Inhalt in Kürze
- Die Sophos UTM 9 (ehemals SG UTM) erreicht am 30. Juni 2026 ihr End-of-Life – danach keine Security-Updates, keine neuen Lizenzen, kein Support mehr.
- Drei realistische Migrations-Pfade für Hamburger KMU: Sophos XGS, WatchGuard Firebox oder Open Source (OPNsense/pfSense). Jeder hat seine Stärken – die richtige Wahl hängt vom Betreuungsmodell ab.
- Kostenrahmen für 50 MA: 2.500–6.000 € Hardware, 1.200–3.500 € Jahreslizenz, 8–16 Stunden Migration. Alternativ: im Managed-Firewall-Festpreis integriert.
- Zeitplan: Entscheidung Q1 2026, Umsetzung Q2 2026. Wer bis Mai 2026 wartet, riskiert Lieferengpässe und ausgebuchte Dienstleister.
Wenn Sie in einem Hamburger Mittelstandsunternehmen für die IT verantwortlich sind und noch eine Sophos UTM 9 im Rack stehen haben, wird 2026 ungemütlich. Die End-of-Life-Entscheidung von Sophos ist keine sanfte Preiserhöhung, sondern ein harter Stichtag: Am 30. Juni 2026 endet der Support. Ab dem 1. Juli 2026 ist Ihre Firewall gegen neue Angriffsvektoren ungeschützt – und unter NIS2-Gesichtspunkten haltbar nur noch einen Schritt vom Audit-Befund entfernt.
Was Sophos genau beschlossen hat
Im Sophos Community-Blog zu Migration Paths ist der Fahrplan dokumentiert: End-of-Life am 30. Juni 2026 für alle UTM 9-Geräte und Lizenzen. Die letzten Rabatte für Umsteiger auf Sophos XGS laufen bis zu diesem Datum. Weitere Quellen wie Firewalls24 und RauSys bestätigen die Fristen und weisen auf die Lieferengpässe im Frühjahr 2026 hin.
Wir sehen bei Neukunden in Hamburg regelmäßig die Einstellung „Die läuft ja noch, wir migrieren nächstes Jahr". Das mag technisch stimmen. Es übersieht aber, dass eine Firewall ohne Security-Updates ab Tag 1 nach dem EoL potentiell angreifbar ist. Für Unternehmen unter NIS2-Pflicht ist das nicht mehr darstellbar.
Die drei realistischen Migrations-Pfade
Pfad 1: Sophos XGS (der konservative Weg)
Sophos bietet allen UTM-Kunden einen Migrationspfad auf die XGS-Serie – die aktuelle Next-Gen-Firewall-Hardware. Vorteile: Vertraute Sophos-Welt, Central-Management bleibt, viele Policies lassen sich automatisiert migrieren. Die XGS-Modelle für KMU (XGS 87, XGS 107, XGS 128) decken Firmen von 15 bis 250 Arbeitsplätzen ab, Preise zwischen 400 und 1.500 Euro für die Hardware plus Subscription. Die Xstream Protection-Bundles sind das Pendant zur alten FullGuard-Lizenz.
Für wen geeignet: Bestehende Sophos-Kunden mit komplexer Policy-Landschaft, die den Hersteller nicht wechseln wollen.
Pfad 2: WatchGuard Firebox oder Fortinet FortiGate
Wer beim Wechsel ohnehin den Hersteller neu evaluieren will, sollte WatchGuard und Fortinet in die engere Wahl nehmen. WatchGuard Firebox wird in der DACH-Region stark supportet, ist bei mittleren KMU preislich attraktiv und hat eine gute Web-UI. Fortinet FortiGate ist der Mengenführer, bietet im KMU-Segment (FortiGate 30G, 40F, 60F) Hardware ab ca. 400 Euro, hat aber höhere Lizenzfolgekosten. Beide haben starke SD-WAN-Features, falls Multi-Standort relevant wird.
Für wen geeignet: Unternehmen, die mit der Sophos-Welt unzufrieden sind, Multi-Site-Setups planen oder SD-WAN-Funktionen für verteilte Standorte brauchen.
Pfad 3: OPNsense oder pfSense
Die Open-Source-Option. OPNsense (FreeBSD-basiert, modernes Web-UI, wöchentliche Sicherheitsupdates) ist in Deutschland besonders beliebt. Keine Lizenzkosten – Sie zahlen nur Hardware und Betreuung. Das Enterprise-Feature-Set ist über Plugins (zenarmor, Suricata, Nginx-Proxy) erweiterbar. Der Haken: Sie brauchen jemanden, der die Config beherrscht und bei Angriffen eingreift. Der Vergleich OPNsense vs. pfSense von DATAZONE zeigt die Stärken der beiden Systeme.
Für wen geeignet: Unternehmen mit eigener IT-Kompetenz oder mit einem verlässlichen MSP-Partner, der Open-Source-Firewalls betreuen kann.
Der Vergleich im KMU-Szenario
| Kriterium | Sophos XGS | WatchGuard Firebox | Fortinet FortiGate | OPNsense |
|---|---|---|---|---|
| Hardware (50 MA) | 600–1.200 € | 600–1.100 € | 400–900 € | 200–500 € (Hardware frei) |
| Jahreslizenz | 400–900 € | 500–900 € | 600–1.100 € | 0 € |
| Deutscher Support | Sehr gut | Gut | Gut | Community / MSP |
| Einfache UI | Gut | Sehr gut | Komplex | Gut |
| SD-WAN | Ja | Ja | Stark | Über Plugin |
| Migration-Tools von UTM | Sehr gut | Manuell | Manuell | Manuell |
Wir haben in den letzten zwölf Monaten in Hamburg rund ein Dutzend UTM-Migrationen begleitet. Bei bestehenden Sophos-Kunden mit gutem Policy-Stand ist XGS der natürliche Schritt. Bei Firmen, die sowieso frustriert waren oder Multi-Standort planen, schauen wir zuerst WatchGuard an. OPNsense nehmen wir, wenn die Budgetsituation eng ist und wir das Gerät selbst managen.
Der Migrationsplan Schritt für Schritt
Aus unserer Praxis mit über 150 Mittelstandskunden haben wir einen sechs-Phasen-Plan destilliert, der bei sauberer Umsetzung zwischen 6 und 10 Wochen dauert:
- Woche 1 – Bestandsaufnahme. Aktuelle UTM-Policies dokumentieren, VPN-Tunnel, Port-Forwardings, Proxy-Regeln auslesen. Lizenzstatus prüfen. Externe Dienste identifizieren, die auf die Firewall zugreifen.
- Woche 2 – Zielarchitektur definieren. Herstellerwahl, Hardware-Modell, Lizenzpaket festlegen. SD-WAN- und VPN-Anforderungen klären. Ausfallsicherheit (Cluster) planen, falls relevant.
- Woche 3 – Bestellung. Hardware bestellen (4–12 Wochen Lieferzeit einplanen!). Lizenzen reservieren. Parallel: Backup der aktuellen UTM-Config anlegen.
- Woche 4–6 – Konfiguration im Labor. Neue Firewall offline aufbauen, Policies migrieren. Bei Sophos XGS mit Migrations-Tool (1:1-Policy-Import möglich), bei anderen Herstellern manuell. Testumgebung mit Traffic-Replay.
- Woche 7 – Cutover. Wartungsfenster außerhalb Geschäftszeiten. Parallel-Setup mit beiden Firewalls, schrittweiser Traffic-Switch. Überwachung der ersten 24 Stunden besonders eng.
- Woche 8 – Nachbetreuung. Logs auswerten, Policies feinjustieren, Mitarbeiter auf neue VPN-Clients umstellen, Dokumentation finalisieren. Alte UTM nach 14 Tagen abbauen.
Wenn Sie die Gelegenheit nutzen, lohnt sich ein Security-Audit vor dem Cutover. Viele alte UTM-Regeln sind über Jahre gewachsen und enthalten tote Ports, offene Ausgangsregeln, vergessene Freigaben. Eine Migration ist der beste Anlass, gleich sauber zu machen.
Was hagel IT Ihnen in Hamburg empfiehlt
Wir betreiben in unserem Managed-Firewall-Angebot alle vier genannten Hersteller parallel. Die Entscheidung, welchen Pfad wir Ihnen empfehlen, hängt von drei Fragen ab:
- Wie komplex sind Ihre bestehenden UTM-Policies? Wenn Sie 50+ Regeln, mehrere VPN-Tunnel und Web-Filter fein justiert haben, ist XGS der schnellste Migrations-Pfad.
- Haben Sie mehrere Standorte (Hamburg + Bremen + Hannover)? Dann wird SD-WAN relevant – Fortinet und WatchGuard sind hier stärker, OPNsense kann mithalten.
- Wer betreut die Firewall nach der Migration? Inhouse, hagel IT, oder ein Mix? Das bestimmt, ob ein Enterprise-Produkt oder Open Source besser passt.
Wir hatten die alte UTM seit 2017 im Einsatz. Als klar war, dass Sophos das Ding abkündigt, hatten wir erstmal Panik. hagel IT hat uns in zwei Terminen den Plan geklärt, im Februar haben wir migriert, seit März läuft die XGS ohne Probleme. Kein Drama.
Die strategische Frage hinter der Migration
Eine Firewall-Migration ist der richtige Moment, größere Fragen zu stellen. Wir sehen bei unseren Kunden im Raum Hamburg, Bremen, Kiel und Lübeck drei Themen, die parallel aufploppen:
- NIS2-Anforderungen an Netzwerk-Sicherheit. Eine veraltete Firewall ist ein direkter Befund im Audit. Ob Ihr Unternehmen überhaupt unter NIS2 fällt, klären Sie vorab in zwei Minuten mit unserem NIS2-Betroffenheits-Check. Mit der Migration lassen sich Access Control, Logging und Segmentierung gleich NIS2-konform aufsetzen.
- Remote-Access neu denken. Klassische VPN-Tunnel weichen zunehmend Zero-Trust-Ansätzen (SASE, ZTNA). Bei der Migration können Sie direkt auf Cloudflare Zero Trust, Zscaler oder Tailscale für Power-User umstellen.
- Managed statt selbst verwaltet. Viele IT-Leiter nutzen den Moment, die Firewall aus der eigenen Verantwortung zu geben. Im Managed-Firewall-Modell kümmert sich hagel IT um Firmware, Policies und Monitoring – Sie zahlen einen festen Monatsbetrag.
Der nächste Schritt
Wenn Sie noch eine UTM 9 im Einsatz haben und unsicher sind, welcher Migrations-Pfad für Ihr Unternehmen passt, machen wir den Check für Sie. Innerhalb von 30 Minuten klären wir Modell, Lizenzstatus und bekommen eine Richtung. Für Kunden in Hamburg und Umgebung läuft die Begleitung meist als Festpreisprojekt – inklusive Migration, Einbau und erste vier Wochen Hypercare. Danach übernimmt unser Managed-Firewall-Team den Regelbetrieb.
UTM-Migration rechtzeitig planen.
30 Minuten Erstgespräch. Kostenlos. Wir schauen uns Ihre aktuelle Firewall an und empfehlen den passenden Migrations-Pfad – ohne Vertriebsdruck.
Termin buchen →