Sicherheit für Shopify-Shops: ein kompletter Leitfaden
2FA, PCI DSS, DSGVO, Fraud-Schutz und Zugriffsverwaltung: ein praktischer Leitfaden zur Absicherung eines Shopify-Shops.

Integrierte Shopify-Sicherheit
Shopify bietet als SaaS-Plattform viele Sicherheitsfunktionen bereits standardmäßig:
- SSL/TLS — verschlüsselte Verbindungen für den gesamten Shop, ohne manuelle Zertifikatsinstallation.
- PCI DSS Level 1 — höchste Stufe der Sicherheitsstandards für Zahlungskarten; Shopify ist zertifiziert und für die Transaktionssicherheit verantwortlich.
- Fastly CDN — globales Content Delivery Network mit integriertem DDoS-Schutz.
- Automatische Updates — Shopify aktualisiert die Infrastruktur ohne Ausfallzeiten und ohne Eingriff des Shopbetreibers.
- Datenisolation — jeder Shopify-Shop läuft in einer isolierten Umgebung.
Zwei-Faktor-Authentifizierung (2FA)
Eine der einfachsten und wirksamsten Sicherheitsmaßnahmen ist verpflichtende 2FA für alle Admin-Konten. Shopify Plus ermöglicht es, 2FA für alle Nutzer einer Organisation über die Organization Settings durchzusetzen:
- Konfiguration im Shopify Admin → Settings → Users and permissions → Security.
- Unterstützte Methoden: Authenticator-App (Google Authenticator, Authy), Hardware-Sicherheitsschlüssel (YubiKey).
- Shopify Plus: Möglichkeit, 2FA für die gesamte Organisation über Organization Settings zu erzwingen.
Aktivieren Sie 2FA sofort — 10 Minuten Aufwand können die Übernahme eines Admin-Kontos verhindern, einen der häufigsten Angriffsvektoren auf E-Commerce-Shops.
Zugriffsverwaltung und Berechtigungen
Das Prinzip der minimal erforderlichen Rechte ist die Grundlage sicherer Shopverwaltung:
- Jeder Mitarbeiter sollte nur die Berechtigungen haben, die für seine Arbeit notwendig sind.
- Shopify bietet granulare Rollen: view-only, orders only, marketing, customer service, developer.
- Prüfen Sie die Nutzerliste regelmäßig und entfernen Sie Konten ehemaliger Mitarbeiter unmittelbar nach deren Austritt.
- Protokollieren Sie Zugriffe — der Shopify Admin zeigt die Aktivitätshistorie.
Sicherheit von Drittanbieter-Apps
Jede installierte Shopify-App hat entsprechend der vergebenen Berechtigungen Zugriff auf Shopdaten. Regeln für sicheres App-Management:
- Installieren Sie nur Apps aus dem Shopify App Store, die Shopifys Review-Prozess durchlaufen haben.
- Prüfen Sie Berechtigungen vor der Installation — eine Bewertungs-App benötigt keinen Zugriff auf Finanzdaten.
- Prüfen Sie installierte Apps regelmäßig und entfernen Sie ungenutzte Anwendungen.
- Überwachen Sie API-Berechtigungen installierter Apps in den Einstellungen.
DSGVO und Schutz von Kundendaten
Shops, die in der EU tätig sind, müssen die DSGVO erfüllen:
- Datenschutzerklärung — klar, verständlich und zugänglich; Shopify bietet einen Generator für Datenschutzerklärungen.
- Cookie-Einwilligung — ein den Anforderungen entsprechender Cookie-Banner: Cookiebot, OneTrust oder Shopifys integriertes Modul.
- Recht auf Vergessenwerden — Möglichkeit, Kundendaten auf Anfrage zu löschen, verfügbar im Shopify Admin.
- Data Processing Agreements — Shopify bietet DSGVO-konforme DPA für alle EU-Shops.
- Datenminimierung — erfassen Sie nur Daten, die für die Bestellabwicklung notwendig sind.
Schutz vor Fraud
Shopify bietet mehrere Schutzschichten gegen betrügerische Bestellungen:
- Shopify Fraud Protect (für Shopify Payments) — automatischer Schutz; wenn eine Bestellung als geschützt eingestuft ist, übernimmt Shopify Verluste im Chargeback-Fall.
- Fraud Analysis — integrierte Risikoanalyse für jede Bestellung mit Bewertung High/Medium/Low.
- Signifyd — fortgeschrittene Anti-Fraud-Plattform mit Chargeback-Garantien.
- NoFraud — Alternative zu Signifyd mit Abrechnung pro geschützter Bestellung.
Sicherheit von Kundenpasswörtern
Shopify speichert Kundenpasswörter als bcrypt-Hash — ein sicherer Algorithmus, der gegen Brute-Force-Angriffe widerstandsfähig ist. Bei Migrationen von älteren Plattformen kann ein Passwort-Reset durch Kunden erforderlich sein, wenn die alte Plattform schwächeres Hashing verwendet hat.
Zusammenfassung
Shopify-Shop-Sicherheit ist eine Kombination aus integrierten Schutzmaßnahmen der Plattform und Maßnahmen des Shopbetreibers. Shopify übernimmt Infrastruktur und PCI DSS, aber Zugriffsverwaltung, DSGVO, Drittanbieter-Apps und Anti-Fraud erfordern aktives Engagement.
Möchten Sie ein Sicherheitsaudit Ihres Shopify-Shops? Kontaktieren Sie uns.
Sicherheit
Schützen Sie Ihren Shop
und Kundendaten.
Sicherheitsaudit, 2FA-Konfiguration, DSGVO und Anti-Fraud. Zertifizierter Shopify-Plus-Partner.