Sophos Firewall in anderes Sophos Central Konto übertragen
Eine Sophos Firewall kann in ein anderes Sophos Central Konto übertragen werden, wenn Registrierung und Lizenzmanagement künftig in einem anderen Account liegen sollen. Das ist zum Beispiel bei Firmenwechseln, Mandantenbereinigung, Dienstleisterwechseln, falsch registrierten Firewalls oder konsolidierten Central-Strukturen relevant.
Wichtig ist die Abgrenzung: Die Übertragung betrifft die Registrierung der Appliance und die Lizenzzuordnung im Sophos-Central-Kontext. Es wird keine lokale Firewall-Konfiguration übertragen, es entsteht kein WebAdmin-Zugriff auf die Firewall, und es werden keine Central-Backups, Reports, Logs oder Supportzugriffe verschoben. Falls die Firewall über Sophos Central verwaltet wird, muss auch diese Management-Zuordnung separat geprüft werden.
Für die Begriffe und Portale passt zuerst Sophos Portale: SophosID, Central, Support und Firewall-Zugänge. Die Seriennummer der betroffenen Firewall sollte vorab dokumentiert sein; der Ablauf steht in Seriennummer der Sophos Firewall finden.
⚠️ Wichtig: Ein Account-Transfer ist kein Backup, kein Migrationsprozess und kein Berechtigungskonzept. Der Zielaccount verwaltet danach die Registrierung und Lizenzzuordnung, hat aber nicht automatisch Zugriff auf die Firewall, deren Konfiguration, lokale Backups oder Central-Reporting-Daten.
Wann ein Transfer sinnvoll ist
Ein Transfer ist sinnvoll, wenn die Firewall im falschen Sophos Central Konto registriert ist oder Lizenzverantwortung und Besitzverhältnisse geändert werden müssen.
Typische Fälle:
- Die Firewall wurde versehentlich im falschen Central Tenant registriert.
- Ein Unternehmen konsolidiert mehrere Central-Konten.
- Ein Kunde wechselt Dienstleister oder Lizenzpartner.
- Eine Appliance wird an eine andere Organisationseinheit übergeben.
- Lizenzverwaltung und Firewall-Betrieb sollen organisatorisch getrennt werden.
Nicht gemeint ist ein technischer Austausch der Firewall, ein Backup/Restore, eine HA-Migration oder die Übertragung lokaler Adminzugänge. Für Backup- und Recovery-Themen ist Sophos Firewall Backup und Restore richtig planen der bessere Artikel.
Account-Transfer oder Subscription-Transfer?
Sophos Central unterscheidet zwei ähnlich klingende Vorgänge. Diese sollten vor dem Change sauber getrennt werden.
Typische Vorgänge:
- Firewall in anderes Central-Konto übertragen: Die Firewall-Registrierung und Lizenzansicht wechseln zu einem anderen Sophos-Central-Konto. Das passt bei falschem Tenant, Firmenwechsel, Dienstleisterwechsel oder Account-Konsolidierung.
- Subscriptions zwischen Firewalls übertragen: Eine bezahlte Subscription wird von einer Firewall auf eine andere Firewall verschoben. Das betrifft Ersatzgeräte, Modellwechsel oder eine Lizenz, die auf der falschen Appliance aktiviert wurde.
- Firewall lokal migrieren oder ersetzen: Konfiguration, Interfaces, Ports, HA, Backups und Restore werden technisch geplant. Das ist relevant bei Hardwaretausch, XG-zu-XGS-Migration, Reimage oder Standortmigration.
Dieser Artikel behandelt den ersten Fall: eine Firewall wird zwischen Sophos-Central-Konten übertragen. Wenn eine Lizenz auf ein Ersatzgerät oder eine andere Appliance soll, ist der Ablauf ein anderer und muss mit Modell, Subscription, Seriennummer und gegebenenfalls RMA-Kontext geprüft werden.
Was übertragen wird und was nicht
Wichtig für die Erwartung:
- Registrierung und Lizenzzuordnung werden auf das Zielkonto übertragen.
- Lokale Firewall-Konfiguration bleibt auf der Firewall unverändert.
- Lokale Admin-Benutzer werden nicht automatisch geändert.
- Device Access, WebAdmin und SSH bleiben unverändert.
- Central Firewall Management muss separat geprüft werden.
- Reporting und Logs müssen je nach Central-Kontext separat bewertet werden.
- Backups werden nicht übertragen und nicht durch den Transfer ersetzt.
- Supportzugriff entsteht nicht automatisch durch den Transfer.
Der neue Account erhält durch den Lizenztransfer also nicht automatisch WebAdmin-Zugriff auf die Firewall. Lokale Zugänge, MFA, Device Access und Admin-Rollen bleiben eigene Themen. Für lokale Zugriffshärtung ist Sophos Firewall Zugriff absichern: Device Access richtig konfigurieren relevant.
Wenn die Firewall zentral verwaltet oder in Central Reporting eingebunden ist, sollte der Zustand vorher dokumentiert werden. Für Central Reporting passt Central Firewall Reporting aktivieren. Für den Grundaufbau der Central-Anbindung passt Sophos Firewall mit Sophos Central verbinden.
Vorbereitung vor dem Transfer
Vor dem Transfer sollte klar sein, wer den Vorgang startet, wer ihn annimmt und welches Konto danach verantwortlich ist. Das verhindert typische Probleme mit falschen SophosID-Konten, abgelaufenen Einladungen oder unklarer Lizenzverantwortung.
Vorab prüfen:
- Seriennummer, Modell und aktuelles Central-Konto dokumentieren.
- E-Mail-Adresse eines Administrators im Zielkonto bestätigen.
- Klären, ob der Transfer nur Lizenz/Registrierung betrifft oder ob auch Central Firewall Management neu registriert werden muss.
- Aktuellen Lizenzstatus, Ablaufdaten und Renewal-Verantwortung festhalten.
- Backup-Zeitpunkt und Secure Storage Master Key prüfen, wenn parallel technische Arbeiten geplant sind.
- Central Reporting, Firewall Management, Supportzugriff und Partnerzuständigkeit separat bewerten.
- Interne Asset-, Support- und Vertragsdokumentation vorbereiten.
Sophos weist darauf hin, dass vertrauliche Daten vor einem Transfer entfernt werden müssen. Praktisch heisst das: Wenn die Firewall den Besitzer oder Mandanten wechselt, dürfen lokale Konfiguration, Backups, Reports, Logs, VPN-Daten, Zertifikate und Zugänge nicht stillschweigend beim falschen Betreiber bleiben. Der Account-Transfer selbst bereinigt diese Daten nicht automatisch.
Eine wichtige Ausnahme sind Hardware as a Service (HWaaS) Firewalls. Sophos führt für HWaaS-Geräte Einschränkungen auf: Subscriptions können nicht angewendet oder zwischen Firewalls übertragen werden, Evaluations sind nicht verfügbar, und Firewalls können nicht zwischen Sophos-Central-Konten übertragen werden. Wenn es sich um ein HWaaS-Gerät handelt, muss der Ablauf deshalb über Vertrag, Partner oder Sophos Support geprüft werden und nicht als normaler Central-Transfer geplant werden.
Besonderheit bei Dienstleisterwechsel oder Tenant-Bereinigung
Bei einem Dienstleisterwechsel oder einer Tenant-Bereinigung sollte der Transfer nicht nur als Lizenzaktion verstanden werden. Entscheidend ist, wer nach dem Wechsel wirklich Betrieb, Support, Renewal, Reporting und lokale Administration verantwortet.
Vor dem Transfer sollte man deshalb zusätzlich klären:
- Welche Admins im alten Sophos Central Konto nach dem Wechsel keinen Zugriff mehr benötigen.
- Ob lokale Firewall-Admins, API-Zugänge, SSH, MFA und Device Access unabhängig vom Account-Transfer angepasst werden müssen.
- Ob Central Firewall Management, Central Reporting oder Gruppenrichtlinien im Zielkonto neu aufgebaut werden sollen.
- Wer künftig Sophos Supportfälle eröffnet und welche Support-/RMA-Kommunikation historisch beim alten Dienstleister liegt.
- Ob Backups, SSMK, Dokumentation, Zertifikate und VPN-Profile vollständig an die neue Betriebsverantwortung übergeben wurden.
- Ob alte Partner-, Dienstleister- oder Testkonten in interner Asset- und Renewal-Dokumentation noch eingetragen sind.
Der sauberste Ablauf ist meistens zweistufig: Zuerst Account- und Lizenzzuordnung bereinigen, danach lokale Zugriffe, Central Management, Reporting und Supportprozesse bewusst nachziehen. So wird verhindert, dass eine Firewall zwar im richtigen Tenant liegt, aber im Betrieb weiterhin vom alten Zugriffskonzept abhängt.
Firewall im Sophos Central Konto übertragen
Die Übertragung wird im Quellkonto in Sophos Central im Bereich Licensing > Firewall licenses gestartet.
Vorgehen:
- Im Sophos-Central-Quellkonto mit einem berechtigten Konto anmelden.
- Profil- beziehungsweise Kontomenü öffnen.
- Licensing > Firewall licenses öffnen.

- Zum Tab Firewall licenses wechseln.

- Die zu übertragenden Firewalls auswählen.
- Transfer firewalls auswählen.

- E-Mail-Adresse des Zielkontos eintragen.
- Die geforderten Bestätigungen bewusst lesen und bestätigen.
- Angaben prüfen und den Transfer mit Confirm auslösen.
- Bestätigungs-E-Mail beachten.

Die genaue Beschriftung kann je nach Sophos-Central-Ansicht oder Sprache leicht abweichen. Entscheidend ist, dass die Firewall im Lizenzbereich ausgewählt und an das korrekte Zielkonto übertragen wird.
Transfer im Zielkonto annehmen
Der Transfer ist nach dem Absenden noch nicht abgeschlossen. Der Administrator im Zielkonto muss die Übertragung aktiv annehmen. Laut Sophos wird die Anfrage automatisch abgelehnt, wenn sie nicht innerhalb von drei Tagen angenommen wird.
Vorgehen im Zielkonto:
- Mit einem Administrator des Zielkontos in Sophos Central anmelden.
- Profil- beziehungsweise Kontomenü öffnen.
- Licensing > Firewall licenses öffnen.
- Accept firewalls auswählen.
- Die angebotenen Firewalls prüfen und akzeptieren.
- Seriennummer, Modell, Name und Lizenzdetails kontrollieren.
Der Administrator im Quellkonto erhält danach eine Bestätigung, dass der Transfer angenommen wurde. Wenn keine Bestätigung ankommt oder die Firewall im Zielkonto nicht sichtbar ist, zuerst Zielkonto, E-Mail-Adresse, Spamfilter, Rollenrechte und Ablauf der Drei-Tage-Frist prüfen.
Nach dem Transfer kontrollieren
Nach dem Transfer sollte man nicht nur die Bestätigungsmail ablegen. Wichtig ist eine kurze Betriebskontrolle:
- Im Zielkonto prüfen, ob die Firewall unter den Firewall-Lizenzen erscheint.
- Seriennummer und Modell gegen die Dokumentation prüfen.
- Lizenzstatus und Laufzeit kontrollieren.
- Prüfen, ob die Firewall im Quellkonto nicht mehr irrtümlich als lizenzrelevantes Gerät geführt wird.
- Prüfen, ob Central Firewall Management oder Reporting weiterhin wie erwartet funktioniert.
- Wenn Central Management in ein anderes Konto wechseln soll, lokale Deregistrierung und Neuregistrierung separat planen.
- Lokale Firewall-Zugriffe nicht automatisch erweitern, sondern bewusst verwalten.
- Interne Inventar-, Lizenz-, Renewal- und Supportdokumentation aktualisieren.
Wenn danach Supportfälle eröffnet werden, sollte die neue Account-Zuordnung intern bekannt sein. Der Supportprozess ist in Wie man ein Supportticket bei Sophos eröffnet beschrieben.
Typische Fehler
Falsches Zielkonto
Die E-Mail-Adresse des Zielkontos sollte vor dem Absenden genau geprüft werden. Bei mehreren Tenants, Dienstleisterkonten oder historischen SophosID-Konten kommt es sonst leicht zu Verwechslungen.
Transfer mit Firewall Management verwechselt
Ein Lizenztransfer bedeutet nicht automatisch, dass die Firewall im neuen Konto zentral verwaltet wird. Wenn Central Firewall Management genutzt wird, sollte die Registrierung separat geprüft werden.
Anfrage läuft ab
Der Empfänger muss den Transfer innerhalb der Annahmefrist akzeptieren. Wenn die Anfrage abläuft, muss der Transfer im Quellkonto erneut gestartet werden. Deshalb sollte man den Zeitpunkt mit dem Zielkonto abstimmen und nicht kurz vor Ferien, Tenant-Wechseln oder Admin-Abwesenheiten auslösen.
Subscription-Transfer statt Account-Transfer gewählt
Wenn die Firewall im richtigen Konto liegt, aber eine Subscription auf ein anderes Gerät soll, ist Transfer subscriptions der richtige Vorgang. Wenn dagegen die Firewall selbst in einem anderen Central-Konto sichtbar sein soll, braucht es Transfer firewalls. Die Verwechslung kostet Zeit und kann bei Ersatzgeräten zu falschen Erwartungen führen.
HWaaS-Gerät wie eine normale Firewall behandelt
Bei Hardware as a Service Firewalls sind die Lizenzoptionen in Sophos Central eingeschränkt. Wenn Transfer firewalls oder Transfer subscriptions nicht verfügbar ist, sollte zuerst geprüft werden, ob das Gerät als HWaaS geführt wird. In diesem Fall ist der normale Central-Transfer nicht der richtige Weg.
Lokale Adminrechte werden erwartet
Der Zielaccount erhält nicht automatisch lokale WebAdmin-Rechte. Admin-Benutzer, MFA, Device Access und SSH bleiben lokale Sicherheitsentscheidungen der Firewall.
Dokumentation wird nicht aktualisiert
Nach dem Transfer sollten Asset-Liste, Lizenzverwaltung, Supportzuständigkeit und Renewal-Prozess angepasst werden. Sonst ist beim nächsten Supportfall unklar, welches Konto relevant ist.
Checkliste
Vor dem Transfer:
- Seriennummer, Modell, Quellkonto und Zielkonto dokumentiert.
- Administrator im Zielkonto bekannt und erreichbar.
- Geklärt, ob nur Lizenz/Registrierung oder auch Central Management betroffen ist.
- Lizenzlaufzeiten, Renewal-Verantwortung und Supportzuständigkeit geprüft.
- Geprüft, ob es sich um ein HWaaS-Gerät handelt.
- Vertrauliche lokale Daten bei Besitzer- oder Mandantenwechsel separat bewertet.
- Backup und SSMK geprüft, falls parallel technische Änderungen stattfinden.
- Bei Dienstleisterwechsel alte Admins, lokale Zugänge, Central Management, Reporting und Supportprozesse separat geplant.
Während des Transfers:
- Firewall im Quellkonto unter Licensing > Firewall licenses eindeutig ausgewählt.
- Ziel-E-Mail-Adresse sorgfältig geprüft.
- Transferbestätigung im Quellkonto dokumentiert.
- Annahme im Zielkonto innerhalb von drei Tagen eingeplant.
Nach dem Transfer:
- Firewall im Zielkonto anhand Seriennummer und Modell gefunden.
- Lizenzdetails und Ablaufdaten geprüft.
- Central Firewall Management, Reporting und Supportzugriffe separat kontrolliert.
- Lokale Adminzugänge, MFA und Device Access unverändert bewusst bewertet.
- Alte Dienstleister-, Partner- oder Testzugänge entfernt oder dokumentiert begründet.
- Asset-, Lizenz-, Renewal- und Supportdokumentation aktualisiert.