Sophos Firewall Firmware Update: Vorbereitung und Best Practices
Firmware-Updates halten eine Sophos Firewall sicher, stabil und unterstützt. Trotzdem sollte man sie nicht wie ein normales Paketupdate behandeln. Ein SFOS-Upgrade kann HA-Verhalten, VPN-Tunnel, Zertifikate, Web Protection, TLS Inspection, Remote Access, Central-Integration und Routing beeinflussen.
Für den übergeordneten Hardening-Kontext passt der Hub Sophos Firewall Hardening: Best Practices für eine sichere Konfiguration.
Dieser Artikel ist die Planungs- und Betriebscheckliste vor einem Sophos Firewall Firmware Update. Er hilft bei der Entscheidung, ob ein Update jetzt freigegeben werden kann, welche Abhängigkeiten vor dem Wartungsfenster geprüft werden müssen und wann ein Rollback sinnvoller ist als weiteres Troubleshooting. Die konkrete Installation über den WebAdmin ist im Artikel Sophos Firewall Firmware Update durchführen beschrieben.
⚠️ Wichtig: Vor jedem Firmware-Update braucht es ein aktuelles Backup, den passenden Secure Storage Master Key und einen geprüften Rollback-Plan. Bei SFOS 22 oder neuer sollte zusätzlich der Sophos Firewall vor SFOS 22 Upgrade prüfen-Artikel abgearbeitet werden, weil dort Plattform, Speicherplatz, Interface-Namen, STAS und Legacy Remote Access IPsec gezielt geprüft werden.
Welcher Update-Artikel passt?
Firmware-Themen überschneiden sich schnell. Für Admins ist deshalb wichtig, zuerst den richtigen Ablauf zu wählen:
- Update vorbereiten, Risiken prüfen und Wartungsfenster planen: Dieser Artikel.
- Firmware-Image im WebAdmin hochladen oder installieren: Sophos Firewall Firmware Update durchführen.
- Upgrade auf SFOS 22 oder neuer vorbereiten: Sophos Firewall vor SFOS 22 Upgrade prüfen.
- Backup, Secure Storage Master Key und Restore-Fähigkeit prüfen: Sophos Firewall Backup erstellen oder wiederherstellen.
- Firewall OS komplett neu installieren oder nach einem Reimage wiederherstellen: Sophos Firewall OS neu installieren: Reimage mit USB-Stick.
- HA-Cluster vor Wartung, Failover oder Upgrade einordnen: Sophos Firewall HA-Cluster Varianten.
- Central-gesteuertes Update oder Firewall-Task hängt: Sophos Central Firewall Management Task Queue prüfen.
- XG-, SG- oder XGS-Plattform vor dem Upgrade bewerten: Sophos XG vs. XGS: Unterschiede, EOL und Migration.
- Seriennummer, Lizenzstatus oder Supportdaten für den Change sammeln: Seriennummer der Sophos Firewall finden.
Diese Trennung verhindert typische Fehler. Ein Firmware-Update ist nicht dasselbe wie ein Reimage, ein Rollback ersetzt kein Backup, und ein erfolgreicher Download beweist noch nicht, dass Upgrade-Pfad, Support-Berechtigung, HA-Zustand und Recovery-Plan passen. Der Planungsartikel soll deshalb nicht jeden Klick der Installation wiederholen, sondern vor allem die Freigabeentscheidung sauber machen.
Wann ein Update vorbereitet werden muss
Eine kurze Prüfung reicht bei kleinen Maintenance Releases oft aus. Eine strukturierte Vorbereitung ist Pflicht, wenn mindestens einer dieser Punkte zutrifft:
- Produktive Firewall mit mehreren WAN-Uplinks, VPNs, NAT-Regeln oder WAF-Veröffentlichungen.
- HA-Cluster oder Remote-Standort ohne einfachen physischen Zugriff.
- Versionssprung über mehrere Releases oder Wechsel auf eine neue Hauptversion wie SFOS 22.
- XG-, SG-, Software-, Virtual- oder Cloud-Appliance mit Plattform- oder Lizenzfragen.
- Kritische Abhängigkeiten wie Microsoft Entra ID, RADIUS, LDAP, Zertifikate, DNS, DHCP, SD-WAN oder Sophos Central.
- Bekannte Performance-, Speicherplatz- oder SSD-Probleme auf der Appliance.
Je grösser die Änderung, desto stärker sollte das Update als Change mit Runbook, Testplan und Rollback behandelt werden.
1. Release Notes und Upgrade-Pfad prüfen
Vor dem Update zuerst klären, ob die Zielversion zur aktuellen Umgebung passt.
- Auf den Sophos Release Notes nachsehen, ob die Zielversion freigegeben ist und ob es Hinweise zum eigenen Release-Zweig gibt.
- Zusätzlich die offiziellen Release Notes der Zielversion und die Known Issues prüfen, damit bekannte Probleme nicht erst nach dem Update auffallen.
- Vorhandene Version, Zielversion und unterstützten Upgrade-Pfad dokumentieren.
- Wichtig: Nur unterstützte Upgrade-Pfade wählen. Bei einem nicht unterstützten Upgrade-Pfad kann die Firewall nach dem Firmware-Update auf Werkseinstellungen zurückgesetzt werden.
- Bei SFOS 22 beachten, dass XG- und SG-Hardware nicht mehr unterstützt wird.
- Bei SFOS 21.5 beachten, dass nicht jeder Zielpfad automatisch auf SFOS 22 GA führt. Die Release Notes der konkreten Zielversion sind massgebend.
- Bei vielen VLANs, Bridges, LAGs, RED- oder XFRM-Interfaces prüfen, ob Interface-Namen mit langen Zahlenblöcken ein WebAdmin-Anzeigeproblem auslösen können.
- Bei Legacy Remote Access IPsec prüfen, ob ein Upgrade auf SFOS 22 MR1 oder neuer blockiert wird.
- Bei STAS und benutzerbasierten Regeln prüfen, ob bekannte Upgrade-Hinweise für die eigene Konfiguration relevant sind.
- Bei Software-, Virtual-, Azure- oder AWS-BYOL-Firewalls klären, ob die Firewall vor dem Upgrade in Sophos Central geclaimed werden muss.
- Bei inkompatiblen Versionssprüngen nicht mit einem normalen Update planen, sondern ein Reimage-Konzept vorbereiten.
Für konkrete Upgrade-Entscheide zählen nicht Ankündigungen, sondern Release Notes, Known Issues, unterstützter Upgrade-Pfad und die lokale Firmware-Planung. Wenn ein Release nur interessant klingt, aber Upgrade-Pfad, Plattform, Support-Berechtigung oder Rollback nicht klar sind, sollte der Change noch nicht freigegeben werden.
Praktisch bewährt sich eine kurze Entscheidung direkt im Change: aktuelle Version, Zielversion, unterstützter Pfad, bekannte Blocker, betroffene Plattform und erwarteter Rückweg. So bleibt später nachvollziehbar, warum genau diese Version installiert wurde und nicht einfach “die neuste”.
2. Lizenz und Support-Berechtigung klären
Seit SFOS 19.0 MR1 sind nach den drei kostenlosen Firmware-Upgrades Enhanced Support oder Enhanced Plus Support für weitere Firmware-Upgrades erforderlich. Ohne passende Support-Berechtigung kann die Firmware zwar unter Umständen angezeigt oder heruntergeladen werden, spätere reguläre Upgrades können aber blockiert sein.
Ausnahmen gelten unter anderem für Pattern Updates, Hotfixes, Reimage, Mandatory Firmware Upgrades und Assistant Firmware Upgrades. Diese Ausnahmen ersetzen aber keine saubere Update-Planung.
Vor dem Change sollte man deshalb prüfen:
- Administration > Licensing zeigt gültige Lizenz und Support-Berechtigung.
- Sophos Central zeigt die Firewall mit korrekter Seriennummer.
- Support-Zugang und Ansprechpartner sind bekannt.
- Download der Zielversion ist möglich.
- Falls nötig, ist der Avanet- oder Sophos-Support-Zugriff vorbereitet.
Wenn Avanet für den Change unterstützen soll, passt der Artikel Einrichtung des Avanet Support-Zugriffs auf Sophos Firewall.
3. Backup, SSMK und Rollback vorbereiten
Ein Firmware-Update wird auf einem zweiten Firmware-Slot installiert. Ein Rollback auf die vorherige Version ist deshalb oft möglich. Trotzdem ist ein Rollback kein Ersatz für ein Backup, weil Konfigurationsstand, Restore-Kompatibilität und Betriebszustand separat geprüft werden müssen.
Der wichtigste Punkt wird gerne unterschätzt: Sophos Firewall führt aktive und vorherige Firmware mit dem jeweils passenden Konfigurationsstand in getrennten Partitionen. Ein Rollback nimmt also nicht nur den alten SFOS-Code, sondern auch die vorherige Konfiguration wieder in Betrieb. Änderungen, die nach dem Upgrade gemacht wurden, können danach fehlen oder anders wirken.
Vor dem Update:
- Frisches Konfigurationsbackup herunterladen.
- Secure Storage Master Key im Passwortmanager prüfen.
- Backup-Passwort und Admin-Zugang bereitlegen.
- Bestehende Firmware-Version und Zielversion dokumentieren.
- Aktuelle Konfiguration, kritische Screenshots und Change-Zeitpunkt dokumentieren.
- Bei grösseren Changes zusätzlich ein Central-Backup oder extern gespeichertes Backup prüfen.
Der Backup- und Restore-Prozess ist in Sophos Firewall Backup erstellen oder wiederherstellen detailliert beschrieben. Wenn ein normaler Firmware-Wechsel nicht möglich ist, hilft der Artikel Sophos Firewall OS neu installieren: Reimage mit USB-Stick.
Ab SFOS 20.0 kann die Firewall bei bestimmten Problemen während der Konfigurationsmigration automatisch auf die vorherige Version und den vorherigen Konfigurationsstand zurückrollen. Das ist eine Sicherheitsfunktion, aber kein Freibrief für unvorbereitete Updates. Nach einem automatischen Rollback muss die Ursache geklärt werden, bevor der nächste Versuch gestartet wird.
4. Change-Nachweis vorbereiten
Bei einfachen Maintenance Releases reicht oft ein Backup, ein Screenshot der Firmwareseite und eine kurze Change-Notiz. Bei grösseren Updates sollte man zusätzlich festhalten, welche Konfiguration vor dem Wartungsfenster gültig war und welche Änderungen während der Nachkontrolle vorgenommen wurden.
Diese Werkzeuge beantworten unterschiedliche Fragen:
- Backup: Welcher Konfigurationsstand kann wiederhergestellt werden?
- Config Studio: Was unterscheidet zwei Konfigurationsstände?
- Audit Trail: Wer hat wann welche unterstützte Konfigurationsänderung vorgenommen?
Sophos Firewall Config Studio ist nützlich, wenn vor und nach einem Upgrade Konfigurationsstände verglichen werden sollen. Das ersetzt kein Backup, hilft aber bei der Frage, ob während eines Wartungsfensters unerwartet Regeln, Objekte, Interfaces oder Policies verändert wurden.
Für die zeitliche Nachvollziehbarkeit passt der Sophos Firewall Audit Trail. Er ist besonders hilfreich, wenn mehrere Admins beteiligt sind oder wenn ein Central-gesteuerter Change parallel zum Firmware-Update lief. Wird das Update oder eine Konfigurationsänderung über Sophos Central ausgelöst, gehört ausserdem die Sophos Central Firewall Management Task Queue zur Nachkontrolle.
5. Speicherplatz und Systemzustand prüfen
Zu wenig Speicherplatz, alte Logs oder ein instabiler HA-Zustand können ein Update unnötig riskant machen. Vor einem grösseren Upgrade sollte man den Systemzustand bewusst prüfen.
Im WebAdmin:
- Control center auf Warnungen prüfen.
- Backup & Firmware > Firmware öffnen und verfügbare Versionen prüfen.
- Diagnostics > Log viewer auf wiederkehrende Systemfehler prüfen.
- System services und relevante Dienste prüfen.
- Bei SFOS 22 zusätzlich den Firewall Health Check ansehen, falls verfügbar.
Per SSH oder Advanced Shell kann der freie Speicherplatz geprüft werden:
df -kh
Wenn eine Partition sehr voll ist, sollte man nicht blind aktualisieren. Zuerst klären, ob alte lokale Dateien, Logs, Reports oder Support-Dumps Platz belegen. Bei unklarer Ursache ist ein Support-Case sicherer als manuelles Löschen in der Advanced Shell. Der praktische Ablauf steht in Sophos Firewall Speicherplatz prüfen und Reports verwalten.
Wenn die Appliance alt ist, viele lokale Reports schreibt oder bereits I/O- beziehungsweise Datenbankprobleme zeigt, sollte zusätzlich die SSD-Gesundheit per SMART geprüft und dokumentiert werden.
Für Status- und Loganalyse helfen Sophos Firewall Troubleshooting: Services und Logs, Sophos Firewall Packet Capture im WebAdmin verwenden und Sophos Firewall Health Check richtig nutzen.
6. HA-Cluster gesondert planen
HA-Cluster sollten nicht wie einzelne Firewalls behandelt werden. Sophos schreibt, dass HA für das Firmware-Update nicht deaktiviert werden muss. Trotzdem braucht ein HA-Update mehr Kontrolle, weil beide Appliances, Firmware-Slots, Rollen und Failover-Verhalten betroffen sind.
Vor dem Update:
- HA-Status im WebAdmin prüfen.
- Primary und Auxiliary Appliance eindeutig identifizieren.
- HA-Link und Synchronisation prüfen.
- Gleiche Firmware-Ausgangslage auf beiden Appliances sicherstellen.
- Wartungsfenster auch bei Active-Passive-HA einplanen.
- Erwartete kurze Unterbrechung beim Rollenwechsel kommunizieren.
Im verbundenen HA-Zustand wird das Firmware-Update auf dem Primary-Gerät gestartet und vom Cluster für beide Appliances abgearbeitet. Typisch wird zuerst die Auxiliary Appliance aktualisiert und neu gestartet, danach erfolgt ein Rollenwechsel, anschliessend wird der bisherige Primary aktualisiert. Je nach HA-Konfiguration kann der bevorzugte Primary am Ende wieder aktiv werden. Die Auxiliary Appliance sollte nicht separat aktualisiert werden. Pattern Updates und Hotfixes werden unabhängig auf die Geräte angewendet.

Für HA-Umgebungen sollte zusätzlich Sophos Firewall HA-Cluster: Active-Passive, Active-Active und Auxiliary Appliance gelesen werden.
7. Wartungsfenster und Tests definieren
Ein gutes Wartungsfenster enthält nicht nur den Installationszeitpunkt, sondern auch klare Tests danach.
Vor dem Update festlegen:
- Startzeit, spätester Abbruchzeitpunkt und Rollback-Entscheid.
- Verantwortliche Person für Firewall, Netzwerk, Server, Applikationen und Support.
- Testliste für Internet, DNS, DHCP, VLANs, NAT, VPN, WAF, Mail, Web Protection und kritische Applikationen.
- Erreichbarkeit über lokalen Management-Port oder alternativen Zugang.
- Monitoring-Pause oder Wartungsmodus im Monitoring-System.
- Kommunikationsweg, falls Remote Access während des Changes ausfällt.
Tests sollten nicht nur aus Pings bestehen. Bei produktiven Firewalls sind echte Verbindungsprüfungen wichtiger: VPN-Login, Zugriff auf interne Applikationen, DNS-Auflösung, Webzugriff, veröffentlichte Dienste, Mailfluss, SD-WAN-Routen und zentrale Authentifizierung.
Wenn das Firmware-Update über Sophos Central geplant wird, gehört die Zeitzone der Firewall in den Change. Sophos Central startet geplante Firmware-Upgrades nach der Zeitzone der jeweiligen Firewall. Bei international verteilten Standorten ist deshalb nicht die lokale Browserzeit des Admins massgebend, sondern die Zeit, die für die Firewall gilt.
Ausserdem zeigt Sophos Central Firmware-Upgrades nur für geeignete Firewalls an. Wenn ein Download- oder Schedule-Button in Central fehlt, sollte man nicht sofort von einem UI-Fehler ausgehen. Zuerst prüfen: läuft die Firewall auf einem GA-Firmwarestand, ist sie online, wird sie korrekt in Central verwaltet, passt die Lizenz-/Support-Berechtigung und ist die Zielversion für diese Plattform freigegeben?
8. Nach dem Update validieren
Nach dem Neustart ist der Change noch nicht abgeschlossen. Zuerst muss geprüft werden, ob die Firewall wirklich im erwarteten Zustand läuft.
Direkt nach dem Update:
- Aktive SFOS-Version prüfen.
- Prüfen, ob der erwartete Firmware-Slot aktiv ist und ob ein automatischer Rollback stattgefunden hat.
- Lizenz- und Pattern-Update-Status kontrollieren.
- System- und Kernel-Logs auf auffällige Fehler prüfen.
- Interfaces, SD-WAN-Routen, VPN-Tunnel und HA-Status prüfen.
- Firewallregeln, NAT, Web Protection, TLS Inspection und WAF mit echten Tests validieren.
- Sophos Central Synchronisation prüfen.
- Monitoring wieder aktivieren.
- Change-Dokumentation mit Ergebnis, Zeitpunkten und Abweichungen ergänzen.
Wenn ein Firmware-Update über Sophos Central geplant oder ausgelöst wurde, gehört auch die Sophos Central Firewall Management Task Queue zur Nachkontrolle. Dort lässt sich prüfen, ob der Central-Task erfolgreich abgeschlossen wurde oder ob ein fehlgeschlagener Task spätere Änderungen blockiert.
Wenn nach dem Update unerwartete Fehler auftreten, sollte zuerst der Unterschied zwischen Konfigurationsproblem, Firmware-Bug, Lizenzproblem und externem Systemproblem eingegrenzt werden. Log Viewer, Packet Capture und gezielte Service-Logs sind dafür hilfreicher als sofortige Mehrfach-Restarts.
Ein Rollback sollte nicht aus Nervosität geklickt werden, aber auch nicht zu spät. Wenn WAN, HA, zentrale VPNs oder produktionskritische Veröffentlichungen innerhalb des definierten Analysefensters nicht stabilisiert werden können, ist der geplante Rückweg oft sauberer als immer neue Einzelkorrekturen während eines laufenden Ausfalls. Wenn dagegen nur eine einzelne Regel, ein Objekt oder ein externer Dienst auffällig ist, liefern Log Viewer, Packet Capture und Service-Logs meistens die bessere Antwort.
Typische Fehler bei Firmware-Updates
- Update ohne frisches Backup: Restore oder Rollback wird unnötig riskant. Backup und SSMK sollten vor dem Change geprüft werden.
- Release Notes nur oberflächlich gelesen: Bekannte Bugs, Plattformblocker oder nicht unterstützte Upgrade-Pfade werden übersehen. Sophos Release Notes, Known Issues und unterstützter Upgrade-Pfad gehören in die Change-Dokumentation.
- SFOS-22-Check übersprungen: Plattform-, Speicherplatz-, Interface-, STAS- oder Legacy-IPsec-Blocker fallen erst im Wartungsfenster auf. Vor SFOS 22 oder neuer sollte der separate Upgrade-Check abgearbeitet werden.
- HA als ausfallfrei angenommen: Failover kann Sessions und einzelne Verbindungen unterbrechen. Wartungsfenster und Testplan bleiben auch bei HA notwendig.
- Kein lokaler Notzugang: Ein Remote Change kann bei VPN- oder WAN-Problemen hängen bleiben. Out-of-band-Zugang oder Vor-Ort-Option sollten vorher geklärt sein.
- Nur Ping getestet: Applikations-, DNS-, TLS- oder VPN-Probleme bleiben unentdeckt. Fachliche Tests pro Dienst sind wichtiger als ein einzelner ICMP-Test.
- Rollback zu spät entschieden: Die Ausfallzeit wird länger als nötig. Abbruchzeitpunkt und Rollback-Kriterien sollten vor dem Start feststehen.
- Central-Zeitplanung falsch verstanden: Bei Central-geplanten Updates zählt die Zeitzone der Firewall. Das ist besonders wichtig bei Standorten in anderen Ländern.
- Central zeigt kein Firmware-Update an: Die Firewall läuft möglicherweise nicht auf einem GA-Firmwarestand, ist nicht berechtigt, offline oder für die Zielversion nicht geeignet. Lizenz, Central-Status, Plattform und Release Notes prüfen.
Checkliste
- Zielversion und Upgrade-Pfad geprüft.
- Sophos Release Notes, offizielle Release Notes, Known Issues und unterstützten Upgrade-Pfad geprüft.
- SFOS 22 Upgrade-Check bei relevanten Upgrades durchgeführt, inklusive Plattform, Interface-Namen, Speicherplatz, STAS und Legacy Remote Access IPsec.
- Lizenz und Enhanced Support geprüft.
- Backup heruntergeladen und SSMK verfügbar.
- Change-Nachweis mit Backup, Config Studio, Audit Trail oder Central Task Queue vorbereitet, falls mehrere Admins oder Central beteiligt sind.
- Speicherplatz und Systemzustand kontrolliert.
- HA-Status und Rollen dokumentiert.
- Wartungsfenster, Testplan und Rollback-Kriterien definiert.
- Bei Sophos Central Updates die Zeitzone der Firewall und die geplante Uhrzeit geprüft.
- Bei fehlendem Central-Update-Button GA-Firmwarestand, Online-Status, Lizenz, Plattform und Zielversion geprüft.
- Firmware-Datei oder GUI-Download vorbereitet.
- Lokaler oder alternativer Managementzugriff geklärt.
- Nach dem Update Version, Dienste, VPNs, NAT, WAF, Logs, Central Task Queue und Monitoring geprüft.