Sophos Updates September 2025 – Firewall, Endpoint, E-Mail
Im September 2025 hat Sophos wieder zahlreiche Neuerungen präsentiert. Statt alles in einer langen Liste zusammenzufassen, ist dieser Beitrag nach Produktbereichen gegliedert. So findet jeder Administrator schnell die relevanten Punkte für seine Umgebung. Schliesslich nutzt nicht jeder unbedingt die Switches oder Access Points von Sophos – und falls doch, dann mein aufrichtiges Beileid.
Überblick der wichtigsten Punkte
Credential Theft bleibt das Hauptrisiko – Sophos setzt auf Passkeys und ITDR. Die Endpoint-Updates senken deutlich den Ressourcenverbrauch und ermöglichen neue Forensik-Optionen. Auch bei Firewall, Switches und Access Points gibt es wichtige Ergänzungen. E-Mail-Security rückt verstärkt in den Mittelpunkt mit einem frei nutzbaren DMARC-Tool und TLS-Reporting. Zusätzlich gibt es Promotions für Firewalls, neue Video-Inhalte sowie Events wie die ITSA und Partner Business Breakfasts.
Sophos Endpoint Security
Performance-Verbesserungen
Es wurde auch endlich Zeit: Mit Version 2025.2.x hat Sophos die Performance des Endpoints spürbar optimiert. CPU- und RAM-Verbrauch wurden gesenkt – laut Sophos um bis zu 40 % weniger RAM und 30 % weniger CPU-Last, abhängig vom Use Case (Sophos News - Sophos Endpoint: Major performance enhancements). Das merkt man vor allem in VDI-Umgebungen oder bei älteren Systemen. Viele Kunden waren in den letzten Jahren genervt, dass Sophos-Endpoints zu ressourcenhungrig waren. Einige sind deswegen auf Microsoft Defender gewechselt – und diese Kunden kommen nicht zurück. Sophos muss hier nicht nur technisch aufholen, sondern auch verlorenes Vertrauen zurückgewinnen.
Sophos Endpoint Performance verbesserungen
Der Rollout erfolgt gestaffelt; in gemischten Umgebungen sollte man die Canary-Gruppe sauber definieren und Messungen fahren, bevor man breit ausrollt. Sophos selbst positioniert die neuen Versionen offensiv gegen die Konkurrenz, die bisher mit „wir sind leichter/schneller“-Claims gepunktet hat.
Legacy-Support
Für Unternehmen, die noch ältere Plattformen einsetzen, gibt es das neu benannte Sophos Endpoint for Legacy Platforms. Es adressiert offiziell abgekündigte Systeme wie Windows 7 oder Windows 10 nach Oktober-Supportende. Nicht schön, aber praktisch: Bei Ausschreibungen, wo Altlasten Realität sind, fällt Sophos damit nicht sofort aus dem Raster.
Forensik-API
Ein echter Fortschritt ist die neue Forensik-API. Darüber lassen sich komplette Speicherabbilder remote ziehen und direkt in einen Amazon-S3-Bucket schreiben – inklusive RAM-Dump. Das spart Zeit im Incident-Response-Prozess, weil kein Vor-Ort-Einsatz mehr nötig ist. Über die XDR/MDR-Plattform können diese Dumps ausgewertet werden. Separate Memory-Forensics-Tools bleiben Pflicht, aber die Datenbeschaffung ist nun Skript statt Dienstreise.
Domain Controller & Identity Telemetrie
Zusätzlich wurde die Telemetrie für Domain Controller erweitert. Angriffe wie PetitPotam lassen sich jetzt direkt über Central erkennen. Ab Endpoint-Version 2025.1 ist die Option „Monitor Domain Controller Events“ in der Server Policy standardmäßig enthalten und sofort nutzbar.
Auch identitätsnahe Telemetrie wird enger eingebunden: Über Microsoft Graph Security (kostenfrei in XDR/MDR integrierbar) lassen sich Sign-in-Events, Impossible-Travel-Muster und anomale Token-Nutzungen korrelieren. Darauf aufbauend können Response Actions in Central definiert werden – bis hin zu Session-Invalidation und Benutzer-Lock.
Sophos Firewall & Network Security
Im Netzwerkbereich gibt es gleich mehrere interessante Neuerungen. Über die TAGIS-Plattform lässt sich jetzt auch die Sophos Firewall per Active Threat Response (ATR) ansteuern. Das bedeutet: IOCs, IPs oder FQDNs, die im XDR- oder MDR-Betrieb erkannt werden, können automatisch an die Firewall weitergegeben werden. Damit wird die Verzahnung zwischen Endpoint und Perimeter enger und IOC-Events können direkt blockiert werden – ohne dass ein Analyst hektisch zwischen Konsolen springen muss.
Ebenfalls wichtig: Kunden, die bereits auf TAGIS/XDR sitzen, können ohne Zusatzkosten auf Sophos Endpoint wechseln. Das senkt Reibung, wenn man Plattform-Telemetrie konsolidieren will.
Promo-Hinweis: Für neue Firewall-Deals stellt Sophos bis zu 25 Endpoint-Lizenzen bereit. Das ist Marketing, klar – aber operativ nützlich, um Endpoint-Signale in ATR-Entscheidungen einzubinden und den Perimeter nicht blind fliegen zu lassen. Mehr Details zu den Firewall-Features findet ihr in meinem Beitrag Sophos Firewall v21.5 .
Sophos Switches
Auch die Switches haben ein Upgrade erhalten: Ab MR 2.1 ist das Spanning Tree Protocol (STP/RSTP) direkt in Sophos Central konfigurierbar. Zuvor musste man sich lokal auf die Switches einloggen und STP manuell setzen – ein klarer Nachteil gegenüber anderen Herstellern. Jetzt geht es zentral, mit konsistenten Policies je Site und dokumentierter Root-Bridge. Für Rollouts heisst das: weniger Tippfehler, weniger Inselkonfigurationen und ein halbwegs reproduzierbares Verhalten im Fehlerfall.
Aber: Das ist kein Innovationssprung, sondern eine überfällige Basisfunktion. Während Sophos hier nachzieht, bieten andere Anbieter längst erweiterte Funktionen wie BPDU-Guards, FlexLink oder automatisiertes Loop-Prevention. Für Enterprise- oder Campus-Umgebungen bleibt der Vergleich mit etablierten Herstellern zwingend.
Sophos Access Points
Für die Access Points AP6 wurde das letzte Usage-/Visibility-Gap gegenüber den alten APX-Modellen geschlossen: Application/Client-Sichtbarkeit, Top-APs/SSIDs, Peak-Zeiten – die Metriken sind nun vorhanden. Das Problem: Diese Features hätten ab Launch da sein müssen.
Die AP6-Serie kam Ende 2023 auf den Markt und brauchte fast ein Jahr, um überhaupt stabil zu laufen. Danach folgten weitere sechs Monate, bis die Geräte denselben Funktionsumfang hatten wie die Vorgänger. In dieser Zeit haben andere Hersteller neue Features entwickelt – bessere QoS-Automatik, RF-Optimierungen, WPA3-Enterprise-Komfort, Cloud-RRM mit Heatmap-Backtesting. Sophos dagegen schloss Rückstände. Wer auf AP6 setzt, bekommt heute endlich das, was er mit APX schon lange hatte – aber hat in der Zwischenzeit wertvolle Zeit verloren.
Für produktive Umgebungen ist das ein klares Warnsignal: Finger weg von den Access Points, solange Sophos nicht zeigt, dass sie mehr können, als nur aufzuholen. Für Central-only-Umgebungen, die wenig Feature-Hebel benötigen, sind AP6 jetzt stabil. Für alle anderen bleibt die Konkurrenz erste Wahl. Mehr dazu auch in meinem Beitrag Sophos Access Points AP6 – Aus der Hölle .
Sophos Identity & ITDR
Ein Schwerpunkt liegt im September auf dem Thema Credential Theft. Angriffe über Adversary-in-the-Middle-Proxies wie „evilginx“ zeigen, dass selbst MFA keine Garantie mehr ist. Sophos empfiehlt den Umstieg auf Passkeys, die im Gegensatz zu klassischen MFA-Methoden nicht abgefangen werden können. Damit ist klar: MFA bleibt Pflicht, aber nur Passkeys dichten die AitM-Lücke wirklich ab.
Ergänzend bietet Sophos Central neue Möglichkeiten, auffällige Anmeldungen – Impossible Travel, parallele Logins aus mehreren Ländern/Browsertokens, verdächtige Inbox-Regeln als BEC-Vorstufe – automatisch zu erkennen und sofort zu reagieren. Kompromittierte Sessions lassen sich invalidieren, Benutzer sperren, manipulative Mail-Regeln werden entfernt. Für Oktober kündigt Sophos zudem Identity Threat Detection and Response (ITDR) an. Aus der SecureWorks-Akquise kommend, wird ITDR als identitätsfokussierte Lagebilderkennung in Central verankert und ergänzt XDR/MDR um genau diese Lücke.
Sophos E-Mail Security
Die E-Mail-Sicherheit bleibt ein zentrales Thema. 2025 hat das BSI das „Jahr der E-Mail-Sicherheit“ ausgerufen – Sophos ist in der Hall of Fame gelistet. Passend dazu gibt es ein frei nutzbares Analyse-Werkzeug: Unter https://tools.sophosdmarc.com/ können DMARC-Records einer Domain geprüft werden. Das eignet sich für schnelle Health-Checks in Pre-Sales und für Bestandskunden-Audits.
Darüber hinaus steht der DMARC Manager als Add-on (auch MSP-fähig) bereit. Sinnvoll ist ein gestuftes Hardening: von p=none über p=quarantine bis p=reject – aber erst, wenn SPF und DKIM sauber sitzen. TLS-Reporting ergänzt das Bild, indem es sichtbar macht, welcher Anteil der Kommunikation tatsächlich verschlüsselt ist und welche Partner noch Nacharbeit brauchen.
Wichtig für XDR/MDR-Teams: Auch wenn die E-Mails bei einem Fremd-Hersteller laufen, lässt sich der Email Monitoring Service (EMS) aufschalten. So landen Telemetrie und Events trotzdem in Central – und zwar dort, wo Response-Playbooks schon auf euch warten.
Content, Events & Compliance
Sommerflaute vorbei: Auf dem deutschsprachigen YouTube-Kanal und dem internationalen Tech-Kanal ist wieder Aktivität angekündigt – frisch ist ein Video zum Sophos Firewall Deployment in Microsoft Azure. Live-Formate laufen ebenfalls an: Besonders relevant ist ein Compliance-Webinar (Treiber: Ransomware, Insurance, Compliance – „R I C“). Parallel laufen die Vorbereitungen für die it-sa im Oktober; Tickets gibt es über die Sophos-Seite/Newsletter. Im November folgen Partner Business Breakfasts an mindestens elf Standorten in DACH, getrennt nach Business-Track und Technical-Update-Track. Wer beides sehen will: darf natürlich.
Letzte Worte
Die Updates im September 2025 zeigen, dass Sophos vor allem in den Bereichen Identitätsschutz, Effizienz und E-Mail-Hygiene nachschärft. Mit Passkeys und ITDR wird Credential Theft gezielt adressiert. Der Endpoint 2025.2.x entlastet Systeme spürbar, während Forensik-APIs neue Wege im Incident Response eröffnen. Im Netzwerkbereich sorgt ATR für eine stärkere Kopplung von Firewall und Endpoint, während Switches und Access Points eher durch Nachzügler-Features auffallen. Für die E-Mail-Sicherheit gibt es einfache Tools, die sofort Mehrwert schaffen. Gleichzeitig zeigt das Webinar, dass Sophos auch Compliance, Events und Marketing weiter nach vorne bringt – teils sinnvoll, teils verspätet.
Persönlich freue ich mich aber vor allem auf SFOS v22, das Anfang Dezember erscheinen soll. Hier erwarte ich deutlich spannendere Neuerungen, die den bisherigen Updates die Show stehlen könnten.
bis bald Joe