Sophos Firewall OS v21.0 MR2 – Ihr Fahrplan fürs sichere Update

Warum MR2 Pflicht ist – kein „Nice to have“

Am 13. August 2025 hat Sophos das Maintenance Release v21.0 MR2 (Build 349) veröffentlicht. Das ist nicht nur ein weiteres Update – es ist Ihre Versicherung gegen Ausfälle und Sicherheitsrisiken. 

Wir erklären Ihnen, warum der empfohlene Pfad nicht der schnellste, aber der sicherste ist, welche Risiken Sie vermeiden und welche konkreten Vorteile Sie durch das Update auf SFOS 21.0 MR2 haben. So treffen Sie fundierte Entscheidungen, die die Stabilität und Sicherheit Ihrer IT-Infrastruktur gewährleisten.

Executive Summary: 

• Ein direktes Upgrade von SFOS 21.0 MR1 auf 21.5 GA klingt verlockend, ist aber riskant. 
• GA-Versionen sind zwar funktionsreich, bergen jedoch das inhärente Risiko potenzieller Instabilitäten und undokumentierter Fehler, die erst durch reale Praxiseinsätze sichtbar werden. 
• Das Maintenance Release 21.0 MR2 (Build 349) ist die stabilisierte und abgesicherte Version, die über 50 kritische Fehler, Stabilitätsprobleme und Sicherheitslücken beseitigt.  

Ihre Vorteile im Überblick:

• OAuth2 für Mail-Alerts – Pflicht für Microsoft 365 & Gmail, Basic Auth fällt weg.
• AD-SSO für Windows Server 2025 – nahtloses NTLM/Kerberos-Login.
• HA-Troubleshooting – ha.log zeigt Knoten- & Rolleninfos → spart Zeit im Fehlerfall.
• Live-User-Verbrauch – endlich verständlich in KB/MB/GB statt kryptischer Bytes.
• SNMP RFC-konform – volle Kompatibilität mit gängigen Monitoring-Tools.

Alle Details & die komplette Bugfix-Liste finden Sie in unserem MR2-FAQ.

Wichtige Hinweise:

• Direkter Sprung von 21.0 MR2 auf 21.5 GA ist nicht möglich.
  
• Upgrade nur über 21.5 MR1 (sobald verfügbar).
  
• XG/SG-Hardware wird ab 21.x nicht mehr unterstützt – Migration auf XGS ist Pflicht.
• Den Wechsel auf 21.5 GA erst mit dem ersten Maintenance Release (21.5 MR1) einplanen – dann profitieren Sie von neuen Features und ausgereifter Stabilität.
  
• Die bisherigen Legacy Site-to-Site RED-Tunnel werden ab SFOS v22 endgültig nicht mehr unterstützt. Die Migration auf moderne RED-S2S- oder IPsec-VPNs ist Pflicht, da das Upgrade auf v22 andernfalls blockiert wird.
  

Quelle: Sophos Community Blog

Häufige Fragen (FAQ)

Wie lange dauert das Update?
Zwischen 45–90 Minuten inkl. Neustart – in HA-Umgebungen mit sauberem Failover.

Was passiert, wenn etwas schiefgeht?
Ein Rollback-Plan ist Pflicht – wir sichern Sie ab.

Welche Vorbereitungen sind nötig?
Backup ziehen, Schnittstellennamen prüfen (keine Endung mit >10 Ziffern), RED-Inventar checken.

Sind meine alten RED-Tunnel noch nutzbar?
Nein – ab v22 sind sie abgeschaltet.

Die Bugfixes – Ihr Mehrwert in der Praxis:

Über 50 Fehler wurden behoben. Ein Auszug mit direktem Nutzen für Sie:

Authentifizierung & SSO:

• Entra ID SSO-Browser-Bugs 

• RADIUS ohne Domäne 

 HA (High Availability):

• Neustartschleifen (XGS 2300) 

    → behoben → stabiles Failover.

VPN (IPsec/SSL):

• Tunnel startete nach Reboot nicht 

WAF (Web Application Firewall):

• Let’s-Encrypt-Fehler 

Logging & Reporting:

• „Letzte 10 Minuten“-Filter 

Security Heartbeat:

• XGS 87 Kernel Panic 

Die komplette Bugfix-Liste inkl. IDs finden Sie in den Sophos Release Notes.

Ihr Fahrplan zum sicheren Update:

1. Update-Fenster planen – wir begleiten Sie im Change-Management  
2. Backup & Health-Check – sichern, prüfen, vorbereiten.
3. Update auf MR2 einspielen – sauber und dokumentiert.
4. Neue Features aktivieren – OAuth2 & AD-SSO 2025 testen
5. Legacy-Site-to-Site-RED - auf RED-Site-to-Site- oder VPN-Tunnel zu migrieren – bevor v22 Ihre Tunnel deaktiviert.

Unser Service-Angebot für Sie:

Mit MR2 haben Sie die Chance, mehr als nur ein Update zu machen:

• Sophos XGS Health-Check – Firewall-Optimierung & Sicherheitsprüfung.

Ihr nächster Schritt:

• Support-Ticket eröffnen

• Termin mit unserem Team buchen