0721 1320980 info@iscl.de

Unser Blog-Beitrag heute wird ein wenig technischer als unsere sonstigen Beiträge, aber wir möchten an dieser Stelle einmal über ein aktuelles Thema sprechen, das unser Team in den letzten Monaten stärker beschäftigt hat. Eine der bekanntesten Firewall-Modelle weltweit ging gestern End of Life (EoL) und wird nicht weiter mit Updates unterstützt: Sämtliche Modelle der UTM-Reihe der Firma Sophos. Dieser Beitrag ist vor allem gestützt durch unsere Erfahrungen und unserer eigenen Meinung zu diesem Thema.

Kommentar: Sophos UTM End of Life

Alle wichtigen Informationen über das EoL-Datum noch einmal im Überblick.

Die UTM wurde bereits vor über 20 Jahren von der Firma Astaro in Karlsruhe entwickelt und war lange führend im Bereich Firewalls. 2011 wurde Astaro und mit dem Unternehmen auch die UTM von Sophos übernommen. Sophos hat im Juni 2023 den Verkauf beendet und Anfang April des gleichen Jahres angekündigt, dass die bekannte Firewall ab dem 30. Juni 2026 nicht mehr unterstützt wird. Dies bedeutete für alle Nutzer einer UTM, dass es über kurz oder lang notwendig wurde, das Modell zu wechseln. Es werden ab diesem Datum keine weiteren Sicherheitsupdates mehr kommen und auch die Funktionen des Geräts sind nur noch eingeschränkt verfügbar. Das heißt schlussendlich alles was eine Nextgen Firewall ausmacht (VPN, Webfiltering, Werbserver etc.) kann nicht mehr verwendet werden.

Bitter ist dies vor allem für Kunden, die die Firewall erst kurz vor April 2023 erworben haben. Denn damit haben sie ihr Modell gerade einmal für etwas mehr als drei Jahre gekauft. Unserer Meinung nach ist dies eine ziemlich kurze Zeitspanne für eine hochwertige Firewall, die, je nach Größe, auch entsprechend Geld kostet. Hinzu kommt, dass die Hardware nach drei Jahren noch lange nicht einen Punkt erreicht hat, an dem man sie aufgrund von Verschleiß ohnehin austauschen müsste. Vor allem mit Blick auf aktuelle wirtschaftliche Herausforderungen und umweltbewusster Ressourcen-Verwendung hat diese kurze Zeitspanne einen besonders unangenehmen Beigeschmack. Tatsächlich wurde genau diese Zeitspanne von Sophos bereits häufiger in der Vergangenheit vom letzten Verkauf bis zum EoL auch für andere Sophos Geräte gesetzt hatte. Wir finden der Abstand von Ankündigung zu End of Life sollte mindestens fünf Jahre betragen.

Ist ein Wechsel von der UTM auf die XGS ohne Schwierigkeiten möglich?

Jaein, tatsächlich macht es einem Sophos hier nicht ganz einfach. Zwar gibt es ein Tool von Sophos selbst, dass aber, unserer Meinung nach, nicht ausreichend dokumentiert ist. Hinzu kommt, dass die beiden Firewalls grundverschieden funktionieren (UTM Interfacebasiert, XGS Zonenbasiert), das heißt, die Regeln müssen für das neue System erst optimiert wurden.
Dies ist im ersten Blick wenig intuitiv und somit stoßen wir öfter auf das Unverständnis von Kunden, die von dem Umzug betroffen sind. Denn neben der Notwendigkeit neue Hardware zu kaufen, sind somit auch Zeit und menschliche Ressourcen notwendig, eine solche Migration durchzuführen.

Ist es besser auf die XGS zu wechseln oder auf eine andere Firewall?

Dies ist eher eine Frage des Bedarfs als eine, die die aktuelle Situation betrifft. Sollte man jedoch schon länger mit dem Gedanken spielen sich von Sophos loszusagen und eine andere Marke in Betracht ziehen, ist jetzt ein guter Zeitpunkt für einen Wechsel. Zum einen wird ohnehin eine neue Appliance benötigt und zum anderen ist, wie bereits erwähnt, auch der Umzug zur XGS etwas zeitaufwendig. Aus unserer Erfahrung können wir berichten, dass sich unsere Kunden für ganz unterschiedliche Wege entschieden haben. Einige haben sich für das jeweilige zum Nachfolgemodell der XGS-Reihe entschieden. Andere vor allem kleinere Firmen sind zu Marken wie Securepoint gewechselt und wieder andere sind bei dem Open Source Modell OPNSense gelandet. Wir können an dieser Stelle erstmal keine allgemein gültige Empfehlung abgeben.

Wir haben noch eine UTM und den Wechsel noch nicht beschlossen, was tun wir nun?

Generell gibt es hier verschiedene Möglichkeiten. Wenn Sie vor dem 1. April 2026 bereits eine Lizenz für den Nachfolger XGS gekauft haben, gewährt Ihnen Sophos nur noch eine Kulanz von 30 Tagen nachdem 30. Juni für die Migration. Dies gilt auch, sollten Sie sich für einen Nachfolger entscheiden, der nicht von Sophos ist. Sollten Sie sich jetzt erst für eine XGS Lizenz entscheiden, gibt Sophos noch einmal weitere Kulanz-Verlängerungen für ihre UTM. Jedoch gilt auch hier eine Einschränkung, zwar lässt sich das Gerät dann noch weiter benutzen und Features wie VPN werden nicht direkt deaktiviert, jedoch liegt der Hauptfokus des Sophos-Firewall-Teams nicht mehr auf der UTM und es kann sein, dass wichtige Sicherheitsupdates nur noch spät oder sogar gar nicht mehr kommen. Denn auf der Webseite wird explizit gesagt: „Diese verlängerte Laufzeit bietet Ihnen und Ihren Kunden mehr Flexibilität bei der Durchführung von Migrationen. Das EOL-Datum bleibt unverändert.“ Aus diesem Grund raten wir davon ab, die UTM noch länger als notwendig zu nutzen.

Kann mich die ISCL GmbH bei der Migration unterstützen?

Ja, seit Bekanntgabe des End of Life Datums haben wir unsere Kunden für das beste Nachfolge-Modell zunächst beraten und die Migrationen dann nach und nach durchgeführt. Dabei haben wir so wohl kleine Kunden mit unter zehn Mitarbeitenden beraten als auch größere Firmen mit Produktionsstätten. Den laufenden Betrieb aufrecht zu erhalten und dennoch die Migration auf das neue Modell durchzuführen ist eine anspruchsvolle Aufgabe, der wir uns gern gestellt haben und der wir uns auch gern wieder stellen. Dabei ist es von unserem Kunden abhänbgig, ob die Migration zu einer XGS, OPNSense oder einer Firewall der Marke Securepoint erfolgen soll.
Jedes Unternehmen hat seine eigenen Besonderheiten und Herausforderungen. Wir von der ISCL GmbH möchten deshalb nicht nur von unseren Erfolgen berichten, sondern vor allem Sie und Ihr Unternehmen kennen lernen. Nur so können wir Sie bei Ihrem Firewall-Umzug adäquat und individuell unterstützen.
Gern können Sie uns anrufen, eine Mail schreiben oder uns über unser Kontaktformular erreichen.