Kein anderer Hersteller unterstützt sie. Sie müssen durch VPN-Appliances ersetzt werden.
E-Mail Protection
Der integrierte Mail-Proxy mit Quarantäne, DLP und Verschlüsselung war ein Alleinstellungsmerkmal. Diese Funktion muss durch separate Lösungen ersetzt werden.
Web Application Firewall
Die WAF-Konfiguration mit Reverse Proxy ist komplex und muss komplett neu aufgebaut werden.
Die Alternativen im Vergleich
| Lösung | Typ | Migration | TCO |
|---|---|---|---|
| Sophos Firewall (XGS) | Kommerziell | Mittel | Hoch |
| OPNsense | Open Source | Mittel | Niedrig |
| pfSense | Open Source | Mittel | Niedrig |
| Fortinet FortiGate | Kommerziell | Komplex | Mittel |
Option 1: Sophos Firewall (XGS-Serie)
Der offizielle Nachfolger von Sophos. Die Migration ist am einfachsten, wenn man im Sophos-Ökosystem bleiben möchte.
- Kein 1:1 Migrationstool – Die Konfiguration muss manuell übertragen werden
- RED-Geräte funktionieren – Nach Firmware-Update auch mit XGS kompatibel
- Lizenzmodell geändert – Deutlich teurer als UTM-Lizenzen
- Andere Logik – XGS verwendet ein komplett anderes Regelwerk-Konzept
Preisbeispiel Sophos XGS
Eine XGS 2100 mit Standard Protection Bundle kostet ca. 2.500€/Jahr an Lizenzkosten – zusätzlich zur Hardware (ca. 1.800€). Im Vergleich: Eine UTM 220 kostete etwa 800€/Jahr.
Option 2: OPNsense – Die Open-Source-Alternative
OPNsense ist eine BSD-basierte Firewall-Distribution aus den Niederlanden. Sie bietet vergleichbare Funktionen wie die UTM – ohne Lizenzkosten.
- Keine Lizenzkosten – Auch für kommerzielle Nutzung kostenlos
- Aktive Community – Wöchentliche Updates, schnelle Sicherheitspatches
- Plugin-System – HAProxy, Sensei, Zenarmor für erweiterte Funktionen
- Europäischer Hersteller – Deciso B.V. aus den Niederlanden
- Hardware-Appliances verfügbar – Oder auf eigener Hardware installierbar
Feature-Vergleich UTM vs. OPNsense
| Feature | Sophos UTM | OPNsense |
|---|---|---|
| Stateful Firewall | Ja | Ja |
| VPN (IPsec, OpenVPN, WireGuard) | Ja (kein WireGuard) | Ja |
| Web-Proxy mit SSL-Inspection | Ja | Ja |
| IDS/IPS | Ja (Snort) | Ja (Suricata) |
| Web Application Firewall | Ja | Ja (HAProxy) |
| E-Mail Protection | Ja | Nein |
| RED-Geräte | Ja | Nein |
| High Availability | Ja | Ja (CARP) |
Die größten Migrationsherausforderungen
1. RED-Geräte ersetzen
Sophos RED sind proprietär und funktionieren nur mit Sophos-Produkten. Für OPNsense oder andere Firewalls müssen sie durch echte VPN-Appliances ersetzt werden:
- WireGuard-Router – z.B. GL.iNet Brume 2 (~80€)
- Mini-PC mit OPNsense – z.B. Protectli VP2420 (~300€)
- Managed Switch mit VPN – z.B. Ubiquiti EdgeRouter X (~60€)
2. E-Mail-Security neu aufbauen
Die integrierte E-Mail Protection der UTM muss durch separate Lösungen ersetzt werden:
- Cloud: Microsoft 365 Defender, Mimecast, Proofpoint
- On-Premise: Proxmox Mail Gateway (Open Source), MailCow
- Hybrid: Sophos Central Email (funktioniert ohne UTM)
3. VPN-Konfigurationen übertragen
Site-to-Site IPsec-Tunnel müssen auf beiden Seiten neu konfiguriert werden. Bei vielen Außenstellen kann das Wochen dauern. Tipp: Dokumentieren Sie vorher alle Parameter!
Kostenvergleich: 3-Jahres-TCO
| Position | Sophos XGS 2100 | OPNsense DEC850 |
|---|---|---|
| Hardware | 1.800 € | 1.200 € |
| Lizenz Jahr 1 | 2.500 € | 0 € |
| Lizenz Jahr 2 | 2.500 € | 0 € |
| Lizenz Jahr 3 | 2.500 € | 0 € |
| Support (optional) | inkl. | 900 € (Business) |
| Gesamt 3 Jahre | 9.300 € | 2.100 € |
Unsere Empfehlung
- Audit: Welche UTM-Features werden wirklich genutzt?
- Entscheidung: OPNsense für 80% der Fälle ausreichend
- E-Mail: Auslagern auf Cloud-Service oder separaten Mailserver
- RED: Durch WireGuard-Appliances ersetzen
- WAF: Nur migrieren wenn wirklich benötigt
- Testing: Parallelbetrieb für 2-4 Wochen
Fazit: Jetzt handeln!
Das Sophos UTM End-of-Life ist keine Überraschung – Sophos hat jahrelang gewarnt. Wer noch eine UTM im Einsatz hat, betreibt ein ungepatchtes System und gefährdet seine IT-Sicherheit.
Die gute Nachricht: Es gibt hervorragende Alternativen. OPNsense bietet vergleichbare Funktionen ohne Lizenzkosten. Sophos XGS ist der einfachste Weg für Sophos-Kunden. Und wer Enterprise-Features braucht, findet bei Fortinet oder Palo Alto passende Lösungen.
Unser Rat: Starten Sie die Migration jetzt. Ein strukturierter Wechsel dauert 4-8 Wochen. Ein Notfall-Wechsel nach einem Sicherheitsvorfall dauert länger – und kostet mehr.
UTM-Migration geplant?
Wir unterstützen Sie bei der Analyse, Planung und Durchführung Ihrer Firewall-Migration. Von der Bestandsaufnahme bis zum Go-Live.
Kostenlose Erstberatung