Es war 3:17 Uhr in der Nacht zum 12. Oktober 2024, als das Telefon von Fabian Neumann klingelte. Er war gerade eingeschlafen, nachdem er bis Mitternacht Bestellungen durchgesehen hatte. Am anderen Ende der Leitung war sein Hosting-Partner – die Stimme klang ruhig, viel zu ruhig.„Fabian, wir haben ein Problem. Euer Shop ist offline. Und… es sieht nach einem erfolgreichen Angriff aus.“
Fabian setzte sich im Bett auf, als hätte ihn jemand mit eiskaltem Wasser übergossen. Innerhalb von Minuten war er wach, angezogen und am Rechner. Was er dort sah, fühlte sich an wie ein Albtraum in Zeitlupe: Die Startseite zeigte statt der neuen Herbstkollektion nur noch eine schwarze Seite mit weißer Schrift: „Your data is ours. Pay or lose everything.“ Darunter eine Bitcoin-Adresse und ein Countdown.
In den folgenden Stunden stellte sich heraus: Die Angreifer hatten nicht nur die Seite verschlüsselt, sondern zuvor Kundendaten abgezogen – Namen, Adressen, die letzten vier Ziffern von Kreditkarten, teilweise sogar unverschlüsselte Passwörter. Über 180.000 Datensätze. Fabian saß vor dem Bildschirm, starrte auf die Zahlen und spürte, wie sich etwas in ihm zusammenzog. Das Unternehmen, das er vor dreizehn Jahren aus einer Garage heraus gegründet hatte, stand vor dem Abgrund. Nicht wegen Umsatz, sondern wegen Vertrauen. Und Vertrauen lässt sich nicht mit Rabattcodes zurückkaufen.
Die nächsten Tage waren ein einziger Kampf gegen die Zeit. Fabian entschied sich sofort für radikale Transparenz. Noch bevor die Angreifer ihre Drohung wahr machen konnten, ging eine E-Mail an alle betroffenen Kunden raus: ehrlich, klar, ohne juristisches BlaBla. „Wir wurden angegriffen. Es tut uns unendlich leid. Das hätte nie passieren dürfen. Hier ist, was wir jetzt tun.“
Die Reaktionen waren hart, aber fair. Viele Kunden waren wütend, manche kündigten sofort. Doch erstaunlich viele schrieben zurück: „Danke für die Ehrlichkeit. Sagt uns einfach, dass ihr es jetzt richtig macht.“ In diesem Moment wurde Fabian klar: Der Vorfall konnte das Ende sein – oder der Anfang von etwas völlig Neuem.
Fabian kannte keeen bereits aus früheren Performance-Projekten. Diesmal war das Gespräch anders. Kein Verkaufsgespräch. Sondern ein Krisentreffen. Die Experten kamen nicht mit fertigen Lösungen, sondern mit einer einzigen Frage: „Wollt ihr nur den Schaden begrenzen – oder wollt ihr den sichersten Shopware-Shop Deutschlands bauen?“ Fabian antwortete ohne Zögern: „Das Zweite.“
Was folgte, war eine dreimonatige Operation am offenen Herzen – während der Shop weiterlaufen musste.
Zuerst wurde jede Zeile Code, jede Konfiguration, jede Server-Einstellung unter die Lupe genommen. Die Schwachstellen waren ernüchternd banal: Ein veraltetes Plugin eines Drittanbieters hatte eine bekannte Lücke, die seit acht Monaten gepatcht war – nur hatte niemand das Update eingespielt. Die Passwörter lagen teilweise gehasht, aber mit einem veralteten Algorithmus. Der Admin-Zugang war über eine Standard-URL erreichbar, und Two-Factor-Authentication war „irgendwann mal geplant“ gewesen.
Es war, als hätte jemand ein Haus mit einer massiven Stahltür gebaut – aber das Küchenfenster offen gelassen.
Keeen baute den Shop komplett neu auf – nicht optisch, sondern unsichtbar. Der Server wurde in eine mehrschichtige Festung verwandelt. Zuerst kam ein Web Application Firewall (WAF) mit regelbasiertem Schutz vor bekannten Angriffsmustern. Dann wurde jeder Datenbankzugriff über eine separate, gehärtete Instanz geleitet. Sensible Daten wie Kreditkarten wurden gar nicht mehr gespeichert – stattdessen nur noch Token von zertifizierten Zahlungsanbietern.
Der Admin-Bereich verschwand von der öffentlichen URL und ist heute nur noch über ein VPN mit Client-Zertifikaten erreichbar. Jeder Login – egal ob Mitarbeiter oder Dienstleister – erfordert Hardware-Token oder biometrische Authentifizierung. Selbst interne Entwickler arbeiten nur noch in einer abgeschotteten Staging-Umgebung, die nie direkten Zugriff auf Live-Daten hat.
Früher hatte Fabian tägliche Backups – auf demselben Server. Jetzt laufen verschlüsselte, versionsbasierte Backups in drei geografisch getrennten Rechenzentren, mit einer Retention von 90 Tagen und automatisierten Restore-Tests jede Nacht. Selbst wenn morgen wieder ein Ransomware-Angriff gelingt: Der Shop wäre innerhalb von Minuten wieder online – mit maximal 15 Minuten Datenverlust.
Einmal im Quartal kommt jetzt ein externes Red Team – Hacker mit Genehmigung. Sie versuchen mit allen Mitteln einzubrechen. Jedes gefundene Loch wird nicht nur gestopft, sondern dokumentiert und in ein internes „Hall of Fame“-Board eingetragen. Die Mitarbeiter sehen live, wie real die Bedrohung ist – und warum jede noch so kleine Sicherheitsmaßnahme zählt.
Die Datenschutz-Seite war früher ein notwendiges Übel. Heute ist sie ein klares Versprechen. Jeder Kunde kann mit einem Klick sehen, welche Daten genau gespeichert werden, wie lange und warum. Ein „Privacy Center“ erlaubt es, Einwilligungen granular zu steuern – weit über das gesetzliche Minimum hinaus. Fabian sagt heute: „Wir behandeln die Daten unserer Kunden, als wären es unsere eigenen. Weil sie es verdient haben.“
Aus dem Vorfall entstand etwas, das kein Marketing-Genie hätte erfinden können: Ein echtes Sicherheits-Gütesiegel. Auf jeder Seite prangt nun ein kleines Schild: „Gesichert nach höchsten Standards – geprüft von unabhängigen Experten.“ Kunden können per Klick das letzte Pen-Test-Zertifikat und den aktuellen Sicherheitsstatus einsehen. Es klingt paradox, aber genau dieser offene Umgang mit dem früheren Fehler hat das Vertrauen massiv gestärkt.
Heute, im Herbst 2025, ist der Shop nicht nur wieder online – er ist besser als je zuvor. Die Conversion-Rate liegt fünf Prozent über dem Stand vor dem Angriff. Kunden nennen in Umfragen „Sicherheit und Transparenz“ als einen der Hauptgründe, warum sie gerne hier kaufen. Selbst die Medien, die damals noch kritisch berichtet hatten, schreiben heute über „den Online-Händler, der aus der Krise eine Tugend machte“.
Fabian steht manchmal abends noch im Büro und schaut auf das kleine schwarze Schild an der Wand – ein Stück der alten verschlüsselten Festplatte, gerahmt wie ein Mahnmal. Darunter steht in seiner eigenen Handschrift: „Nie wieder.“
Sicherheit in Shopware ist kein technisches Add-on. Sie ist das Fundament, auf dem alles andere steht. Ein einziger unpatched Plugin kann reichen, um Jahre der Aufbauarbeit zu zerstören. Aber richtig gemacht, wird Sicherheit zum stärksten Vertrauenssignal, das Sie haben können.
Fangen Sie nicht erst an, wenn es brennt. Prüfen Sie heute Ihre Plugins auf aktuelle Versionen. Aktivieren Sie Two-Factor-Authentication für jeden Admin-Zugang. Trennen Sie sensible Daten konsequent. Lassen Sie regelmäßig externe Penetrationstests durchführen. Machen Sie Backups, die wirklich funktionieren. Und vor allem: Seien Sie ehrlich zu Ihren Kunden – nicht erst, wenn etwas schiefgeht.
Denn in einer Welt, in der jeden Tag ein neuer Daten-Skandal die Nachrichten füllt, gewinnt nicht der Günstigste oder der Schönste. Sondern der, dem man vertrauen kann.
Fabian hat es auf die harte Tour gelernt. Sie müssen das nicht.
