Beratungspakete Sophos XGS Firewall

Management Summary

Die Sophos Firewall (XGS-Serie) bietet Unternehmen ein hohes Sicherheits- und Betriebsniveau – sofern sie richtig eingerichtet und gepflegt wird. Unsere drei abgestuften Beratungspakete (S, M, L) stellen sicher, dass Sie diese Next-Generation-Firewall optimal nutzen: vom soliden Grundschutz bis hin zum Enterprise-Betrieb mit Hochverfügbarkeit und Software-Defined Wide Area Network (SD-WAN). Ohne professionelle Implementierung bleiben oft Sicherheitslücken unbemerkt oder Funktionen ungenutzt – ein erhebliches Risiko für Betriebsstabilität und Compliance. Die Pakete bieten klar definierte Leistungen zu transparenten Festpreisen (ca. 5.000–15.000 € je nach Paket, zzgl. MwSt. und Reisekosten). So erhalten Sie eine belastbare Grundlage, um Ihr Netzwerk wirksam abzusichern und zukunftsfähig zu gestalten.

Ausgangslage & Nutzen von Sophos XGS

Viele mittelständische Unternehmen haben bereits in eine Sophos Firewall (XGS-Serie) investiert oder planen dies. Oft fehlt jedoch die Zeit oder das Spezialwissen, um die vielfältigen Schutzfunktionen und Optimierungsmöglichkeiten voll auszuschöpfen. Hier setzen unsere Beratungspakete an: Sie bringen bewährte Best Practices ins Haus und heben ungenutztes Potenzial Ihrer Firewall.

Ein fachgerecht konfiguriertes Sophos XGS-System erhöht die Netzwerksicherheit spürbar. Angriffe werden zuverlässig erkannt und blockiert (z. B. durch ein Intrusion Detection/Prevention System (IDS/IPS) und Web-Filter), sensible Daten bleiben geschützt und Zugriffe sind strikt nach Bedarf segmentiert. Gleichzeitig profitieren Sie von einem stabilen Betrieb: klare Regeln und ein sauber strukturiertes Regelwerk minimieren Fehlkonfigurationen, und Features wie Hochverfügbarkeit oder SD-WAN sorgen für ausfallsichere Standortanbindungen. Nicht zuletzt unterstützt eine gute Dokumentation und Zentralverwaltung (Sophos Central) bei der Einhaltung von Compliance-Vorgaben und erleichtert Audits.

Paketübersicht

Die folgenden Pakete bieten abgestufte Leistungsumfänge für unterschiedliche Bedürfnisse. Jeder Paketpreis ist ein Fixpreis auf Basis des geschätzten Beratungsaufwands. Der Rechenweg mit Tagessatz (1.500 €) wird transparent ausgewiesen. Alle Preise verstehen sich zzgl. MwSt. und Reisekosten.

Paket	Ziel	Fachlicher Umfang	Ergebnisse (Deliverables)	Geschätzte PT	Fixpreis (Rechenweg)	Typ. Projektdauer	Geeignet für
S – Grundschutz & Basisbetrieb	Basisschutz herstellen und stabilen Betrieb sicherstellen.	• Erstaufnahme Ist-Umgebung• Basis-Hardening der Firewall• Einrichtung von Zonen, Segmenten und sicheren Access Control Lists (ACL)• Grundregeln für Network Address Translation (NAT) und Traffic• Einrichtung VPN-Grundlagen (Site-to-Site oder Remote-Access)• Aktivierung Logging, Backup und Anbindung an Sophos Central	• Dokumentation der Basis-Konfiguration (Kurzbericht, ~5 Seiten PDF)• Laufende Sophos XGS mit grundgehärteter Konfiguration• Backup- und Log-Konzept implementiert• Kurze Administrator-Einweisung (Basics)	3–4 PT	3–4 PT × 1.500 € = 4.500–6.000 €	ca. 2 Wochen	Unternehmen mit einem Standort, die erstmals eine Sophos XGS einführen oder grundlegende Sicherheit sicherstellen wollen.
M – Erweiterter Schutz & Policy-Design	Erweiterte Schutzfunktionen implementieren und Policies optimieren.	• Tiefere Analyse der Anforderungen• Web- und E-Mail-Schutz-Policies einrichten• Intrusion Detection/Prevention (IDS/IPS)-Regeln feintunen• SSL-Inspection Konzept & Zertifikats-Deployment• SD-WAN-Routing-Richtlinien für mehrere Leitungen• Site-to-Site- und Remote-VPN-Blueprint erstellen• Custom Reporting und Alarme einrichten• Betriebshandbuch (komprimiert) erstellen	• Vollständig konfigurierte Sophos XGS mit optimierten Security-Policies• SSL-Inspektionskonzept (Dokument)• Blueprint für VPN-Konfiguration (Dokument)• Kompaktes Betriebshandbuch (~10 Seiten PDF)• Administrator-Workshop (1 Tag)	5–6 PT	5–6 PT × 1.500 € = 7.500–9.000 €	ca. 4 Wochen	Bestehende Sophos XGS-Nutzer, die Grundschutz erweitert haben möchten – z. B. zusätzlicher Standort, mehr Nutzer oder höhere Compliance-Anforderungen.
L – Enterprise & Betrieb	Große Umgebungen mit HA und Multi-Site-Architektur abdecken.	• Architektur-Workshop (inkl. HA-Cluster-Design)• Implementierung High Availability (HA)-Cluster• Standortübergreifendes SD-WAN-Konzept (inkl. RED/Zero-Touch-Provisioning (automatisierte Bereitstellung ohne manuelle Vorkonfiguration))• Ausarbeitung eines Change- und Rollout-Plans• Notfallkonzept (Failover, Backup-Verbindungen)• Vollständiges Betriebs- & Wartungshandbuch• Übergabe-Schulung für Admin-Team	• Sophos XGS im HA-Cluster produktiv• SD-WAN mit mehreren Standorten in Betrieb• Ausführliches Betriebs- und Wartungshandbuch (~30 Seiten PDF)• Notfallplan und Change-Plan (Dokumente)• Intensiv-Schulung der Administratoren (2 Tage)	8–10 PT	8–10 PT × 1.500 € = 12.000–15.000 €	ca. 6–8 Wochen	Unternehmen mit mehreren Standorten oder kritischen Infrastrukturen, die hohe Verfügbarkeit und umfassende Dokumentation benötigen.

Paket S: Grundschutz & Basisbetrieb

Ziele: Paket S legt den Grundstein für die sichere Nutzung Ihrer Sophos XGS. Ziel ist es, einen soliden Grundschutz zu etablieren und den stabilen Basisbetrieb zu gewährleisten. Typische Szenarien sind die Erstimplementierung einer neuen Sophos Firewall oder die Überprüfung einer vorhandenen Installation auf grundlegende Sicherheit.

Leistungsumfang: Im Paket S führt unser Team eine detaillierte Bestandsaufnahme Ihrer aktuellen Netzwerk- und Sicherheitsumgebung durch. Darauf aufbauend erfolgen eine Basis-Härtung der Sophos XGS und das Einrichten zentraler Sicherheitsfunktionen: – Definition von Zonen und Segmenten (Trennung von z. B. Intern, Extern, DMZ) nach Best Practice. – Einrichtung von essenziellen Firewall-Regeln und Access Control Lists (ACL), um unautorisierte Zugriffe zu unterbinden. – Erstellen eines grundlegenden Network Address Translation (NAT)-Regelwerks zur sicheren Kopplung von internen und externen Netzen. – Einrichtung von Virtual Private Network (VPN)-Grundfunktionen: mindestens eine Site-to-Site-VPN-Strecke oder ein Remote-Access VPN für Mitarbeiter, inklusive grundlegender VPN-Policy. – Aktivierung und Konfiguration des Loggings (Protokollierung sicherheitsrelevanter Events) sowie Einrichten regelmäßiger Backup-Jobs der Firewall-Konfiguration. – Anbindung der Sophos XGS an Sophos Central zur zentralen Überwachung und optionalen Verwaltung/Zero-Touch-Bereitstellung.

Ergebnisse & Deliverables: Nach Abschluss von Paket S ist Ihre Sophos XGS-Firewall nach anerkannten Grundschutz-Prinzipien eingerichtet. Sie erhalten: – Eine Dokumentation der durchgeführten Basis-Konfiguration (Kurzbericht, ~5 Seiten PDF mit den wichtigsten Einstellungen und dem Regelwerk). – Einen stabil laufenden Firewall-Betrieb mit definierten Segmenten und Regeln, der Basisangriffe abwehrt und sicher konfiguriert ist. – Ein implementiertes Backup- und Logging-Konzept (inkl. Testwiederherstellung des Backups und Überprüfung der Log-Daten auf Vollständigkeit). – Eine kurze Administrator-Einweisung (halbtägig), damit Ihre IT-Verantwortlichen die neue Umgebung verstehen und im Tagesbetrieb handhaben können.

Annahmen/Voraussetzungen: Für Paket S wird vorausgesetzt, dass eine Sophos XGS-Appliance hardwareseitig bereitsteht (rackmontiert und verkabelt) und über die erforderlichen Basis-Lizenzen verfügt. Die Mitarbeit Ihrer IT-Abteilung ist notwendig, um Zugänge, Netzwerkpläne und ggf. bestehende Konfigurationen bereitzustellen. Wartungsfenster für die Umsetzung (typ. 1–2 Stunden) sollten vereinbart werden, um die Einrichtung ohne ungewollte Unterbrechungen vorzunehmen.

Abgrenzungen: Dieses Paket fokussiert auf grundlegende Firewall-Funktionen. Erweiterte Features wie detaillierte Anwendungsfilter, komplexe Routing-Szenarien oder mehrstufige Policies (etwa für Webfilter pro Abteilung) sind nicht Bestandteil von Paket S. Ebenso nicht enthalten sind Hochverfügbarkeits-Setups oder tiefergehende Integrationen in Drittsysteme (z. B. SIEM oder AD), die über die Basisanbindung an Sophos Central hinausgehen.

Qualitätskriterien & Abnahme: Der Erfolg von Paket S wird daran gemessen, dass alle definierten Basis-Sicherheitsregeln greifen und der Regelbetrieb stabil läuft. Abnahmekriterien sind u. a.: – Alle vorgesehenen Netzsegmente sind korrekt getrennt und nur die freigegebenen Verkehre passieren die Firewall. – Basis-VPN-Verbindungen funktionieren (Test z. B. mit einem entfernten Standort oder Test-User). – Logging- und Backup-Funktionen wurden geprüft (z. B. Test-Restore des Backups, Stichprobenprüfung der Logfiles). – Die Dokumentation wurde an den Kunden übergeben und im Rahmen der Admin-Einweisung erläutert.

Aufwand & Preis: Für Paket S werden je nach Ausgangslage ca. 3–4 Personentage (PT) veranschlagt (abhängig von Netzwerkgröße und Komplexität der vorhandenen Umgebung). Damit ergibt sich ein Richtpreis von 3–4 PT × 1.500 € = 4.500–6.000 € (netto, zzgl. MwSt. und Reisekosten). Den endgültigen Fixpreis legen wir im Kick-off gemeinsam fest, sobald der genaue Projektumfang abgestimmt ist.

Paket M: Erweiterter Schutz & Policy-Design

Ziele: Paket M baut auf einem bestehenden Grundschutz auf (z. B. umgesetzt durch Paket S oder eine vergleichbare Basiskonfiguration) und erweitert die Sicherheitsfunktionen der Sophos XGS. Ziel ist ein fein abgestimmtes Sicherheitsniveau durch maßgeschneiderte Policies und aktivierte Advanced Features. Typische Trigger für Paket M sind gestiegene Compliance-Anforderungen, neue Bedrohungslagen oder die Einbindung weiterer Standorte/Abteilungen, die eine Überarbeitung der Firewall-Policies nötig machen.

Leistungsumfang: In Paket M analysieren wir zunächst gemeinsam mit Ihnen die aktuellen Anforderungen und Risiken. Darauf basierend führen wir eine vertiefte Konfiguration der Sophos XGS durch: – Einführung oder Optimierung von Web-Protection und E-Mail-Protection: Einrichten von Policies zur Filterung unerwünschter Web-Inhalte (Kategoriefilter, File-Blocking) und ggf. Aktivieren des E-Mail-Schutzes (Spamfilter/Phishing-Schutz), sofern Ihr Mailverkehr über die Firewall läuft. – Feinjustierung der Intrusion Detection and Prevention (IDS/IPS): Anpassen der IPS-Regelwerke auf Ihre Umgebung (Abschalten irrelevanter Signaturen, Aktivieren kritischer Schutzregeln) zur Reduzierung von Fehlalarmen und Leistungsoptimierung. – Erarbeitung eines Konzepts für SSL-Inspection (TLS-Entschlüsselung): Festlegen, welche ausgehenden HTTPS-Verbindungen von der Firewall entschlüsselt und geprüft werden sollen. Dazu gehört die Einrichtung einer internen CA oder Bereitstellung des Sophos CA-Zertifikats für Clients, sowie Ausnahmen für sensible Dienste (z. B. Banking, Gesundheitsdaten), um die Balance zwischen Sicherheit und Benutzerfreundlichkeit zu wahren. – Konfiguration von SD-WAN-Richtlinien: Falls mehrere Internetleitungen oder Standortanbindungen vorhanden sind, definieren wir dynamische Routing-Policies, um Verkehr optimal zu verteilen (z. B. Priorisierung von Office-365-Traffic über die performantere Leitung, automatisches Failover bei Ausfall einer WAN-Strecke). – Entwicklung eines VPN-Blueprints: Erstellung von Vorgaben für Site-to-Site-VPN-Verbindungen zwischen mehreren Standorten und für das Remote-Access-VPN (z. B. einheitliche Verschlüsselungsstandards, Namenskonventionen, Adressbereiche), um zukünftige Tunnel konsistent und sicher aufzubauen. Gegebenenfalls Einrichtung erster zusätzlicher VPNs nach diesem Blueprint. – Aktivierung und Anpassung der Reporting-Funktionen: Einrichten von individualisierten Berichten und Alarmen in der Sophos Firewall bzw. Sophos Central (z. B. regelmäßiger Security-Report an Administratoren, Alarm-E-Mails bei kritischen Events). – Erstellung eines kompakten Betriebshandbuchs: Dokumentation aller neuen Policies und Einstellungen in einem praxisorientierten Handbuch (~10 Seiten), das als Nachschlagewerk für Administratoren dient.

Ergebnisse & Deliverables: Nach Paket M ist Ihre Sophos XGS umfassender gegen moderne Bedrohungen geschützt und auf Ihre Organisation zugeschnitten. Sie erhalten: – Eine aktualisierte, voll dokumentierte Firewall-Konfiguration mit erweiterten Security-Policies (Web- und E-Mail-Filter, optimierte IPS-Regeln, SD-WAN-Settings). – Ein SSL-Inspection-Konzept (Dokumentation), das die Vorgehensweise und Ausnahmen für die verschlüsselte Datenverkehrskontrolle festhält. – Einen VPN-Blueprint als Dokument oder Schaubild (z. B. Visio-Netzplan), der zukünftige Standort-Anbindungen standardisiert. – Ein komprimiertes Betriebshandbuch (ca. 10 Seiten, PDF), das die täglichen Betriebsaufgaben, Backup/Restore-Prozeduren und Monitoring-Hinweise enthält. – Einen Administratoren-Workshop (eintägig), in dem Ihre IT-Teams die neuen Regeln und Funktionen kennenlernen. Dabei werden Praxisfälle durchgespielt, z. B. wie man auf einen IPS-Alarm reagiert oder Webfilter-Ausnahmen für einen bestimmten Nutzer erstellt.

Annahmen/Voraussetzungen: Für Paket M wird vorausgesetzt, dass die grundlegende Einrichtung der Sophos XGS bereits erfolgt ist (z. B. durch Paket S oder eigenständig). Die nötigen Subscriptions (Web Protection, Email Protection, IPS etc.) sollten aktiv sein, um diese Funktionen nutzen zu können. Ihre Mitarbeit ist wichtig, um spezielle Anforderungen mitzuteilen (z. B. zulässige/unerwünschte Webkategorien, kritische Anwendungen, vorhandene Zertifikatsinfrastruktur). Zudem sollten mögliche Wartungsfenster definiert sein, da einzelne Umstellungen (etwa Aktivierung der SSL-Prüfung) getestet und ggf. justiert werden müssen.

Abgrenzungen: Paket M konzentriert sich auf die Optimierung und Erweiterung der Firewall-Konfiguration an sich. Nicht enthalten sind grundlegende Hardware- oder Topologieänderungen (z. B. Aufbau eines HA-Clusters oder Hinzufügen eines komplett neuen Standorts – dies fiele in Paket L). Auch die dauerhafte Überwachung der Firewall (Managed Services) ist nicht Teil dieses Projekts, ebenso wenig ein umfassendes Penetration Testing der gesamten Infrastruktur – wir schaffen jedoch die Voraussetzungen, damit Sie solche Tests bestehen können. Sollte noch kein Grundschutz vorhanden sein, empfehlen wir zunächst Paket S, da M auf einem soliden Fundament aufbaut.

Qualitätskriterien & Abnahme: Die Abnahme von Paket M erfolgt, wenn die erweiterten Sicherheitsmechanismen nachweislich wirksam und abgestimmt sind. Kriterien: – Testszenarien zeigen, dass gefährliche Webinhalte und E-Mails zuverlässig geblockt werden, legitime Kommunikation aber weiterhin möglich ist (Feintuning erfolgreich). – IPS-Logs weisen keine übermäßigen Fehlalarme mehr auf und echte Angriffe (z. B. per Test-Exploit) werden blockiert. – SSL-Inspection läuft für definierte Ziele und wurde mit Test-Clients geprüft (inkl. Vertrauensstellung des CA-Zertifikats auf den Clients). – SD-WAN-Funktionen wurden durch Simulation eines Leitungswechsels getestet (z. B. Leitungs-Failover ohne Abbruch von kritischen Verbindungen). – Alle Dokumentationen (Policies, Konzepte, Handbuch) wurden übergeben und von den Verantwortlichen gegengelesen. Die Administratoren sind in der Lage, die neuen Features zu bedienen (im Workshop bestätigt).

Aufwand & Preis: Für Paket M kalkulieren wir je nach Umfang und Komplexität etwa 5–6 Personentage, z. B. abhängig von der Anzahl der einzurichtenden Policies und Standorte. Der Richtwert liegt bei 5–6 PT × 1.500 € = 7.500–9.000 € (netto, zzgl. MwSt. und Reisekosten). Nach finaler Scope-Festlegung im Kick-off erfolgt die Festpreis-Angebotsstellung, damit Sie volle Kostentransparenz haben.

Paket L: Enterprise & Betrieb

Ziele: Paket L richtet sich an Unternehmen, die ihre Sophos XGS in geschäftskritischen Umgebungen oder an mehreren Standorten einsetzen und dafür höchste Verfügbarkeit und Professionalität verlangen. Ziel ist es, eine Enterprise-fähige Firewall-Infrastruktur zu gestalten – inklusive High Availability, standortübergreifendem Konzept und umfassenden Betriebsprozessen. Dieses Paket zielt auch darauf ab, Ihre internen Admin-Teams für den dauerhaften Betrieb der Lösung fit zu machen. Typische Auslöser für Paket L sind Expansionsphasen (neue Standorte, Fusionen/Übernahmen) oder der Wunsch nach besserer Absicherung gegen Ausfälle und Notfälle.

Leistungsumfang: Paket L umfasst eine ganzheitliche Architektur- und Betriebsberatung rund um Sophos XGS: – HA-Cluster-Planung und Umsetzung: In einem Architektur-Workshop erarbeiten wir gemeinsam das Design für ein High Availability (HA)-Cluster (Active-Passive-Verbund). Wir berücksichtigen dabei den passenden Betriebsmodus, Synchronisation der Konfiguration und automatische Failover-Mechanismen. Anschließend setzen wir den HA-Cluster produktiv um, testen die Übernahme im Fehlerfall und dokumentieren die nötigen Schritte für zukünftige Firmware-Updates im Cluster. – Mehrstandortfähiges SD-WAN & Zero-Touch-Bereitstellung: Entwicklung eines standortübergreifenden Netzdesigns, das mehrere Sophos XGS (z. B. in Niederlassungen) via SD-WAN verbindet. Dabei nutzen wir Funktionen wie Sophos RED (Remote Ethernet Devices) oder die zentrale Orchestrierung über Sophos Central, um neue Geräte per Zero-Touch-Provisioning (automatisierte Bereitstellung ohne manuelle Vorkonfiguration) anzubinden. Es entsteht ein Konzept, wie Datenverkehr zwischen Standorten optimiert und ausfallsicher geroutet wird (inkl. Ausweichpfade bei Leitungsstörungen). – Change- und Rollout-Plan: Für die Einführung der neuen Architektur erstellen wir einen detaillierten Plan, der geplante Änderungen in einer sinnvollen Reihenfolge und mit minimalen Ausfallzeiten vorsieht. Dazu gehören Abstimmungen mit Ihrer IT (z. B. Timing von Umschaltungen außerhalb der Kernarbeitszeit), Kommunikationspläne an betroffene Standorte und ein Rollback-Konzept für den Notfall. – Notfallkonzept: Ergänzend zum HA-Cluster erarbeiten wir Prozeduren für verschiedene Disaster-Szenarien (z. B. kompletter Internet-Ausfall, Hardware-Defekt beider Cluster-Knoten, Kompromittierung). Dieses Konzept definiert Sofortmaßnahmen, Verantwortlichkeiten und Kommunikationswege, sodass Ihr Team im Ernstfall handlungsfähig ist. Dazu zählen auch regelmäßige Notfallübungen oder Failover-Tests im Betriebsalltag. – Ausführliches Betriebs- und Wartungshandbuch: Wir dokumentieren die gesamte neue Infrastruktur ausführlich in einem Handbuch (ca. 30+ Seiten). Darin enthalten sind Netzwerkpläne, Konfigurationsdetails jeder wichtigen Einstellung, Monitoring- und Wartungsroutinen, Update-Prozesse, Backup/Restore-Anleitungen, Kontaktdaten für Support etc. Dieses Dokument dient als Referenz für Ihre Administratoren und für Audits. – Übergabe und Schulung: Zum Abschluss des Projekts findet eine umfassende Übergabe statt. In einer intensiven Schulung (2 Tage) werden Ihre Administratoren mit dem Betrieb des HA-Clusters und dem SD-WAN-Setup vertraut gemacht. Sie lernen Best Practices für Änderungen im laufenden Betrieb, Troubleshooting-Methoden und erhalten Checklisten für Wartung und Monitoring. Zudem übergeben wir alle erstellten Unterlagen offiziell und begleiten Sie bei einer finalen Abnahmeprüfung der gesamten Lösung.

Ergebnisse & Deliverables: Mit Abschluss von Paket L verfügt Ihr Unternehmen über eine hochverfügbare, skalierbare Sophos XGS-Firewall-Landschaft. Konkret erhalten Sie: – Eine produktive HA-Cluster-Konfiguration Ihrer Sophos XGS-Firewalls, ausfallsicher konfiguriert und getestet. – Ein implementiertes standortübergreifendes SD-WAN bzw. vernetztes Filialkonzept, das dokumentiert ist und in der Praxis (Pilotbetrieb) erprobt wurde. – Einen vollständigen Satz an Dokumenten: Architektur- und Netzpläne (z. B. als Visio-Grafiken), den Change-/Rollout-Plan, das Notfallhandbuch sowie das umfassende Betriebs- und Wartungshandbuch im PDF-Format. – Geschulte Administratoren, die in der Lage sind, die Sophos XGS-Umgebung eigenständig zu betreiben und im Fehlerfall schnell zu reagieren. – Auf Wunsch: einen Abschlussbericht mit Projektergebnissen und Empfehlungen für den weiteren Betrieb (z. B. Hinweise auf sinnvolle Add-ons oder langfristige Optimierungsmöglichkeiten).

Annahmen/Voraussetzungen: Paket L setzt voraus, dass die grundlegenden und erweiterten Funktionen bereits implementiert sind oder parallel umgesetzt werden (Paket S/M oder äquivalente Vorarbeiten). Für einen HA-Cluster wird ein zweites, kompatibles Sophos XGS-Gerät benötigt sowie entsprechende Lizenzen für beide Einheiten. Alle Standorte, die ins SD-WAN integriert werden, sollten über geeignete Anbindungen verfügen (ausreichende Bandbreite, ggf. zweite Leitung für Backup). Die Mitarbeit der Kundenseite ist intensiv erforderlich: Netzwerk- und Systeminformationen aller Standorte, Verfügbarkeit der lokalen IT-Ansprechpartner für Tests, sowie Management-Support für eventuelle Policy-Änderungen (z. B. Routing zwischen Standorten) müssen sichergestellt sein.

Abgrenzungen: Dieses Paket deckt die Einrichtung der Sophos-Firewall-Infrastruktur ab, jedoch keine darüber hinausgehenden Projekte wie z. B. vollständige Netzwerk-Umbauten abseits der Firewall (Switching, WLAN-Design) oder Einführung von umfassenden Identity-Management-Lösungen. Zwar binden wir auf Wunsch Drittsysteme ins Konzept ein (z. B. RADIUS/NAC für User-Authentifizierung), jedoch gehören Entwicklung und Roll-out solcher fremden Systeme nicht zum Kernumfang. Ebenso ist nach Projektabschluss keine dauerhafte Betriebsunterstützung durch uns inkludiert – das Ziel ist vielmehr, Ihr Team dazu zu befähigen (optional kann natürlich ein Supportvertrag separat vereinbart werden).

Qualitätskriterien & Abnahme: Die Abnahme von Paket L erfolgt nach strengen Maßstäben, da es um kritische Infrastrukturen geht: – Der HA-Failover wurde erfolgreich getestet (geplanter Neustart einer Node sowie ungeplanter Ausfall simuliert, unterbrechungsfreier Weiterbetrieb nachgewiesen). – Alle definierten Standorte können gemäß dem SD-WAN-Konzept kommunizieren; Leitungs-Failover und -Failback wurden in Tests erfolgreich durchgeführt. – Die Dokumentationen sind vollständig und vom Kunden verifiziert; insbesondere das Notfallhandbuch und Betriebsmanual wurden inhaltlich abgenommen. – Die Administratorenschulung wurde abgeschlossen und die Teilnehmer konnten in praxisnahen Übungen ihre Handlungsfähigkeit unter Beweis stellen. – Ein gemeinsamer Abschlusstest (User Acceptance Test) bestätigt, dass die implementierte Lösung die festgelegten Anforderungen erfüllt.

Aufwand & Preis: Aufgrund des großen Umfangs und möglicher standortübergreifender Abstimmungen liegt der Aufwand erfahrungsgemäß bei 8–10 Personentagen. Die Spannbreite ergibt sich durch Variablen wie Anzahl der Standorte, Komplexität des Regelwerks und Koordinationsaufwand. Daraus resultiert ein Richtpreis von 8–10 PT × 1.500 € = 12.000–15.000 € (netto, zzgl. MwSt. und Reisekosten). Nach dem initialen Architektur-Workshop und der Feinabstimmung im Kick-off erhalten Sie ein verbindliches Festpreisangebot für das definierte Leistungspaket.

Vorgehensmodell & Zeitplan

Unsere bewährte Projektvorgehensweise gewährleistet eine strukturierte Umsetzung. Im Folgenden sind die typischen Phasen mit ihren Inhalten, Ergebnissen und Verantwortlichkeiten skizziert:

Phase	Inhalte	Ergebnis	Verantwortung (Kunde/Berater)
Kick-off	Projekt-Kick-off Meeting; Abgleich Ziele und Umfang; Abstimmung Zeitplan; Einrichtung Kommunikationswege.	Gemeinsames Verständnis von Ziel und Scope; Protokoll mit vereinbartem Projektplan.	Kunde: stellt Anforderungen und Infos bereitBerater: moderiert, dokumentiert
Analyse	Bestandsaufnahme der bestehenden Firewall-Konfiguration und Netzwerkstruktur; Interviews mit Administratoren; Prüfung Lizenzen/Versionen.	Analysebericht oder Ist-Zustand-Dokumentation; identifizierte Lücken und Optimierungspotenziale.	Kunde: liefert Unterlagen/Zugänge, beantwortet FragenBerater: führt Analyse durch, erstellt Bericht
Design	Ausarbeitung des Ziel-Designs: Netzwerksegmentierung, Regelwerk, Architektur (HA/SD-WAN), Policies etc.; Review-Schleifen mit Kunde.	Design-Dokument/Blueprint, abgestimmt und freigegeben vom Kunden (inkl. Implementierungsplan).	Berater: erstellt DesignvorschlägeKunde: prüft und gibt Design frei
Umsetzung	Umsetzung der Konfiguration auf der Sophos XGS gemäß Design: Einrichtung/Änderung von Regeln, Features aktivieren, Cluster/SD-WAN einrichten; engmaschige Kommunikation während Änderungen; ggf. sukzessives Rollout pro Standort.	Implementierte neue Konfiguration auf Test- bzw. Produktivsystem; Fortschrittsberichte.	Berater: führt Änderungen durchKunde: steht für Rückfragen bereit, validiert kritische Änderungen im Betrieb
Test / Abnahme	Geplanter Test der neuen Funktionen (z. B. Failover-Test, Test von Filterregeln, VPN-Verbindungen); gemeinsame Prüfung gegen Abnahmekriterien; Fehlerbehebung/Feintuning falls nötig.	Abnahmeprotokoll, welches die erfüllten Kriterien dokumentiert; ggf. Liste offener Punkte mit Lösungen.	Berater: leitet Tests, dokumentiert ErgebnisseKunde: testet mit, bestätigt Erfüllung der Anforderungen
Dokumentation & Übergabe	Überreichung aller erstellten Dokumente (Konzeptpapiere, Handbücher, Pläne); Abschlussbesprechung; Durchführung der Administrator-Schulung (je nach Paket unterschiedlich umfangreich).	Vollständige Projektdokumentation in Kundenhand; geschultes IT-Personal; offizieller Projektabschluss.	Berater: liefert Dokus, schult PersonalKunde: nimmt Dokumente entgegen, benennt Schulungsteilnehmer

Dieser Zeitplan kann je nach Paketgröße variieren. Ein einfaches Paket S ist oft in 2–3 Wochen durch alle Phasen geführt, wohingegen Paket L mit mehreren Standorten durchaus 2–3 Monate Laufzeit haben kann (in Teilzeit abgestimmt mit Ihrem Team). Wichtig ist eine enge Zusammenarbeit: Wir legen Wert auf regelmäßige Status-Updates und binden Ihre Fachexperten bei Entscheidungen ein.

Voraussetzungen & Abhängigkeiten

Für eine reibungslose Projektdurchführung sollten gewisse Voraussetzungen erfüllt sein: – Lizenzstatus: Die Sophos XGS muss über gültige Lizenzen bzw. Subscriptions für die geplanten Funktionen verfügen (z. B. Web Protection, Email, SD-WAN, je nach Paket). Fehlende Lizenzen sind vor Projektstart zu erwerben oder zu verlängern. – Firmware-Stand: Wir empfehlen einen aktuellen Firmware-Stand (mindestens SFOS v18 oder höher), um alle Funktionen (z. B. TLS-Inspection, SD-WAN) nutzen zu können. Falls ein Update nötig ist, kann dies ggf. vorgelagert werden. – Netzwerkdokumentation & Zugänge: Eine aktuelle Netzwerkübersicht (IP-Adresspläne, VLANs, vorhandene VPNs) erleichtert die Planung erheblich. Zudem benötigen wir administrative Zugänge zur Firewall und ggf. zu relevanten Systemen (Directory Services für Authentifizierung etc.), die im Projekt genutzt werden. – Wartungsfenster: Da Änderungen an der Firewall immer mit einem Restrisiko verbunden sind, sollten im Voraus Wartungs- oder Servicefenster definiert sein, in denen wir Anpassungen vornehmen dürfen. Diese Fenster (z. B. abends oder am Wochenende) werden mit Ihnen geplant, um den Geschäftsbetrieb nicht zu stören. – Mitarbeiter-Ressourcen: Auf Kundenseite sollten ein oder mehrere Ansprechpersonen aus IT/Security für die Projektdauer benannt werden, die für Abstimmungen verfügbar sind. Ebenso ist es hilfreich, wenn Entscheidungsträger (IT-Leitung) für wichtige Weichenstellungen bereitstehen (z. B. Freigabe von Policies, Ausnahmegenehmigungen). – Change-Prozess: Sofern Ihr Unternehmen einen formalen Change-Management-Prozess hat, binden wir diesen ein (Change Requests, Dokumentation von Änderungen). Bitte informieren Sie uns vorab, damit wir genügend Zeit für eventuelle Genehmigungen einplanen können. – Externe Abhängigkeiten: Falls externe Partner oder Provider involviert sind (z. B. beim Einrichten eines neuen Internetanschlusses, bei bestehenden Third-Party-VPNs), sollten diese frühzeitig eingebunden werden. Die Projektplanung berücksichtigt solche Abhängigkeiten, damit es nicht zu ungeplanten Wartezeiten kommt.

Risiken & Gegenmaßnahmen

Bei der Überarbeitung von Firewall-Strukturen können gewisse Risiken auftreten. Wir identifizieren diese frühzeitig und planen Gegenmaßnahmen, um den Projekterfolg und den sicheren Betrieb zu gewährleisten: – Altlasten im Regelwerk: In bestehenden Firewalls haben sich oft veraltete oder redundant gewordene Regeln angesammelt. Risiko: Unübersichtlichkeit und potenzielle Sicherheitslücken. Gegenmaßnahme: Wir führen eine Regelwerksanalyse durch, bereinigen unnötige Einträge und konsolidieren die Regeln auf ein schlankes, verständliches Set. Historische Regeln werden nur entfernt, nachdem geprüft ist, dass sie nicht mehr benötigt werden. – Zertifikatsabhängigkeiten (SSL-Inspection): Bei Aktivierung der SSL-Entschlüsselung muss das Firewall-Root-Zertifikat in allen relevanten Clients vertraut sein. Risiko: Ohne Verteilung des Zertifikats schlagen Verbindungen fehl oder Nutzer bekommen Warnmeldungen. Gegenmaßnahme: Wir erstellen einen Plan zur Zertifikatsverteilung (z. B. via Gruppenrichtlinie im Active Directory oder manuell für externe Geräte) und aktivieren SSL-Inspection schrittweise, beginnend mit einer Testgruppe. – Third-Party-Tunnel und Legacy-Verbindungen: Wenn VPN-Tunnel zu Drittpartnern oder älteren Geräten bestehen, könnten neuere Sicherheitseinstellungen (stärkere Verschlüsselung, restriktivere Policies) inkompatibel sein. Risiko: Verbindungsverlust oder Konnektivitätsprobleme mit Partnern. Gegenmaßnahme: Solche Verbindungen werden im Vorfeld identifiziert und in das Konzept einbezogen. Gegebenenfalls werden für einzelne Tunnel abgestufte Einstellungen vereinbart oder testweise parallel aufgebaut, um Kompatibilität sicherzustellen, bevor alte Verbindungen abgestellt werden. – Legacy-Protokolle und Alt-Systeme: Ältere Dienste (z. B. Geräte, die nur unsichere Protokolle wie SMBv1 unterstützen) könnten von einer strikt konfigurierten Firewall blockiert werden. Risiko: Funktionsstörungen bei alten Anwendungen. Gegenmaßnahme: Wir inventarisieren kritische Legacy-Komponenten frühzeitig. Wo möglich, empfehlen wir Updates der Systeme. Falls nicht, implementieren wir kontrollierte Ausnahmen im Firewall-Regelwerk mit eng begrenztem Scope und begleiten eventuelle Migrationspläne. – Performance-Engpässe: Das Einschalten ressourcenintensiver Features (wie Deep Packet Inspection aller SSL-Verbindungen oder umfangreiches Logging auf externe Systeme) kann die Firewall stärker belasten. Risiko: Mögliche Performanceeinbußen im Netzwerkverkehr. Gegenmaßnahme: Wir prüfen die Auslastung und das Modell der Sophos XGS im Vorfeld und dimensionieren die Einstellungen entsprechend. In kritischen Fällen geben wir Empfehlungen zur Hardware (Upgrade des Modells oder Anpassung der Aktivität bestimmter Features) ab. Außerdem werden neue Features zunächst in kleinem Umfang pilotiert und überwacht, bevor sie flächendeckend aktiviert werden. – Änderungsfehler: Jede manuelle Änderung an einem produktiven Sicherheitssystem birgt das Risiko eines Konfigurationsfehlers. Risiko: Unbeabsichtigte Ausfälle oder Lücken durch Fehlkonfiguration. Gegenmaßnahme: Wir arbeiten nach dem Vier-Augen-Prinzip: Wichtige Änderungen werden von einem zweiten Consultant oder einem kundenseitigen Administrator gegengeprüft. Zudem nutzen wir, wo möglich, die Simulations- und Testfunktionen der Sophos XGS (z. B. Policy-Test-Tool) und setzen auf Backup-Strategien (vor jeder Änderung wird ein Config-Backup erstellt, um bei Bedarf rasch zurückrollen zu können).

Durch diese proaktive Risiko-Management-Strategie stellen wir sicher, dass Ihr Netzwerk während des Projekts und danach geschützt bleibt und es zu keinen ungewollten Überraschungen kommt.

Optionale Add-ons

Je nach Bedarf können weitere Leistungen ergänzend zu den Paketen beauftragt werden. Diese Add-ons erlauben eine noch tiefergehende Anpassung Ihrer Sicherheitsinfrastruktur. Alle genannten Aufwände sind grobe Schätzungen; die tatsächlichen PT hängen vom konkreten Umfang ab: – Mikrosegmentierung interner Netze: Feingranulare Segmentierung Ihres LAN (z. B. Separierung von Abteilungs- und IoT-Netzen durch VLANs und firewallseitige Policies) für maximale Eindämmung seitlicher Angriffe. Aufwand: ca. 3 PT. – Integration von Network Access Control (NAC): Anbindung der Firewall an eine NAC-Lösung oder Nutzung der Sophos Synchronized Security (Endpoint-Heartbeat), um nur Geräten mit definiertem Sicherheitsstatus Zugriff zu erlauben. Aufwand: ca. 2–3 PT (je nach NAC-System). – Zentralisiertes Logging/SIEM-Anschluss: Einrichtung eines zentralen Log-Servers oder SIEM (Security Information and Event Management) für die Sophos XGS. Inklusive Konfiguration von Log-Exports (z. B. Syslog) und Basis-Dashboards zur Korrelation von Sicherheitsereignissen. Aufwand: ca. 1–2 PT. – Erstellung von Compliance-Dokumentation: Ausarbeitung zusätzlicher Dokumente wie Regelwerk-Richtlinien, Betriebsprozesse oder Sicherheitskonzepte, um z. B. Anforderungen nach ISO 27001, BSI IT-Grundschutz oder branchenspezifischen Standards zu erfüllen. Aufwand: ca. 3 PT (variiert je nach Tiefe der Dokumentation). – Penetrationstest-Readiness-Check: Vorbereiten Ihrer Firewall-Umgebung auf einen geplanten Penetrationstest. Überprüfung der Konfiguration auf typische Schwachstellen (z. B. offene Management-Ports, Standardpasswörter, veraltete Cipher-Suites) und gezielte Härtung dieser Punkte. Aufwand: ca. 2 PT. – Erweiterte Admin-Schulungen: Zusätzliche oder vertiefende Schulungstage für Ihr Personal – etwa ein Workshop zur fortgeschrittenen Firewall-Regelwerk-Optimierung oder ein Incident-Response-Training im Umgang mit Sophos XGS. Aufwand: 1 PT pro Schulungstag (Inhalte nach Absprache).

Diese Add-ons können flexibel mit einem Paket kombiniert oder auch einzeln beauftragt werden. Sie eignen sich besonders, um das Sicherheitsniveau weiter zu erhöhen oder spezifische Compliance-Vorgaben abzudecken.

Preistabelle

Zum Abschluss erhalten Sie eine Übersicht der Paketpreise und ggf. hinzugewählten Add-ons. Alle Preise sind als Fixpreise kalkuliert und basieren auf dem genannten Tagessatz von 1.500 €.

Leistung	Personentage (PT)	Berechnung	Fixpreis (netto)
Paket S – Grundschutz & Basisbetrieb	3–4 PT	3–4 × 1.500 €	4.500–6.000 €
Paket M – Erweiterter Schutz & Policy	5–6 PT	5–6 × 1.500 €	7.500–9.000 €
Paket L – Enterprise & Betrieb	8–10 PT	8–10 × 1.500 €	12.000–15.000 €
Optionale Add-ons:
– Mikrosegmentierung	ca. 3 PT	3 × 1.500 €	4.500 €
– NAC-Anbindung	ca. 2–3 PT	2–3 × 1.500 €	3.000–4.500 €
– Zentrales Logging/SIEM	ca. 1–2 PT	1–2 × 1.500 €	1.500–3.000 €
– Compliance-Dokumente	ca. 3 PT	3 × 1.500 €	4.500 €
– Pen-Test-Readiness	ca. 2 PT	2 × 1.500 €	3.000 €
– Zusatz-Schulung (pro Tag)	1 PT	1 × 1.500 €	1.500 €

Alle genannten Preise verstehen sich zzgl. gesetzlicher MwSt. und ggf. Reisekosten.

Nächste Schritte

Warum jetzt handeln? Angesichts stetig wachsender Cyber-Bedrohungen und steigender Compliance-Anforderungen ist es ratsam, die Firewall-Sicherheit proaktiv auf ein solides Fundament zu stellen. Jedes ungenutzte Sicherheitsfeature oder jede Fehlkonfiguration kann ein Einfallstor für Angreifer bedeuten. Durch ein strukturiertes Beratungsprojekt reduzieren Sie jetzt die Risiken von Datenverlust, Systemausfällen oder Compliance-Verstößen, bevor daraus ernsthafte Vorfälle werden. Gleichzeitig erhöhen Sie die Betriebsstabilität und Effizienz Ihrer IT, da eine optimal konfigurierte Firewall weniger manuelle Nacharbeit und Troubleshooting verursacht.

Kontakt & Projektstart: Wenn Sie eines der Pakete oder eine Kombination daraus beauftragen möchten, stehen wir für ein unverbindliches Vorgespräch zur Verfügung. Darin klären wir gemeinsam, welches Paket am besten zu Ihren Zielen passt und welche individuellen Anpassungen ggf. sinnvoll sind. Für die Angebotserstellung und eine zügige Projektvorbereitung benötigen wir einige Vorabinformationen: – Modell und Performanceklasse Ihrer Sophos XGS: z. B. XGS 2100, XGS 3100 – sowie die Anzahl der im Einsatz befindlichen Geräte. – Firmware-Version: Derzeitig installierte SFOS-Version auf den Firewalls. – Anzahl der Standorte/Filialen: Die angebunden werden sollen, inklusive grober Netzgrößen (ungefähre Benutzerzahl pro Standort). – Bestehende VPNs: Auflistung vorhandener Site-to-Site- oder Provider-VPNs, inkl. grober Partner-Information (für Kompatibilitätsprüfung). – Wartungsfenster: Mögliche Zeiten, zu denen Änderungen implementiert werden dürfen (z. B. nachts, Wochenende, definierte Downtime-Slots). – Besondere Anforderungen: Gibt es spezifische Sicherheitsrichtlinien, Compliance-Vorgaben oder bekannte Problemstellen, die wir beachten sollen? (z. B. branchenspezifische Regularien, kritische Legacy-Systeme). – Zieltermin/Vorgaben: Falls das Projekt bis zu einem bestimmten Datum abgeschlossen sein soll (z. B. vor einem Audit) oder ein bevorzugter Projektstart gewünscht ist.

Mit diesen Informationen erstellen wir Ihnen umgehend ein konkretes Angebot. In der Regel kann ein Projektstart innerhalb von 2–4 Wochen nach Beauftragung erfolgen, je nach Verfügbarkeit Ihrer und unserer Ressourcen. Nach Beauftragung vereinbaren wir den Kick-off-Termin und legen gemeinsam die nächsten Schritte fest.

Wir freuen uns darauf, Sie bei der Absicherung und Optimierung Ihrer Sophos XGS-Firewall zu unterstützen – so können Sie sich auf Ihr Kerngeschäft konzentrieren, während Ihre Netzwerksicherheit in guten Händen ist.

 

Weitere Beiträge zum Thema DITA und Adobe FrameMaker