TL;DR. Cyber Security im Online Shop ist keine optionale Disziplin, sondern Pflicht. Wer Cyber Security im Online Shop ernst nimmt, denkt an Patch-Hygiene, Monitoring, sauberes Auth und DSGVO-konforme Datenhaltung. Wir zeigen, was Cyber Security im Online Shop in 2026 mindestens leisten muss und welche Maßnahmen in unseren Shopware- und Headless-Projekten Standard sind.
Online-Shops sind Angriffsziele. Täglich versuchen Hacker deine Kundendaten zu stehlen, deine Zahlungen umzuleiten oder deine Site auszufallen zu legen. Das ist keine Paranoia, das ist Realität.
Martins Haltung: Cybersecurity wird bei dasistweb sehr ernst genommen. Das ist nicht Optional-Thema. Das ist Standard. Jede Implementierung hat Security mit ein. Security Updates müssen in der Woche des Releases eingespielt werden, nicht in 4 Wochen. dasistweb nutzt Security-Patch-Plugins und Monitoring. Das ist nicht etwas das du auf die To-Do-List legst. Das ist laufende Infrastruktur.
Die gute Nachricht: Richtige Sicherheit ist nicht kompliziert und nicht teuer. Sie ist Standard. Aber viele Shops machen sie falsch.
Wir arbeiten mit Online-Shops daran, ihre Sicherheitsinfrastruktur zu festigen. Wo die kritischen Schwachstellen sind, welche Standards Pflicht sind und wie du 2026 sicher schläfst.
Inhalt
- Warum Sicherheit keine Option ist
- PCI DSS: Der Payment-Standard
- SSL/TLS: Die Basis
- DDoS-Schutz: Wenn die Site unter Beschuss steht
- Häufige Security-Fehler in Shops
- Wie du deine Sicherheits-Infrastruktur auditierst
- Was Security Infrastruktur kostet
- Fazit: Sicherheit ist nicht Feature sondern Grundlage
Warum Sicherheit keine Option ist
Ein gehackter Shop verliert nicht nur Kundendaten. Er verliert auch Vertrauen. Ein Kunde dessen Kreditkarte bei dir geklaut wurde, kommt nicht wieder. Und er erzählt es Freunden.
Die finanziellen Kosten eines Security-Breaches sind massiv:
- Direkte Kosten für Incident Response (IT-Forensik, anwaltliche Beratung): 50.000+ EUR
- Benachrichtigungspflicht (du musst deine Kunden informieren): PR-Disaster
- Potentielle Strafzahlungen von Regulatoren: ab 50.000+ EUR je nach Größe und Verstoß
- Reputationsschaden: Nicht messbar aber verheerend
Das ist kein Scenario das dich betrifft nur wenn du großer Shop bist. Auch kleine Shops werden gehackt. Oft weil sie sicherheitlich leicht zu knacken sind.
Die logische Konsequenz: Sicherheit ist nicht Optional. Sicherheit ist Grundlage.
PCI DSS: Der Payment-Standard
Der Payment Card Industry Data Security Standard (PCI DSS) ist der globale Standard für Shop-Sicherheit. Es regelt wie du Zahlungsdaten handhaben darfst.
Das Wichtigste: PCI DSS Level 1 ist nicht verhandelbar wenn du Kartenzahlungen akzeptierst.
Die 12 Anforderungen im Kurzformat:
1. Firewall installieren. Dein Shop muss hinter einer Firewall laufen. Die segmentiert deinen Shop vom rest der Netzwerk-Infrastruktur.
2. Default Passwörter ändern. Klingt simpel ist aber oft nicht getan. Server-Admin-Passwort sollte nicht "admin/admin" sein.
3. Kartendaten verschlüsseln. Wenn du Kartendaten speicherst (besser: nicht tun), müssen sie verschlüsselt sein. End-to-End, nicht nur in der Datenbank.
4. Netzwerk-Zugriff kontrollieren. Wer kann was abrufen? Admin-User sollten nicht die gleichen Rechte wie Verkäufer haben.
5. Malware-Schutz. Ein Antivirus/Malware-Scanner läuft auf deinen Systemen.
6. Software aktuell halten. Security Patches werden zeitnah eingespielt. Nicht "irgendwann", sondern innerhalb von Tagen nach Veröffentlichung.
7. Zugriff auf Daten limitieren. Der Lagerarbeiter braucht keinen Zugriff auf Kundenkreditkarteninformationen. Principle of Least Privilege.
8. User-Authentifizierung. Multi-Factor-Authentication für Admin-Accounts.
9. Physischer Zugriff kontrollieren. Server sind in gesicherten Rechenzentren, nicht im Büro.
10. Logging und Monitoring. Alle Zugriffe und Änderungen werden geloggt. Du kannst eine Audit-Trail nachverfolgen.
11. Regelmäßige Sicherheitstests. Penetration Tests mindestens einmal jährlich. Vulnerability Scans vierteljährlich.
12. Security Policy. Eine dokumentierte Sicherheitsrichtlinie. Wer macht was, wie wird reagiert wenn es ein Incident gibt, etc.
Das klingt wie viel, ist aber Standard in professionell betriebenen Shops. Wenn du bei einem guten Hosting-Provider bist und dein Shop-System regelmäßig aktualisierst, deckst du schon ~80% ab.
SSL/TLS: Die Basis
Ein SSL/TLS-Zertifikat ist dein erstes Sicherheits-Feature. Es verschlüsselt die Daten zwischen Browser und Server. Ohne SSL, können Hacker die Daten "abhören" (technisch: Man-in-the-Middle-Attack).
Das erkennst du am HTTPS in der URL. Kein HTTPS = nicht sicher.
Wichtig: Ein SSL-Zertifikat ist nicht teuer. Die meisten modernen Hosting-Anbieter integrieren Let's Encrypt, das kostenlos ist. Bezahlte Varianten liegen zum aktuellen Zeitpunkt im niedrigen zweistelligen EUR-Bereich pro Jahr. Aber es ist essentiell.
Die Typen:
Domain Validation (DV). Das günstigste. Der Provider prüft nur dass du die Domain kontrollierst. Für einen normalen Shop reicht das.
Organization Validation (OV). Der Provider prüft auch deine Unternehmensidentität. Teurer, für viele Shops nicht nötig.
Extended Validation (EV). Das teuerste. Der Provider macht eine ausgiebige Prüfung. Dafür bekommst du eine grüne Adressleiste im Browser. Für Corporate/Finance brauchen das, für Standard E-Commerce nicht.
Wildcard Certificates. Wenn du Subdomains hast (api.deinshop.de, admin.deinshop.de), brauchst du ein Wildcard-Zertifikat das alle Subdomains abdeckt. Oder einen Self-Signed Cert für intern.
Die beste Praxis: Let's Encrypt ist kostenlos und branchenstandard. Die meisten Hosting-Provider integrieren Let's Encrypt. Dann zahlst du 0 EUR für das Zertifikat.
DDoS-Schutz: Wenn die Site unter Beschuss steht
Ein DDoS-Angriff (Distributed Denial of Service) bedeutet dass deine Site mit Millionen von Anfragen bombardiert wird und somit offline geht. Das ist nicht gehackt im klassischen Sinne, sondern offline-gehauen.
Die Zielgruppe: Meistens Konkurrenten oder Erpresser. "Zahle mir 5000 EUR und ich höre auf anzugreifen."
Der Schutz:
1. Großer Hosting-Provider. Ein guter Hosting-Provider hat DDoS-Schutz eingebaut. Cloudflare, Akamai, AWS Shield. Die sind für DDoS-Angriffe vorbereitet.
2. Rate Limiting. Der Server antwortet nur auf eine bestimmte Anzahl Anfragen pro IP. Wenn eine IP zu viele Anfragen macht, wird sie blockiert.
3. WAF (Web Application Firewall). Das ist ein Filter der vor deinem Shop sitzt und böse Anfragen erkennt.
4. Geografisches Filtering. Wenn du nur in Deutschland verkaufst, warum brauchst du Traffic aus China? Das kannst du filtern.
Für einen typischen Shop genügt der DDoS-Schutz deines Hosting-Providers. Die meisten Provider bieten das kostenlos an. Wenn du ein häufiger Ziel bist, kann ein DDoS-Schutz-Service wie Cloudflare Sinn machen. Die Kosten hierfür liegen zum aktuellen Zeitpunkt je nach Plan im zweistelligen bis niedrigen dreistelligen EUR-Bereich pro Monat.
Häufige Security-Fehler in Shops
Was wir in unseren Security-Audits regelmäßig sehen:
1. Admin-Interface ist öffentlich erreichbar. Der Shopware Admin ist auf /admin/, Prestashop auf /admin-shop/. Wenn Hacker das Interface sehen, versuchen sie da Passwörter zu cracken. Das sollte per IP-Whitelist geschützt oder auf einen anderen Port geschoben werden.
2. Default Credentials sind nicht geändert. Das Datenbankpasswort ist noch "root", der FTP-User ist "admin/admin". Das sind die ersten Dinge die Hacker versuchen.
3. Alte, nicht gewartete Plugins. Dein Shop lädt Plugins von Drittentwicklern. Die haben Security-Lücken. Wenn die nicht aktualisiert werden, bist du verwundbar. Jede neue Shopware/Shopify Version braucht neue Plugin-Versionen.
4. Kein Logging. Es passiert etwas Merkwürdiges im Shop und du merkst es nicht weil du keine Logs überwachst. Ein eingebrochener Account, merkwürdige Datenbankabfragen, neue Admin-User. Das alles kannst du in Logs sehen wenn du sie überwachst.
5. Backup ist nicht vorhanden. Dein Shop wird verschlüsselt (Ransomware). Du kannst nicht wiederherstellen. Backups sollten täglich sein und redundant (nicht auf dem gleichen Server).
6. Test-Daten sind im Live-System. Dein Entwickler hat einen Test-User "dev/dev123" angelegt und vergessen ihn zu löschen. Das ist ein Sicherheitsloch.
7. Keine Security-Updates Prozedur. Shopware gibt ein Update raus. Du wartest 6 Monate um es einzuspielen. Die Security-Lücken sind in der Zwischenzeit öffentlich bekannt. Das ist fahrlässig.
In unseren Projekten spielen wir Security-Updates für Shopware und Shopify immer in der Woche des Releases ein. Kein optionaler Schritt. Das ist Standard in jeder Vereinbarung die wir mit Kunden haben. Seit 2012 haben wir damit bisher keinen einzigen kritischen Sicherheitsvorfall erlebt.
Wie du deine Sicherheits-Infrastruktur auditierst
Die Schritte:
1. Inventory. Was hast du? Welche Software, welche Version, welche Plugins, welche Integrations-Partner. Das ist der Startpunkt.
2. Threat Modeling. Welche Assets hast du die Hacker wollen? Kundendaten, Zahlungsverarbeitung, Markenreputation. Wie könnten Hacker dran kommen?
3. Vulnerability Scan. Automatisiert nach bekannten Sicherheitslücken scannen. Tools wie Nessus oder OWASP ZAP können das.
4. Penetration Test. Ein echter Security-Profi versucht in dein System einzubrechen. Mit legitimem Auftrag von dir. Das ist kein Hacking, das ist Testing mit Erlaubnis.
5. Report und Remediation. Die Findings werden dokumentiert mit Severity (Critical, High, Medium, Low). Dann ein Plan wie die zu fixen sind.
Das sollte mindestens einmal pro Jahr passieren. Nach großen Updates öfter.
Wir führen bei Neukunden immer einen initialen Security-Check durch bevor wir die Betreuung übernehmen. Was wir dabei oft finden: offene Admin-Interfaces, veraltete Plugins und fehlende Backup-Prozesse. Das sind keine Einzelfälle. Mehr zu den rechtlichen Anforderungen für Shops in Deutschland: E-Commerce Recht.
Was Security Infrastruktur kostet
Das hängt sehr davon ab wie reif dein System schon ist.
Szenario 1: Neuer Shop auf Shopify Plus. Shopify verwaltet einen Großteil der Security für dich. Deine Investment ist primär in Applikations-Level Security. SSL, WAF, DDoS-Schutz: kostenlos/included. Penetration Test: 5.000+ EUR. Jährlich: minimal.
Szenario 2: Shopware Hosting (selbst managed). Du zahlst für Sicherheit mehr. Hosting mit Security: 300+ EUR/Monat. SSL: kostenlos. WAF, DDoS: included oder ab 50+ EUR/Monat (je nach Anbieter und Plan). Security Audit: 10.000+ EUR. Jährlich: Security Maintenance 5.000+ EUR.
Szenario 3: Compliance intensiv (z.B. B2B mit Millionen Umsatz). Alle Vorkehrungen. ISO27001 Zertifizierung, Penetration Tests 2x jährlich, Bug Bounty Program. Investment: 50.000+ EUR initial, 30.000+ EUR jährlich.
Die gute Nachricht: Die meisten Shops fallen in Szenario 1 oder 2. Mit ab 10.000+ EUR pro Jahr bist du sicher unterwegs.
Fazit: Sicherheit ist nicht Feature sondern Grundlage
Cyber Security im Online-Shop ist langweilig wenn sie funktioniert. Du merkst nichts von Firewall, SSL oder Logging wenn alles OK ist. Aber wenn es schiefgeht, ist es verheerend.
Das Mindest-Investition für einen sicheren Shop ist klein. Die maximale Investition (wenn du alles richtig machen willst) ist nicht unendlich. Es gibt eine klare Reihenfolge.
Anfangen würde ich so:
- SSL/TLS Zertifikat (kostenlos mit Let's Encrypt)
- Sicherer Hosting-Provider mit DDoS-Schutz (included)
- Regelmäßige Software-Updates (automatisiert)
- Logging und Monitoring (100+ EUR/Monat)
- Jährliche Sicherheits-Audits (ab 5.000+ EUR)
Das deckt 95% der kritischen Risiken ab.