Jahrelang galt Unified Threat Management als Goldstandard der Netzwerksicherheit: eine Appliance, ein Hersteller, alle Funktionen. Firewall, VPN, Webfilter, Mail-Security, IDS/IPS – alles aus einer Hand. Das Schweizer Taschenmesser der Netzwerksicherheit, wie es BeforeCrypt treffend formuliert. Doch genau wie beim Taschenmesser stellt sich irgendwann die Frage: Reicht das Werkzeug noch – oder braucht es eine richtige Werkstatt?
Sophos stellt sein UTM-Produkt ein. Gartner hat die Firewall-Kategorie umbenannt. Und immer mehr Unternehmen stellen sich die Frage: Ist die “eine Box für alles” noch zeitgemäß?
Bei Stylite wurde diese Frage mit einem klaren Nein beantwortet. Statt auf die nächste UTM-Generation zu wechseln, wird auf spezialisierte, einzeln kontrollierbare Security-Services gesetzt.
Warum UTM unter Druck steht#
Eine Box fällt aus – alles steht still#
Das größte operative Risiko einer UTM-Appliance ist so offensichtlich, dass es oft übersehen wird: Wenn die eine Box ausfällt, fallen alle Security-Services gleichzeitig aus. Firewall weg, VPN weg, Webfilter weg, Mail-Security weg.
TechTarget formuliert es nüchtern:
“The single point of defense that a UTM appliance provides also creates a single point of failure.”
Ob Hardware-Defekt, fehlgeschlagenes Firmware-Update oder Softwarefehler: Wenn die eine Box steht, steht alles. Die naheliegende Lösung – zwei UTMs für Redundanz – konterkariert den Hauptvorteil des Konzepts. Plötzlich wird die “einfache, günstige Lösung” doppelt so teuer und doppelt so komplex.
Lizenz abgelaufen – Features tot#
Bei UTM-Appliances sind die meisten Funktionen lizenzgebunden. Läuft die Lizenz ab – sei es durch ein Versäumnis oder ein Missverständnis mit dem Reseller – werden die Premium-Features sofort deaktiviert. Webfilter, WLAN-Management, WAF, Mail-Security, Firmware-Updates: alles weg. Was bleibt, ist grundlegendes Routing und die Stateful Firewall (Network Guy ).
Bei entkoppelten Services betrifft ein Lizenzproblem genau einen Service. Der DNS-Filter läuft ab? Ärgerlich, aber Firewall, VPN und Mail-Security funktionieren weiter.
Wenn der Hersteller den Stecker zieht#
Genau das passiert aktuell mit der Sophos UTM (SG-Serie), die im DACH-Raum weit verbreitet war und am 30. Juni 2026 ihr EOL erreicht (Sophos FAQ ). Sophos bietet mit der XGS-Serie (SFOS) einen Nachfolger an, aber SFOS ist kein Upgrade, sondern ein komplett anderes Produkt. Die Migration erfordert, große Teile der Konfiguration neu aufzubauen (Kappa Data ).
Das ist ein strukturelles Risiko des UTM-Modells: Wenn die gesamte Sicherheitsarchitektur in einem Produkt steckt, bedeutet jedes EOL eine Vollmigration. Bei modularer Architektur betrifft ein Produktwechsel immer nur eine Komponente.
Cloud, SaaS und Remote Work#
Das klassische UTM-Modell basiert auf einer Prämisse, die zunehmend nicht mehr zutrifft: dass der gesamte Traffic durch eine zentrale Appliance fließt.
In der Realität von 2026 sieht das anders aus:
- Remote-Mitarbeiter verbinden sich direkt mit SaaS-Diensten – am UTM vorbei
- Cloud-Workloads laufen in AWS, Azure oder Hetzner – nicht hinter der Büro-Firewall
- Multi-Site-Umgebungen erfordern entweder teure UTM-Cluster an jedem Standort oder komplexe VPN-Tunnel
Was für UTM spricht – eine ehrliche Bestandsaufnahme#
Trotz aller Kritik hat das UTM-Konzept reale Vorteile:
✅ Vorteile#
- Einfachheit: Eine Konsole, ein Anbieter, ein Ansprechpartner. Für kleine IT-Teams ein echter Vorteil.
- Kosteneffizienz: Für Unternehmen unter 50 Mitarbeitern oft günstiger als fünf separate Speziallösungen.
- Compliance out-of-the-box: Produkte wie Securepoint sind speziell auf DSGVO, BSI-Grundschutz und NIS2 ausgelegt.
- Lokale Datenverarbeitung: Kein Traffic verlässt das Netzwerk zur Inspektion.
Für eine Arztpraxis, eine Kanzlei oder einen Handwerksbetrieb mit 20 Arbeitsplätzen und ohne Cloud-Strategie kann eine moderne NGFW-Appliance nach wie vor die pragmatische Wahl sein.
⚠️ Herausforderungen#
- Single Point of Failure: Hardware-Ausfall = Totalausfall aller Security-Funktionen
- Lizenzabhängigkeit: Ablaufende Lizenz deaktiviert sofort alle Premium-Features
- Vendor Lock-in: Herstellerwechsel bedeutet Komplettmigration
- Performance-Kompromisse: Alle Features aktiviert = deutlich weniger Durchsatz
- EOL-Risiko: Hersteller stellt Produkt ein → erzwungene Migration der gesamten Sicherheitsarchitektur
Was statt UTM? – Die Bausteine modularer Security#
Kein UTM-Hersteller kann in jeder Disziplin mit spezialisierten Anbietern mithalten. Exeon belegt: Best-of-Breed-Ansätze liefern messbar bessere Erkennungsraten. Sangfor fasst den Kernvorteil zusammen:
“Traditional security gives you the option to replace or upgrade individual components without overhauling the whole system – something rarely possible in an all-in-one UTM model.”
Firewall + Site-to-Site VPN: Zusammen lassen#
Firewall und Standortvernetzung (IPsec, WireGuard) gehören logisch zusammen – beides betrifft die Netzwerkebene und arbeitet direkt mit Routing und Paketfilterung. Hier ergibt eine dedizierte Lösung wie pfSense oder OPNsense Sinn: volle Kontrolle über das Regelwerk, keine Lizenz die Features deaktiviert, und der Quellcode ist einsehbar. Das bleibt das Herzstück – aber eben nur das Herzstück, ohne den ganzen UTM-Ballast drumherum.
Benutzer-VPN: Raus aus der Firewall#
Das klassische Remote-Access-VPN über die UTM gewährt in der Regel Zugang zum gesamten Netzwerk. Zero-Trust-VPNs wie ZeroTier oder Tailscale lösen das anders: Der Zugang wird pro Host und pro Service gesteuert. Peer-to-Peer-verschlüsselt, ohne zentralen Engpass, und unabhängig davon, ob die Firewall gerade erreichbar ist.
Reverse Proxy: Auf eine eigene VM#
In der UTM heißt das “Webserver Protection” oder WAF. Läuft dieser auf der Firewall, hat ein Angreifer bei einer Schwachstelle im Proxy potenziell Zugriff auf die Firewall-Konfiguration. Auf einer eigenen VM – mit Caddy, Nginx oder Traefik – ist die Angriffsfläche isoliert.
DNS-Filtering statt Webfilter#
Der Webfilter war immer eines der Performance-hungrigsten UTM-Module. DNS-basierte Filterung über Dienste wie NextDNS ist fundamental effizienter – die Filterung passiert auf DNS-Ebene, bevor überhaupt eine Verbindung aufgebaut wird. Und: DNS-Filtering funktioniert auch für Geräte außerhalb des Firmennetzwerks.
Malware-Schutz: Mehrschichtig statt zentral#
Das Antivirus-Gateway in der UTM scannt den Traffic mit einer Engine und einem Signaturset. Fällt es aus, gibt es null Schutz. Besser: Mehrere unabhängige Schichten.
- Windows Defender auf dem Endpoint – solide Schutzlösung ohne Zusatzkosten
- DNS-Filtering blockt bekannte Malware-Domains, bevor der Schadcode heruntergeladen wird
- Dedizierter Scanner auf einer VM oder als Cloud-Lösung (z.B. ClamAV ) für eingehende Dateien
Die Aufteilung im Überblick#
| UTM-Funktion | Wohin? | Begründung |
|---|---|---|
| Firewall + Site-to-Site VPN | pfSense / OPNsense | Gehört logisch zusammen, dedizierte Hardware |
| Benutzer-VPN | ZeroTier, Tailscale | Zero Trust, unabhängig von Firewall-Verfügbarkeit |
| Reverse Proxy / WAF | Eigene VM | Angriffsfläche isolieren |
| Webfilter | NextDNS | Effizienter auf DNS-Ebene, auch remote wirksam |
| Malware-Schutz | Endpoint + DNS + Scanner-VM | Mehrschichtig statt Single-Engine |
| Application Control | ThreatLocker (bei Bedarf) | Zusätzliche Schicht für erhöhte Anforderungen |
Der rote Faden: Keine einzelne Komponente darf so kritisch sein, dass ihr Ausfall die gesamte Sicherheitsarchitektur lahmlegt.
Fazit#
UTM ist nicht tot. Für kleine Unternehmen ohne IT-Abteilung und ohne Cloud-Strategie bleibt eine moderne NGFW-Appliance ein vertretbarer Ansatz. Aber das Fenster, in dem dieses Modell Sinn ergibt, wird kleiner.
Bei Stylite wird aktuell genau diese Aufteilung umgesetzt – weg von der Sophos UTM, hin zu spezialisierten Einzelservices. Nicht weil die UTM schlecht war, sondern weil die Abhängigkeit von einer einzigen Appliance ein operatives Risiko darstellt, das sich mit wachsender Infrastruktur nicht mehr rechtfertigen lässt. Der Ansatz erfordert mehr Know-how und mehr initialen Integrationsaufwand – aber dafür entsteht eine Architektur, die nicht an einem einzigen Hersteller, einer einzigen Lizenz oder einer einzigen Box hängt.
Die aktuelle Lage bietet dafür den idealen Zeitpunkt:
- Sophos UTM erreicht im Juni 2026 sein End-of-Life – eine Migrationsentscheidung steht ohnehin an
- NIS2 erhöht die Anforderungen an nachweisbare IT-Sicherheit
- Wer jetzt migrieren muss, kann gleich die Architektur modernisieren – statt von einer monolithischen Box zur nächsten zu wechseln
Weiterführende Links#
- Exeon: Why Best-of-Breed Means More Cybersecurity – Analyse zu Best-of-Breed vs. Single-Vendor
- Sangfor: UTM vs Traditional Security 2025 – Vergleich der Ansätze
- Hub & Spoke: Firewalls Are Not Swiss Army Knives – Warum Spezialisierung gewinnt
- TechTarget: What is UTM? – Definition mit Single-Point-of-Failure-Analyse
- Network Guy: Was passiert wenn eine UTM-Lizenz abläuft? – Praxisbericht Lizenzablauf
Wim Bonis ist CTO der Stylite AG und beschäftigt sich schwerpunktmäßig mit Netzwerksicherheit und Open-Source-Infrastruktur.