Sicherheit im E-Commerce 2025 - Herausforderungen und Trends
Sicherheitslücken in E-Commerce-Plattformen sind ein ernstzunehmendes Risiko – für Händler:innen, Kund:innen und den Ruf des Shops. Magento, Shopware und Shopify haben jeweils eigene Sicherheitsmechanismen, doch welche Maßnahmen sollten Betreiber:innen selbst ergreifen?
Magento & Shopware
Als selbst gehostete Systeme bieten Magento und Shopware viel Flexibilität – aber auch mehr Verantwortung. Die wichtigsten Sicherheitsmaßnahmen sind:
Härtung der Systeme
Eine sichere Hosting-Umgebung ist essenziell. Dazu gehören Firewalls, Web Application Firewalls (WAFs), restriktive Serverkonfigurationen (z. B. deaktivierte unnötige PHP-Funktionen) und eine sichere SSL/TLS-Konfiguration.
Was für den Server gilt, ist aber auch für die Anwendung relevant: Nicht benötigte Module und Funktionen sollen deaktiviert werden und bieten somit weniger Angriffsvektoren.
Content Security Policy (CSP)
Eines unserer aktuellen Lieblingsthemen: Die Content Security Policy. Die Content Security Policy (CSP) ist eine Sicherheitsrichtlinie und teilt dem Browser mit, welchen Elementen vertraut werden soll und welchen nicht. Nicht zuletzt ist CSP auch eine Anforderung in der neuen PCI 4.0 Richtlinie.
Sowohl Magento als auch Shopware unterstützen CSP, jedoch kann eine falsche Konfiguration Content blockieren oder Angriffsflächen offen lassen. Eine strikte CSP-Policy minimiert Risiken durch Cross-Site Scripting (XSS). Die Erstellung und regelmäßige Wartung einer CSP mit Aufwand verbunden..
Patch-Management
Magento und Shopware veröffentlichen regelmäßig Security Patches. Händler:innen sollten keine Updates auslassen, insbesondere sicherheitskritische Hotfixes. Adobe veröffentlicht die geplanten Security Updates für Adobe Commerce und Magento auf ihrer Website, auch bei Shopware findet man die geplanten Releases online.
Tipp: Die geplanten Termine vorab in den Kalender eintragen und Zeit für das Einspielen und Testen der Security Updates reservieren.
Zugriffsrechte & API-Sicherheit
Admin-Accounts sollen nur mit den notwendigen Rechten ausgestattet werden. Es gilt: So viel wie nötig, so wenig wie möglich. Dasselbe gilt auch bei der Vergabe von Benutzern, die über die Magento-API Daten an den Webshop senden oder abholen. Eine unnötig offene API kann Angreifern Zugriff auf sensible Shop-Daten ermöglichen.
Wichtig: Im besten Fall auf eine 2-Faktor Authentifzierung für den Admin-Bereich sowie IP-Sperren setzen.
Passwortsicherheit - verstärkte Anforderungen
Passwortsicherheit ist auch in der neuen PCI 4.0 Richttinie ein Schwerpunkt.
Für Admin-Benutzer sind starke, einzigartige Passwörter gefordert (mindestens 12 Zeichen, Kombination aus Buchstaben, Zahlen und Sonderzeichen). In den aktuellen Magento Versionen sind nur mindestens 7-Zeichen für Admin-Benutzer gefordert. Im Magento 2-Repository auf Github gibt es bereits einen entsprechenden Pull Request der bereits getestet wird und in (hoffentlich) dem nächsten Release verfügbar sein wird.
Shopify
Shopify ist ein gehosteter Service (SaaS), daher entfällt die Verantwortung für Server-Sicherheit. Shopify verwaltet die Infrastruktur selbst und sorgt für automatische Updates, Firewall-Schutz und PCI-DSS-Konformität. Dennoch sollten Händler:innen folgende Punkte beachten:
Zugriffsrechte verwalten
Auch hier gilt: Nicht jeder Mitarbeitende braucht den vollen Zugriff auf Zahlungs- und Kundendaten.
Externe Apps prüfen
Shopify-Apps haben oft Zugriff auf Shop- und Kundendaten. Händler:innen sollten nur vertrauenswürdige Anbieter mit klaren Datenschutzrichtlinien nutzen. Achten Sie beim Einsatz von Drittanbieter-Apps auf die Speicherung der Daten und Speichern Sie keine sensiblen Kunden- oder Zahlungsdaten außerhalb der PCI-konformen Infrastruktur.
Zahlungsanbieter
Shop-Betreiber:innen können innerhalb von Shopify aus einer Vielzahl an Zahlungsanbietern auswählen. Händler:innen müssen aber selbst für sichere Zahlungsprozesse sorgen zB wenn die Zahlungsdaten außerhalb von Shopify verarbeitet werden.
Fazit
Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Egal ob Magento, Shopware oder Shopify – Händler:innen müssen aktiv bleiben, Sicherheitsrichtlinien anpassen und potenzielle Risiken minimieren. Besonders CSP und PCI DSS 4.0 werden 2025 noch wichtiger. Wer diese Anforderungen ignoriert, riskiert nicht nur Sicherheitslücken, sondern auch Abmahnungen und Vertrauensverluste bei den Kund:innen.
