Inhalt in Kürze
- Die Sophos XG Firewall heißt seit 2021 offiziell Sophos Firewall XGS. Hardware und Betriebssystem (SFOS) sind weiterentwickelt, das Grundprinzip ist identisch geblieben.
- Xstream Protection ist der Unterschied zwischen “Port-Filter” und Next-Gen-Firewall — TLS-1.3-Inspection, Deep Packet Inspection, Zero-Day-Sandbox und Sophos Central gehören 2026 zum Pflichtpaket.
- Sophos Central zentralisiert Firewall, Endpoint, E-Mail und M365 in einer Konsole. Mit Synchronized Security isoliert die Firewall befallene Endgeräte automatisch — der wichtigste Ransomware-Schutz, den Sie ohne Zusatzkosten aktivieren können.
- Best Practices schlagen Modellwahl: Quartalsweises Rule-Review, MFA auf dem Admin-Zugang, saubere Geo-IP-Policies und ein klarer Logging-Workflow verhindern 80 % aller Vorfälle, die wir in Hamburg pro Jahr sehen.
Die Sophos Firewall ist eine der meistverbreiteten Next-Gen-Firewalls im deutschen Mittelstand — und gleichzeitig eines der Produkte, bei dem Unternehmen am meisten Geld verschenken, weil sie Standardeinstellungen nie anfassen. Wir betreiben als IT-Service Hamburg seit über einem Jahrzehnt Sophos-Firewalls bei Mittelständlern in Hamburg und Norddeutschland. Dieser Leitfaden fasst zusammen, was 2026 wirklich zählt — von der Modellwahl über Xstream Protection bis zum Alltag mit Sophos Central.
Was ist die Sophos XG Firewall / Sophos Firewall XGS?
Die Sophos Firewall ist eine Next-Generation-Firewall für Unternehmen, die Netzwerkverkehr nicht nur nach IP-Adressen und Ports filtert, sondern Anwendungen, Nutzer, TLS-verschlüsselten Traffic und Verhaltensmuster erkennt und blockiert. Sie kombiniert klassische Firewall-Funktionen mit IPS, Web-Filter, WAF, VPN, Reporting und Cloud-Integration in einem Gerät.
Der Name hat in den letzten Jahren gewechselt. Kurzer Abriss, damit keine Verwirrung entsteht:
- Bis 2021: Sophos XG Firewall (Hardware-Modelle XG 86, XG 106, XG 125, XG 135, XG 210, XG 310, XG 430, XG 550, XG 650, XG 750) mit Betriebssystem SFOS.
- Seit 2021: Sophos Firewall XGS (Hardware-Modelle XGS 87, XGS 107, XGS 116, XGS 126, XGS 136, XGS 2100, XGS 3100, XGS 4300, XGS 5500, XGS 6500, XGS 7500) mit Betriebssystem Sophos Firewall OS (SFOS) 19/20/21.
- Juli 2023: End-of-Sale für alle klassischen XG-Modelle. End-of-Life gestaffelt bis Ende 2027.
In der Praxis sprechen Kunden weiterhin von “Sophos XG” — gemeint ist fast immer die aktuelle XGS-Generation. Die Firmware ist identisch, Best Practices gelten für beide Linien. Der offizielle Sophos Licensing Guide beschreibt die aktuellen Lizenzpakete im Detail.
Abgrenzung: Was ist Sophos Firewall NICHT?
- Keine reine UTM im alten Sinne — Sophos UTM 9 (SG-Serie) ist eine separate, inzwischen ausgelaufene Produktlinie.
- Keine SaaS-Firewall — die XGS ist Hardware oder virtuelle Appliance (VMware, Hyper-V, AWS, Azure), das Management läuft optional über Sophos Central.
- Keine Cloud-Firewall — für reine Cloud-Workloads nutzen Sie Microsoft Azure Firewall oder AWS Network Firewall parallel.
Modellübersicht 2026: Welche Sophos Firewall für wen?
Die folgende Tabelle zeigt die relevanten XGS-Modelle und den praxistauglichen Einsatzbereich mit aktivierter Xstream Protection und TLS-Inspection — das ist der einzige Wert, der im Alltag zählt. Datenblätter werben gerne mit Roh-Durchsatz; der ist ohne Inspection gemessen und praxisfern.
| Modell | Zielgruppe (Nutzer) | Firewall-Durchsatz | TLS-Inspection | Typischer Einsatz |
|---|---|---|---|---|
| XGS 87 / 87w | 1–15 | 3,7 Gbit/s | 700 Mbit/s | Kleinbüro, Homeoffice-Router |
| XGS 107 / 107w | 10–25 | 7 Gbit/s | 950 Mbit/s | Kleinbetrieb, Zweigstelle |
| XGS 116 / 126 / 136 | 25–75 | 7,7–11,5 Gbit/s | 1,4–2,2 Gbit/s | Typischer Mittelstand Hamburg |
| XGS 2100 / 3100 | 75–200 | 17,5–33 Gbit/s | 3,5–5,1 Gbit/s | Mehrere Standorte, Server-Räume |
| XGS 4300 / 5500 | 200–500 | 52–68 Gbit/s | 8–11 Gbit/s | Rechenzentrum, Multi-Site-Kunden |
| XGS 6500 / 7500 | 500+ | 100+ Gbit/s | 16+ Gbit/s | Großkunden, MSPs |
Wichtiger Hinweis: Wenn Sie eine Firewall für 10 Jahre kaufen, planen Sie mindestens 30 % Kopfreserve im TLS-Durchsatz ein. Verschlüsselter Traffic wächst laut Google Transparency Report seit Jahren stetig — inzwischen sind über 95 % des Web-Traffics verschlüsselt. Firewalls, die TLS nicht inspizieren können, sehen buchstäblich nichts mehr.
Viele Datenblatt-Vergleiche nehmen den Firewall-Roh-Durchsatz. Der ist für die Praxis irrelevant. Entscheidend ist der Threat-Protection- oder TLS-Inspection-Durchsatz — und der liegt typisch bei 15–25 % des Roh-Werts. Ein XGS 116 hat zwar nominell 7,7 Gbit/s, aber nur ca. 1,4 Gbit/s mit voller Inspection. Für einen 150-MBit-Glasfaseranschluss reicht das locker — für 1-GBit-Anschlüsse planen Sie XGS 126 oder 136 ein.
Kernfunktionen: Was macht eine Sophos Firewall 2026 aus?
Die fünf Funktionen, die bei einer Sophos Firewall wirklich den Unterschied machen — und nichts davon funktioniert ohne die richtige Lizenz.
1. Xstream Protection — das Herzstück
Xstream ist das Premium-Lizenzpaket, ohne das Sie die Hälfte der Hardware nicht nutzen. Enthalten sind:
- Xstream TLS 1.3 Inspection — hardware-beschleunigte Entschlüsselung von HTTPS-Traffic, ohne Performance-Einbruch. Sieht, was im verschlüsselten Tunnel läuft.
- Deep Packet Inspection (DPI) — prüft Inhalte in Echtzeit gegen Signaturen, Verhaltensmuster und Zero-Day-Indikatoren.
- Active Threat Response — blockiert Command-and-Control-Traffic von bekannten Malware-Domains.
- Sophos Sandstorm — Zero-Day-Sandbox in der Cloud: Unbekannte Dateien werden in einer isolierten VM ausgeführt und analysiert, bevor sie den Nutzer erreichen.
- Cloud-Delivered Threat Intelligence — Signaturen werden nicht stündlich gepushed, sondern in Echtzeit aus der SophosLabs-Wolke abgefragt.
2. Zero Trust Network Access (ZTNA)
Sophos integriert ZTNA direkt in die Firewall. Statt klassischem VPN (Tunnel + offenes Subnetz) bekommt jeder Nutzer nur Zugriff auf die konkrete Anwendung, für die er autorisiert ist — mit MFA, Gerätestatus-Prüfung und kontinuierlicher Re-Authentifizierung. Für Homeoffice-Szenarien ist das der Standard 2026. Mehr zum Praxis-Einsatz in unserem Artikel Homeoffice sicher gestalten.
3. Intrusion Prevention System (IPS)
Signaturbasierte Erkennung und Blockade bekannter Exploit-Versuche. Die IPS-Engine der Sophos Firewall aktualisiert sich automatisch, Signatur-Sets werden von SophosLabs täglich gepflegt. Im Alltag sehen wir: Ohne IPS blockieren Sie keine einzige der gängigen RDP- oder SMB-Exploit-Versuche aus dem Internet. Für Sophos-Kunden ist IPS automatisch im Xstream-Paket enthalten.
4. TLS-Inspection / SSL-Decryption
95 % des Webtraffics ist verschlüsselt. Ohne TLS-Inspection sieht Ihre Firewall diesen Traffic nur als undurchsichtigen Tunnel — Malware, Phishing-Seiten und Datenabfluss werden nicht erkannt. Die XGS-Serie hat dafür dedizierte Crypto-Chips, die TLS 1.3 ohne Latenz-Einbruch entschlüsseln können. Wichtig ist eine saubere Ausnahme-Liste für Banking, Gesundheits- und Personal-Sites (DSGVO-relevant).
5. Web Application Firewall (WAF)
Für veröffentlichte Webdienste (Exchange OWA, SharePoint on-premises, interne Webanwendungen). Die WAF prüft HTTP-Requests gegen OWASP-Top-10-Regeln, blockiert SQL-Injections, XSS und Bot-Traffic. Kostenlos in jedem Sophos-XGS-Paket enthalten — wird trotzdem von 80 % der Kunden, die wir übernehmen, nicht genutzt.
Wir übernehmen regelmäßig Sophos-Firewalls von neuen Kunden, auf denen seit der Einrichtung vor vier Jahren keine einzige Regel angefasst wurde. Die Lizenz läuft auf Xstream — aber TLS-Inspection ist deaktiviert, IPS steht auf Legacy-Signaturen und das Admin-Passwort kennen drei ehemalige Dienstleister. Die Hardware kostet 2.500 Euro, die Lizenz 1.800 Euro pro Jahr. Wer sie nicht nutzt, kauft ein teures Türschild.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Sophos vs. WatchGuard vs. Fortinet vs. Securepoint
Wir sind als hagel IT Partner von mehreren Firewall-Herstellern — Sophos, WatchGuard, Securepoint — und kennen Fortinet aus Kundenumgebungen. Der ehrliche Vergleich für den Mittelstand:
| Kriterium | Sophos Firewall XGS | WatchGuard Firebox | Fortinet FortiGate | Securepoint UTM |
|---|---|---|---|---|
| Stärke | Synchronized Security mit Endpoint, Xstream-DPI | MFA (AuthPoint) integriert, gute Reports | Top-Performance, großes Ökosystem | 100 % Made in Germany, DSGVO-sicher |
| Cloud-Management | Sophos Central (mächtig) | WatchGuard Cloud (solide) | FortiCloud / FortiManager (mächtig, komplex) | Securepoint Cloud (schlank) |
| KMU-Freundlich | Ja, mit Partner | Ja, sehr | Eher nicht (Enterprise-Lastig) | Ja, besonders |
| MDR verfügbar | Sophos MDR (hervorragend) | WatchGuard MDR (neu) | FortiGuard (umfassend) | Nein |
| Preissegment | Mittel-Hoch | Mittel | Hoch | Niedrig-Mittel |
| Hamburger Support | Über Partner | Über Partner | Begrenzt | Direkt + Partner |
Unsere Empfehlung für Hamburger KMU mit 20–150 Mitarbeitern: Wenn Sie bereits Sophos Intercept X auf den Endgeräten haben, ist die Sophos Firewall wegen Synchronized Security die logische Wahl. Wenn Sie bisher nichts haben, ist WatchGuard Firewall mit Gold Partner Hamburg häufig günstiger und einfacher im Alltag. Für datenschutz-kritische Branchen (Rechtsanwälte, Ärzte, Kanzleien) schauen wir uns oft Securepoint im umfassenden Leitfaden an — Made in Deutschland, alle Daten bleiben im DSGVO-Raum. Einen vollständigen Marktüberblick finden Sie in unserem Firewall für Unternehmen — UTM-Vergleich 2026.
Sophos Central Cloud-Management und Managed Threat Response
Sophos Central ist die Cloud-Konsole, in der alle Sophos-Produkte zentral verwaltet werden: Firewall, Endpoint (Intercept X), E-Mail-Schutz, Cloud Optix, ZTNA. Das ist der Hebel, den die meisten Mittelständler unterschätzen.
Warum Sophos Central ab der zweiten Firewall Pflicht ist
- Zentrale Policy-Gruppen — eine Regeländerung propagiert auf alle verbundenen Firewalls.
- Cross-Product-Alarmierung — ein Red Heartbeat vom Endpoint sperrt den Client auf der Firewall automatisch.
- Zentrales Reporting — ein Monatsreport über alle Standorte, nicht ein PDF pro Gerät.
- Backup-Konfiguration in der Cloud — bei Hardware-Austausch restaurieren Sie in 30 Minuten.
- Multi-Tenant-Management — für IT-Dienstleister wie uns bedeutet das: eine Anmeldung für 40+ Kunden.
Sophos MDR: 24/7-Analysten statt eigenes SOC
Sophos Managed Detection and Response (MDR) ist für Mittelständler der realistischste Weg, rund um die Uhr auf Angriffe reagieren zu können. Ein eigenes Security Operations Center kostet ab 300.000 Euro pro Jahr — Sophos MDR startet bei ca. 4–6 € pro Nutzer und Monat und liefert:
- 24/7-Analystenteam, das Telemetrie aus Firewall, Endpoint und M365 in Echtzeit auswertet
- Reaktionszeit < 15 Minuten bei kritischen Alerts
- Aktive Eingriffe: Endpoint isolieren, User sperren, Policy ändern
- Monatlicher Executive Report + Quartals-Review
Laut Sophos State of Ransomware 2024 beträgt die durchschnittliche Recovery-Zeit nach einem Ransomware-Angriff ohne MDR 4 Wochen. Mit MDR sinkt sie auf wenige Tage, weil der Angriff früher erkannt wird. Für die meisten unserer Cybersecurity Hamburg-Kunden ist MDR mittlerweile Standard im Sicherheitskonzept.
Über Weihnachten wurde bei uns alles verschlüsselt. Nur weil ich jede Woche eine externe Festplatte mit nach Hause genommen habe, hatten wir noch eine brauchbare Sicherung. Das war pures Glück.
Genau solche Vorfälle sind der Grund, warum wir bei jedem Kunden, der eine Sophos Firewall neu aufsetzt, parallel Synchronized Security mit Endpoint Protection und ein 3-2-1-Backup-Konzept einrichten. Die Firewall allein stoppt den Initial-Zugriff — aber wenn eine Phishing-E-Mail durchkommt, braucht es Endpoint + getestetes Backup, um den Schaden zu begrenzen.
Best Practices für Einrichtung und Regelpflege
Das ist der Abschnitt, den die Hersteller-Datenblätter nicht haben — weil sie nicht verkaufen wollen, dass 70 % der Arbeit NACH der Installation anfängt.
1. Admin-Zugang sofort härten
- Default-Passwort ändern — bei der Erstinstallation. Keine Ausnahme.
- MFA aktivieren auf allen Admin-Accounts (TOTP via Authenticator-App, nicht SMS). Ohne MFA ist jeder Admin-Zugang nur einen Phishing-Mail entfernt davon, gekapert zu werden.
- Separate Admin-Rolle pro Person — keine geteilten "admin"-Accounts. Audit-Trail muss zuordenbar sein.
- Management-Interface isolieren — Admin-UI niemals ins Internet veröffentlichen. Zugriff nur über VPN oder Management-VLAN.
- Notfall-Lokal-Account mit Passwort im Passwort-Tresor hinterlegen — falls Sophos Central einmal nicht erreichbar ist.
Mehr zum Thema Admin-MFA in unserem Artikel MFA & Passwort-Sicherheit für Unternehmen 2026.
2. Xstream Protection wirklich einschalten
Die Lizenz ist bezahlt — aber aktiviert ist oft nur die Grundfunktion. Kontrollieren Sie:
- Xstream DPI aktiv auf allen Internet-Policies (nicht nur auf "Default").
- TLS-Inspection eingeschaltet — mit sauberer Decrypt-Exclusion-Liste für Banking, Health, Gewerkschafts- und Behörden-Domains.
- Sandstorm aktiv — unbekannte Dateien in der Cloud-Sandbox prüfen, vor Auslieferung an den Nutzer.
- Active Threat Response eingeschaltet — blockiert bekannte C2-Server in Echtzeit.
- Intrusion Prevention auf "Recommended" statt "Legacy" oder "Lenient".
3. Regelwerk sauber strukturieren
Eine Sophos-Firewall wird mit sechs Standardregeln ausgeliefert — nach zwei Jahren ohne Pflege sehen wir regelmäßig Regelwerke mit 180+ Regeln, von denen 60 % ungenutzt sind. Unser Vorgehen:
- Regel-Gruppen nach Funktion: LAN-zu-WAN, LAN-zu-LAN, WAN-zu-DMZ, VPN, Management.
- Top-down-Logik beachten — je spezifischer die Regel, desto weiter oben.
- Logging aktiv auf jeder Regel, die nicht Broadcast/Keepalive-Traffic betrifft.
- Kommentare pflegen — “Nikolaus-Projekt 2022, Temp, RAUS bis 31.12.” vermeidet Regel-Ruinen.
- Ungenutzte Regeln deaktivieren statt löschen (für 3 Monate) — erst dann entfernen.
4. Geo-IP-Blocking einschalten
90 % aller KMU brauchen keinen Traffic aus China, Russland, Nordkorea, Iran. Ein Geo-IP-Block auf WAN-Eingang reduziert das Rauschen in den Logs um den Faktor 5–10 — und verhindert 99 % der automatisierten Scan-Angriffe. Ausnahmen: Wenn Sie internationale Kunden bedienen, nur die tatsächlich benötigten Länder freigeben.
5. Logging und Monitoring zentralisieren
Eine Firewall, die niemand loggt, ist im Ernstfall nutzlos. Standard:
- Logs an Sophos Central senden (30 Tage Retention inklusive).
- Bei NIS2-Pflicht zusätzliches SIEM (Microsoft Sentinel, Wazuh oder Splunk) — 12 Monate Retention gesetzlich vorgeschrieben.
- Monatlicher Report an die Geschäftsführung: Top 10 blockierte Angriffe, Top 10 User nach Traffic, Regel-Nutzung.
6. Firmware-Updates planen, nicht verschieben
Sophos veröffentlicht SFOS-Updates ca. alle 6–8 Wochen (Patches + neue Features). Unser Rhythmus bei Managed Firewall -Kunden:
- Kritische Security-Patches: innerhalb 72 Stunden.
- Minor-Updates: im nächsten Wartungsfenster (14-tägiger Rhythmus).
- Major-Versionen (z.B. SFOS 20 → 21): nach 4–6 Wochen Test-Phase.
- Rollback-Plan: immer ein geprüftes Konfig-Backup vor dem Update.
Die 7 häufigsten Fehler bei Sophos-Firewalls
Sammlung aus den Audits, die wir typischerweise bei Neukunden durchführen:
- Standardpasswort nie geändert — bei drei Audits im letzten Jahr unverändert vorgefunden.
- TLS-Inspection komplett deaktiviert — “wir wollten das mal testen, dann vergessen”.
- Alle Admin-Accounts ohne MFA — einschließlich Cloud-Central-Zugang.
- Keine Synchronized Security mit Endpoint — Sophos Intercept X ist lizenziert, aber nicht verbunden.
- Firmware zwei Major-Versionen zurück — Sicherheitslücken aus 2023 noch offen.
- Kein Backup der Konfiguration — bei Hardware-Defekt folgt Totalverlust.
- Geo-IP-Blocking aus — was in DE-only-Unternehmen keinen Grund hat.
Machen Sie einmal pro Quartal einen 90-Minuten-"Firewall-TÜV": Admin-Accounts prüfen, MFA-Status checken, letzte 10 Regeländerungen durchgehen, Firmware-Stand kontrollieren, Backup testen. Wer das nicht intern leisten kann, sollte genau das an eine Managed-Firewall-Leistung auslagern.
Checkliste: Ist Ihre Sophos Firewall 2026-fähig?
- Hardware-Generation XGS oder zumindest XG mit ausreichender TLS-Kapazität.
- SFOS 20 oder 21 als Firmware-Stand.
- Xstream Protection lizenziert und aktiv auf allen Internet-Policies.
- MFA auf allen Admin-Accounts, einschließlich Sophos Central.
- TLS-Inspection eingeschaltet mit sauberer Ausnahmeliste.
- Synchronized Security mit Endpoint, wenn Sophos Intercept X vorhanden.
- Geo-IP-Blocking aktiv auf WAN-Eingang.
- Konfig-Backup automatisiert in Sophos Central.
- Quartalsweises Rule-Review etabliert.
- Monatliches Reporting an die Geschäftsführung.
- Patch-Prozess mit Wartungsfenstern dokumentiert.
- Notfall-Kontakt (intern + extern) hinterlegt und getestet.
Wer bei mehr als drei Punkten unsicher ist, sollte die Firewall entweder professionell auditieren lassen oder in eine Managed-Firewall-Dienstleistung überführen. Eine schlecht gepflegte Next-Gen-Firewall ist gefährlicher als eine gut gepflegte Basis-Firewall — weil sie Sicherheit vortäuscht.
Was Sie heute tun können
Drei Schritte, die Sie noch diese Woche umsetzen sollten:
- Admin-Zugang härten — MFA auf allen Sophos-Central-Accounts, Default-Passwörter ändern. Dauert 20 Minuten.
- Xstream-Status prüfen — Policy-Liste öffnen, TLS-Inspection und DPI-Status kontrollieren. Dauert 30 Minuten.
- Firmware-Stand checken — System → Firmware → Latest Version vergleichen. Wenn mehr als zwei Versionen zurück: Update planen.
Wenn Sie bei einem der Schritte nicht weiterkommen, rufen Sie uns an. Wir sind Cybersecurity Hamburg-Spezialisten und betreuen Firewalls von Sophos, WatchGuard und Securepoint im Managed-Service — ab ca. 50 € pro Arbeitsplatz und Monat, inklusive Patching, Monitoring und Rule-Review.
Fazit
Die Sophos Firewall — früher XG, heute XGS — ist eine der ausgereiftesten Next-Gen-Firewalls im Markt. Aber wie jede komplexe Security-Plattform lebt sie von der Pflege. Xstream Protection, Sophos Central und Synchronized Security sind die Alleinstellungsmerkmale, die den Aufpreis gegenüber einer reinen UTM rechtfertigen. Ohne aktive Nutzung dieser Features zahlen Sie für Features, die nur auf dem Datenblatt stehen.
Für Hamburger KMU mit 20–150 Mitarbeitern ist das XGS-116/126/136-Modell mit Xstream Protection und Sophos-Central-Management der Sweet Spot. Plus: MFA auf Admin-Zugängen, quartalsweises Rule-Review und ein getestetes Backup-Konzept. Das sind die 80 %, die in der Praxis den Unterschied machen.
Sophos-Firewall-Audit gefällig?
15 Minuten Erstgespräch, kostenlos. Wir prüfen Ihre Firewall-Konfiguration und zeigen, wo Sie ungenutzte Lizenzleistung aktivieren können.
Erstgespräch buchen →Weiterführende Quellen
- Sophos Firewall Licensing Guide — offizielle Lizenz-Matrix
- Sophos State of Ransomware 2024 — Branchenreport mit Recovery-Zahlen
- BSI Lagebericht IT-Sicherheit 2024 — aktuelle Bedrohungslage in Deutschland
- heise Security — Sophos Firewall — News zu Lücken, Updates und Patches
