Sophos XGS vs Fortinet FortiGate 60F 2026: Welche Firewall für 50 User?

Eine zu knapp dimensionierte Firewall bricht beim Einschalten der TLS-Inspektion ein — bei aktiver Prüfung oft auf ein Drittel bis die Hälfte des Datenblatt-Durchsatzes. Für einen Standort mit 50 Usern heißt das: gekaufte Bandbreite verpufft, und innerhalb der Abo-Laufzeit droht das nächste Hardware-Upgrade. Die Wahl zwischen Sophos XGS und Fortinet FortiGate 60F entscheidet nicht nur über den Anschaffungspreis. Sie bestimmt Betriebskosten und Administrationsaufwand der nächsten fünf Jahre.

Kurzantwort für 50 User: Beide reichen technisch aus. Liegt bereits Sophos-Endpoint-Schutz vor, ist die Sophos XGS die pragmatischere Wahl; für reine Multi-Standort-Netzwerke mit tiefer Hardware-Beschleunigung bleibt die FortiGate eine starke Alternative. Der Unterschied liegt weniger im rohen Durchsatz als im Bedienkonzept, im Ökosystem und in der TLS-Inspektion.

Sophos XGS 87w und FortiGate 60F im Überblick

Die Sophos XGS 87w ist eine Desktop-Appliance mit integriertem WLAN („w“) und der Xstream-Architektur. Ihr Kern ist ein dedizierter Flow Processor, der TLS-Inspektion und vertrauenswürdige Datenströme an der CPU vorbei beschleunigt (FastPath-Offload). Verwaltet wird sie über Sophos Central, dieselbe Cloud-Konsole, über die auch Endpoint, MDR und E-Mail-Schutz laufen.

Die Fortinet FortiGate 60F ist die meistverkaufte Desktop-NGFW ihrer Klasse. Sie setzt auf Fortinets eigenen SOC4 — einen Chip, der einen Netzwerk- und einen Content-Prozessor (spezialisierte ASICs, also fest verdrahtete Hardware-Bausteine statt CPU) vereint und Firewall- sowie IPS-Last in Hardware abarbeitet. Das Gerät hat zehn GE-RJ45-Ports, aber kein integriertes WLAN (dafür gibt es die FortiWiFi-60F-Variante). Gemanagt wird über FortiGate Cloud oder den zentralen FortiManager.

Durchsatz und Hardware: Wo die Reserven liegen

Beide Boxen lagern rechenintensive Aufgaben an Spezial-Hardware aus — Sophos über den Xstream Flow Processor, Fortinet über den SOC4-Chip mit integriertem NP6XLite-Netzwerk- und CP9XLite-Content-Prozessor. Genau das ist bei einer Einstiegs-Firewall entscheidend, weil die universelle CPU sonst bei aktivierter Deep-Packet-Inspection zum Flaschenhals wird.

Laut Fortinet-Datenblatt liefert die FortiGate 60F rund 10 Gbit/s Firewall-Durchsatz und etwa 700 Mbit/s Threat Protection (IPS, App-Control und Malware-Scan gleichzeitig aktiv; reines IPS liegt mit rund 1,4 Gbit/s höher). Die Sophos XGS 87w spielt laut Datenblatt in einer vergleichbaren Klasse, legt ihren Schwerpunkt aber auf beschleunigte TLS-Inspektion — den Bereich, in dem klassische Firewalls am stärksten einbrechen.

Welche Firewall passt besser zu 50 Usern: Sophos XGS oder FortiGate 60F?

Für 50 User mit Office-Mix und aktiver TLS-Inspektion sind beide ausreichend dimensioniert. Den Ausschlag gibt das Umfeld: Wer bereits Sophos-Endpoints einsetzt, profitiert von gemeinsamer Konsole und Security Heartbeat. Wer ein reines Netzwerk-Setup mit ASIC-Beschleunigung und FortiManager-Zentralisierung sucht, fährt mit der FortiGate gut.

Management: Cloud-Konsole gegen Fabric-Zentrale

Beim Management unterscheiden sich beide Hersteller am stärksten. Sophos Central bündelt Firewall, Endpoint und Managed Detection and Response in einem Webportal. Meldet ein Endpoint eine Kompromittierung, kann die Firewall den betroffenen Host über Security Heartbeat — die Funktion, mit der Firewall und Endpoint laufend Statusinfos austauschen — automatisch isolieren, ohne manuelles Eingreifen. Für ein KMU ohne eigenes SOC senkt das die Reaktionszeit spürbar.

Fortinet setzt auf die Security Fabric: Firewall, Switches, Access Points und Endpoint-Agenten kommunizieren über ein gemeinsames Telemetrie-Netz. Das ist mächtig, entfaltet seinen Wert aber erst, wenn mehrere Fortinet-Komponenten im Einsatz sind. Für reine Firewall-Käufer ist FortiGate Cloud schlanker; ab mehreren Standorten lohnen sich FortiManager und die Fabric.

TLS-Inspektion: der wahre Durchsatz-Test

Über 90 Prozent des Web-Traffics sind heute verschlüsselt. Eine Firewall, die HTTPS nicht aufbrechen und scannen kann, ist über weite Strecken blind. Genau hier kostet Inspektion Leistung.

Sophos bewirbt die Xstream-Architektur explizit als Antwort darauf: vertrauenswürdige Ströme werden per FastPath an der Tiefenprüfung vorbeigeleitet, sodass die Inspektions-Engine Kapazität für den wirklich kritischen Verkehr behält. Fortinet beschleunigt einen Großteil der Prüfung über den Content-Prozessor des SOC4 (CP9XLite). Praktisch heißt das: Beide halten die Inspektion unter Last stabiler als reine Software-Firewalls — die konkreten Werte hängen jedoch stark vom aktivierten Regelwerk ab. Wer plant, sollte die Threat-Protection-Zahl des Datenblatts heranziehen, nicht den reinen Firewall-Durchsatz.

Lizenzmodell und Folgekosten

Beide Hersteller verkaufen Hardware plus Schutz-Abonnement. Bei Sophos bündelt das Xstream-Protection-Paket IPS, Web- und Zero-Day-Schutz sowie TLS-Inspektion. Fortinet bietet gestaffelte Bundles (etwa UTP und Enterprise Protection) mit ähnlichem Leistungsumfang.

Wichtig für die Kalkulation:

• Abo-Laufzeit: Listenpreise sinken pro Jahr bei längerer Bindung — 3- oder 5-Jahres-Bundles rechnen sich gegenüber jährlicher Verlängerung.
• Renewal-Falle: Das Folgejahr ist der eigentliche Kostentreiber, nicht die Erstanschaffung. Renewal-Preis vor dem Kauf erfragen.
• WLAN: Die XGS 87w bringt WLAN mit; bei der 60F fällt für FortiAP-Hardware oder die FortiWiFi-Variante Zusatzbudget an.
• Support-Region: Achten Sie auf deutschsprachigen Support und EU-Datenhaltung der Management-Cloud — relevant für die NIS2-Dokumentation. Grundlagen dazu fasst das BSI zusammen.

Für wen welche Firewall?

Die Entscheidung lässt sich auf wenige Leitfragen verdichten:

1. Bestehende Endpoint-Landschaft Sophos? Dann spricht die gemeinsame Konsole klar für die Sophos XGS.
2. Mehrere Standorte, tiefe Netzwerk-Automatisierung gewünscht? FortiManager und die Security Fabric von Fortinet zeigen hier ihre Stärken.
3. WLAN direkt im Gerät nötig? Die XGS 87w integriert es; bei Fortinet kommt Hardware dazu.
4. Kein eigenes IT-Team? Die Heartbeat-Automatik von Sophos plus optionales Managed Detection and Response reduziert den manuellen Aufwand.

Wer Sophos näher prüfen will, findet die Modelle im Sophos-Herstellerbereich. Unsicher bei der Dimensionierung? Der Produktberater grenzt anhand von Userzahl, Standorten und Bandbreite das passende Modell ein.

FAQ

Reicht die Sophos XGS 87w für 50 Mitarbeiter?

Ja. Sie ist für kleine bis mittlere Standorte ausgelegt und hält bei rund 50 Usern auch mit aktivierter TLS-Inspektion ausreichend Reserven, solange keine ungewöhnlich hohe Verschlüsselungslast anliegt.

Ist die FortiGate 60F leistungsfähiger als die Sophos XGS 87w?

Beide liegen in derselben Leistungsklasse. Fortinet punktet mit ASIC-Beschleunigung für Firewall und IPS, Sophos mit dem FastPath-Offload für TLS-Inspektion. Der relevante Wert ist die Threat-Protection-Leistung mit aktivem Regelwerk, nicht der reine Firewall-Durchsatz.

Welche Firewall hat integriertes WLAN?

Die Sophos XGS 87w bringt WLAN ab Werk mit. Die Standard-FortiGate 60F hat kein WLAN; dafür ist die FortiWiFi-60F-Variante oder ein separater Access Point nötig.

Welche Konsole ist einfacher zu bedienen?

Für KMU ohne eigenes SOC gilt Sophos Central als zugänglicher, weil Firewall und Endpoint in einem Portal liegen. FortiManager ist mächtiger, aber auf größere, verteilte Umgebungen zugeschnitten.

Bietet Cyber Shop auch Fortinet-Produkte an?

Cyber Shop führt aktuell Sophos, WatchGuard, WithSecure und Trellix. Die FortiGate dient hier als Vergleichsmaßstab; die passende Alternative aus unserem Sortiment ist die Sophos XGS.

Fazit

Sophos XGS 87w und FortiGate 60F bedienen dieselbe Größenklasse, gewinnen aber in unterschiedlichen Disziplinen. Für ein deutsches KMU mit 50 Usern, das eine schlanke, integrierte Verwaltung und automatische Endpoint-Firewall-Kopplung schätzt, ist die Sophos XGS meist die pragmatischere Wahl — besonders, wenn schon Sophos-Endpoints laufen. Liegt der Fokus dagegen auf reiner Netzwerk-Performance über viele Standorte, bleibt die FortiGate eine ernsthafte Alternative. Welche Userzahl und Bandbreite haben Sie an Ihrem Hauptstandort? Mit diesen zwei Werten grenzt der Produktberater das richtige Modell in wenigen Minuten ein.