7 Min.
Sophos UTM End-of-Life 30. Juni 2026: Der Migrations-Fahrplan für Hamburger Mittelständler

Sophos UTM End-of-Life 30. Juni 2026: Der Migrations-Fahrplan für Hamburger Mittelständler

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Die Sophos UTM 9 (ehemals SG UTM) erreicht am 30. Juni 2026 ihr End-of-Life – danach keine Security-Updates, keine neuen Lizenzen, kein Support mehr.
  • Drei realistische Migrations-Pfade für Hamburger KMU: Sophos XGS, WatchGuard Firebox oder Open Source (OPNsense/pfSense). Jeder hat seine Stärken – die richtige Wahl hängt vom Betreuungsmodell ab.
  • Kostenrahmen für 50 MA: 2.500–6.000 € Hardware, 1.200–3.500 € Jahreslizenz, 8–16 Stunden Migration. Alternativ: im Managed-Firewall-Festpreis integriert.
  • Zeitplan: Entscheidung Q1 2026, Umsetzung Q2 2026. Wer bis Mai 2026 wartet, riskiert Lieferengpässe und ausgebuchte Dienstleister.

Wenn Sie in einem Hamburger Mittelstandsunternehmen für die IT verantwortlich sind und noch eine Sophos UTM 9 im Rack stehen haben, wird 2026 ungemütlich. Die End-of-Life-Entscheidung von Sophos ist keine sanfte Preiserhöhung, sondern ein harter Stichtag: Am 30. Juni 2026 endet der Support. Ab dem 1. Juli 2026 ist Ihre Firewall gegen neue Angriffsvektoren ungeschützt – und unter NIS2-Gesichtspunkten haltbar nur noch einen Schritt vom Audit-Befund entfernt.

Was Sophos genau beschlossen hat

Im Sophos Community-Blog zu Migration Paths ist der Fahrplan dokumentiert: End-of-Life am 30. Juni 2026 für alle UTM 9-Geräte und Lizenzen. Die letzten Rabatte für Umsteiger auf Sophos XGS laufen bis zu diesem Datum. Weitere Quellen wie Firewalls24 und RauSys bestätigen die Fristen und weisen auf die Lieferengpässe im Frühjahr 2026 hin.

Warnung:

Wir sehen bei Neukunden in Hamburg regelmäßig die Einstellung „Die läuft ja noch, wir migrieren nächstes Jahr". Das mag technisch stimmen. Es übersieht aber, dass eine Firewall ohne Security-Updates ab Tag 1 nach dem EoL potentiell angreifbar ist. Für Unternehmen unter NIS2-Pflicht ist das nicht mehr darstellbar.

30.06.2026
End-of-Life Sophos UTM 9
4–12
Wochen Lieferzeit NGFW-Hardware
ca. 80
% NIS2-Audits mit Firewall-Lücke
8–16 h
typischer Migrations-Aufwand

Die drei realistischen Migrations-Pfade

Pfad 1: Sophos XGS (der konservative Weg)

Sophos bietet allen UTM-Kunden einen Migrationspfad auf die XGS-Serie – die aktuelle Next-Gen-Firewall-Hardware. Vorteile: Vertraute Sophos-Welt, Central-Management bleibt, viele Policies lassen sich automatisiert migrieren. Die XGS-Modelle für KMU (XGS 87, XGS 107, XGS 128) decken Firmen von 15 bis 250 Arbeitsplätzen ab, Preise zwischen 400 und 1.500 Euro für die Hardware plus Subscription. Die Xstream Protection-Bundles sind das Pendant zur alten FullGuard-Lizenz.

Für wen geeignet: Bestehende Sophos-Kunden mit komplexer Policy-Landschaft, die den Hersteller nicht wechseln wollen.

Pfad 2: WatchGuard Firebox oder Fortinet FortiGate

Wer beim Wechsel ohnehin den Hersteller neu evaluieren will, sollte WatchGuard und Fortinet in die engere Wahl nehmen. WatchGuard Firebox wird in der DACH-Region stark supportet, ist bei mittleren KMU preislich attraktiv und hat eine gute Web-UI. Fortinet FortiGate ist der Mengenführer, bietet im KMU-Segment (FortiGate 30G, 40F, 60F) Hardware ab ca. 400 Euro, hat aber höhere Lizenzfolgekosten. Beide haben starke SD-WAN-Features, falls Multi-Standort relevant wird.

Für wen geeignet: Unternehmen, die mit der Sophos-Welt unzufrieden sind, Multi-Site-Setups planen oder SD-WAN-Funktionen für verteilte Standorte brauchen.

Pfad 3: OPNsense oder pfSense

Die Open-Source-Option. OPNsense (FreeBSD-basiert, modernes Web-UI, wöchentliche Sicherheitsupdates) ist in Deutschland besonders beliebt. Keine Lizenzkosten – Sie zahlen nur Hardware und Betreuung. Das Enterprise-Feature-Set ist über Plugins (zenarmor, Suricata, Nginx-Proxy) erweiterbar. Der Haken: Sie brauchen jemanden, der die Config beherrscht und bei Angriffen eingreift. Der Vergleich OPNsense vs. pfSense von DATAZONE zeigt die Stärken der beiden Systeme.

Für wen geeignet: Unternehmen mit eigener IT-Kompetenz oder mit einem verlässlichen MSP-Partner, der Open-Source-Firewalls betreuen kann.

Der Vergleich im KMU-Szenario

Kriterium Sophos XGS WatchGuard Firebox Fortinet FortiGate OPNsense
Hardware (50 MA) 600–1.200 € 600–1.100 € 400–900 € 200–500 € (Hardware frei)
Jahreslizenz 400–900 € 500–900 € 600–1.100 € 0 €
Deutscher Support Sehr gut Gut Gut Community / MSP
Einfache UI Gut Sehr gut Komplex Gut
SD-WAN Ja Ja Stark Über Plugin
Migration-Tools von UTM Sehr gut Manuell Manuell Manuell

Wir haben in den letzten zwölf Monaten in Hamburg rund ein Dutzend UTM-Migrationen begleitet. Bei bestehenden Sophos-Kunden mit gutem Policy-Stand ist XGS der natürliche Schritt. Bei Firmen, die sowieso frustriert waren oder Multi-Standort planen, schauen wir zuerst WatchGuard an. OPNsense nehmen wir, wenn die Budgetsituation eng ist und wir das Gerät selbst managen.

Jens Hagel, Geschäftsführer hagel IT-Services GmbH Hamburg Jens HagelGeschäftsführer, hagel IT-Services GmbH

Der Migrationsplan Schritt für Schritt

Aus unserer Praxis mit über 150 Mittelstandskunden haben wir einen sechs-Phasen-Plan destilliert, der bei sauberer Umsetzung zwischen 6 und 10 Wochen dauert:

  1. Woche 1 – Bestandsaufnahme. Aktuelle UTM-Policies dokumentieren, VPN-Tunnel, Port-Forwardings, Proxy-Regeln auslesen. Lizenzstatus prüfen. Externe Dienste identifizieren, die auf die Firewall zugreifen.
  2. Woche 2 – Zielarchitektur definieren. Herstellerwahl, Hardware-Modell, Lizenzpaket festlegen. SD-WAN- und VPN-Anforderungen klären. Ausfallsicherheit (Cluster) planen, falls relevant.
  3. Woche 3 – Bestellung. Hardware bestellen (4–12 Wochen Lieferzeit einplanen!). Lizenzen reservieren. Parallel: Backup der aktuellen UTM-Config anlegen.
  4. Woche 4–6 – Konfiguration im Labor. Neue Firewall offline aufbauen, Policies migrieren. Bei Sophos XGS mit Migrations-Tool (1:1-Policy-Import möglich), bei anderen Herstellern manuell. Testumgebung mit Traffic-Replay.
  5. Woche 7 – Cutover. Wartungsfenster außerhalb Geschäftszeiten. Parallel-Setup mit beiden Firewalls, schrittweiser Traffic-Switch. Überwachung der ersten 24 Stunden besonders eng.
  6. Woche 8 – Nachbetreuung. Logs auswerten, Policies feinjustieren, Mitarbeiter auf neue VPN-Clients umstellen, Dokumentation finalisieren. Alte UTM nach 14 Tagen abbauen.
Tipp:

Wenn Sie die Gelegenheit nutzen, lohnt sich ein Security-Audit vor dem Cutover. Viele alte UTM-Regeln sind über Jahre gewachsen und enthalten tote Ports, offene Ausgangsregeln, vergessene Freigaben. Eine Migration ist der beste Anlass, gleich sauber zu machen.

Was hagel IT Ihnen in Hamburg empfiehlt

Wir betreiben in unserem Managed-Firewall-Angebot alle vier genannten Hersteller parallel. Die Entscheidung, welchen Pfad wir Ihnen empfehlen, hängt von drei Fragen ab:

  • Wie komplex sind Ihre bestehenden UTM-Policies? Wenn Sie 50+ Regeln, mehrere VPN-Tunnel und Web-Filter fein justiert haben, ist XGS der schnellste Migrations-Pfad.
  • Haben Sie mehrere Standorte (Hamburg + Bremen + Hannover)? Dann wird SD-WAN relevant – Fortinet und WatchGuard sind hier stärker, OPNsense kann mithalten.
  • Wer betreut die Firewall nach der Migration? Inhouse, hagel IT, oder ein Mix? Das bestimmt, ob ein Enterprise-Produkt oder Open Source besser passt.

Wir hatten die alte UTM seit 2017 im Einsatz. Als klar war, dass Sophos das Ding abkündigt, hatten wir erstmal Panik. hagel IT hat uns in zwei Terminen den Plan geklärt, im Februar haben wir migriert, seit März läuft die XGS ohne Probleme. Kein Drama.

Andreas Weber · Finanzleitung, Bauunternehmen, 150 Mitarbeiter

Die strategische Frage hinter der Migration

Eine Firewall-Migration ist der richtige Moment, größere Fragen zu stellen. Wir sehen bei unseren Kunden im Raum Hamburg, Bremen, Kiel und Lübeck drei Themen, die parallel aufploppen:

  1. NIS2-Anforderungen an Netzwerk-Sicherheit. Eine veraltete Firewall ist ein direkter Befund im Audit. Ob Ihr Unternehmen überhaupt unter NIS2 fällt, klären Sie vorab in zwei Minuten mit unserem NIS2-Betroffenheits-Check. Mit der Migration lassen sich Access Control, Logging und Segmentierung gleich NIS2-konform aufsetzen.
  2. Remote-Access neu denken. Klassische VPN-Tunnel weichen zunehmend Zero-Trust-Ansätzen (SASE, ZTNA). Bei der Migration können Sie direkt auf Cloudflare Zero Trust, Zscaler oder Tailscale für Power-User umstellen.
  3. Managed statt selbst verwaltet. Viele IT-Leiter nutzen den Moment, die Firewall aus der eigenen Verantwortung zu geben. Im Managed-Firewall-Modell kümmert sich hagel IT um Firmware, Policies und Monitoring – Sie zahlen einen festen Monatsbetrag.
Das Wichtigste: Der 30. Juni 2026 kommt. Wer bis April 2026 keine Entscheidung getroffen hat, riskiert Notfall-Migrationen unter Zeitdruck. Jetzt ist der beste Moment für eine strukturierte Planung – und die gute Nachricht: Es gibt drei verlässliche Pfade, jeder mit Stärken.

Der nächste Schritt

Wenn Sie noch eine UTM 9 im Einsatz haben und unsicher sind, welcher Migrations-Pfad für Ihr Unternehmen passt, machen wir den Check für Sie. Innerhalb von 30 Minuten klären wir Modell, Lizenzstatus und bekommen eine Richtung. Für Kunden in Hamburg und Umgebung läuft die Begleitung meist als Festpreisprojekt – inklusive Migration, Einbau und erste vier Wochen Hypercare. Danach übernimmt unser Managed-Firewall-Team den Regelbetrieb.

UTM-Migration rechtzeitig planen.

30 Minuten Erstgespräch. Kostenlos. Wir schauen uns Ihre aktuelle Firewall an und empfehlen den passenden Migrations-Pfad – ohne Vertriebsdruck.

Termin buchen →
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
IT-Sicherheit für Kleinunternehmen Hamburg: Schluss mit „Bastel-Lösungen“
Fallstudie · Software
IT-Sicherheit für Kleinunternehmen Hamburg: Schluss mit „Bastel-Lösungen“
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Sicherheit

Sicher — ohne dass Sie Experte sein müssen.

Verschlüsselung, Backup und Zwei-Faktor laufen im Hintergrund und werden monatlich geprüft. Fragt jemand nach — Versicherung, Kunde oder Behörde — haben Sie den Nachweis auf Knopfdruck.

Kjello · Sicherheits-Report
Geprüft & lückenlos dokumentiert
Sicherheits-Vertrauensanker im Portal: Audit-Trail lückenlos geprüft und Zugriffs-Delegation aktiv — beide grün bestätigt
Ergebnis
Nachweis auf Knopfdruck
Was Sie tun
Nichts
Was wir & die Automatik tun
Einrichten · überwachen · monatlich prüfen · nachweisen
Früher — Sicherheit auf Hoffnung
  • Hoffen, dass nichts passiert
  • Backup nie wirklich getestet
  • Kein Nachweis, wenn jemand fragt
  • Blindflug bei Verschlüsselung und Co.
Ein Risiko, das keiner sehen will

„Muss ich Security verstehen?“ — Nein. Sie müssen nichts einstellen und nichts überwachen. Das ist unser Job — Sie bekommen nur den grünen Haken.

Häufig gestellte Fragen

Sophos hat das End-of-Life für die UTM 9 (ehemals Sophos SG UTM) auf den 30. Juni 2026 gesetzt. Ab diesem Datum gibt es keine Security-Updates, keinen Support und keine Lizenzverlängerungen mehr. Bestehende Geräte laufen technisch weiter, sind aber aus IT-Sicherheits-Sicht nicht mehr vertretbar. Die letzte Frist für Migration-Incentives und UTM-Lizenz-Renewals mit Preisvorteilen läuft parallel zum 30. Juni 2026. Details im Sophos Community-Blog zu Migration Paths.

Sophos selbst bietet zwei Pfade an: Migration zur XGS-Serie (die aktuelle Next-Gen-Firewall-Hardware von Sophos) oder Umstieg auf Sophos Firewall als virtuelle Appliance. Für Kunden, die offen für einen Herstellerwechsel sind, kommen WatchGuard Firebox, Fortinet FortiGate, OPNsense oder pfSense in Frage. Die richtige Wahl hängt von Ihrer Netzwerkgröße, Ihrem Budget und bestehenden Abhängigkeiten ab – etwa ob Sie Sophos Central Management weiter nutzen wollen oder ob Sie Ihre Firewall entkoppeln möchten.

Bei einem mittelständischen Unternehmen mit 50 Mitarbeitenden in Hamburg liegen die Investitionskosten für eine moderne NGFW (Next-Generation-Firewall) bei etwa 2.500 bis 6.000 Euro für die Hardware, plus 1.200 bis 3.500 Euro Jahreslizenz je nach Subscription. Dazu kommen typischerweise 8 bis 16 Stunden Migrations-Aufwand. In unserem Managed-Firewall-Modell ist der Einbau plus erste zwölf Monate Betrieb, Monitoring und Firmware-Updates in einer monatlichen Rate enthalten. Damit werden die Kosten planbar – statt einer einmaligen Investition mit wiederkehrenden Updates.

Ja, für bestimmte Unternehmensgrößen ist das eine vernünftige Option. OPNsense und pfSense bieten Enterprise-Features ohne Lizenzkosten und werden von vielen MSPs in der DACH-Region professionell betreut. Der Haken: Sie brauchen jemanden, der die Konfiguration beherrscht, Updates verantwortet und bei Angriffen zur Stelle ist. Für KMU ohne eigene IT-Abteilung ist das eine Frage des Betreuungsmodells. Wir betreuen in Hamburg auch OPNsense-Umgebungen – transparent im Festpreis, mit denselben SLAs wie bei kommerziellen Produkten.

Drei Gründe. Erstens: Die Lieferzeiten für neue Firewall-Hardware haben sich seit 2024 nicht normalisiert – bei Sophos XGS und Fortinet FortiGate liegen sie aktuell zwischen vier und zwölf Wochen. Zweitens: Gute Integrations-Dienstleister sind ab März 2026 fest gebucht, wenn alle gleichzeitig migrieren. Drittens: Eine professionelle Migration erfordert Testlauf, Parallelbetrieb und saubere Umstellung – das braucht mindestens zwei bis vier Wochen Vorlauf. Wer im Juni 2026 ohne Migration dasteht, ist entweder ungeschützt oder in einer Notfall-Migration mit Überraschungen. Wir empfehlen allen Kunden: Entscheidung bis Januar 2026, Migration zwischen Februar und April 2026.