Passwortsicherheit im E-Commerce: Der Schlüssel zum Schutz vor Cyberangriffen

In jedem Onlineshop schlummern sensible Daten – von Kundendetails über Bestellungen bis hin zu Zahlungsinformationen. Genau diese Daten machen Shops für Hacker interessant, ganz gleich, ob es sich um einen kleinen Nischen-Shop oder einen großen Konzern handelt. Viele Shopbetreiber:innen glauben, ihr Shop sei zu klein, um ins Visier von Angreifern zu geraten. Doch die Realität sieht anders aus.
Hacker setzen häufig automatisierte Programme ein, um Konten zu übernehmen oder Sitzungen zu kapern. Dazu gehören zum Beispiel Credential‑Stuffing‑Bots, die massenhaft gestohlene Benutzernamen und Passwörter ausprobieren, oder Session‑Hijacking‑Skripte, die versuchen, aktive Nutzer-Sitzungen zu übernehmen. Solche Angriffe machen keinen Unterschied zwischen kleinen und großen Shops – jedes Kundenkonto kann ein potenzielles Ziel sein.


Dass das kein theoretisches Problem ist, zeigen die Zahlen: Allein im Jahr 2024 wurden weltweit über 2,8 Milliarden Passwörter gestohlen, geleakt oder in kriminellen Foren veröffentlicht (Quelle: verizon Business, 2025 Data Breach Investigations Report). Für Shopbetreiber bedeutet das: Sicherheit darf nicht dem Zufall überlassen werden, sondern sollte aktiv gestaltet werden.


Regel für starke Passwörter

Ein Passwort, das leicht zu merken ist, ist meist auch leicht zu knacken. Häufig enthalten solche Passwörter kurze Wörter, Namen oder bekannte Muster. Um sich wirksam zu schützen, sollten Passwörter immer nach klaren Regeln gestaltet werden:

  • Mindestens 12 Zeichen Länge (je länger, desto besser)
  • Abwechslung: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen kombinieren
  • Keine persönlichen Daten wie Geburtstage, Namen oder Adressen verwenden
  • Keine Wörter aus dem Lexikon oder vorhersehbare Muster, die leicht erraten werden können (z. B. Tastaturmuster wie “qwertz” oder “123456”)
  • Keine simplen Abwandlungen vorhandener Passwörter
  • Für jedes Konto ein eigenes Passwort festlegen

Ein Passwort-Manager kann helfen, komplexen Passwörter sicher zu erstellen und zu speichern. So bleibt jedes Konto individuell geschützt, ohne dass Nutzer:innen alles auswendig lernen müssen

Eine weitere Möglichkeit besteht darin, Passphrasen zu verwenden, die aus zufällig kombinierten Wörtern bestehen. Beispiele dafür wären Konstruktionen wie „Blume-Mond-Auto-63-Sand“. Solche Passphrasen sind lang, schwer zu erraten, aber dennoch vergleichsweise einfach zu merken.

Sichere Weitergabe und Aufbewahrung von Passwörtern

Passwörter dürfen niemals über unsichere Kanäle weitergegeben werden. Dazu zählen E-Mails (auch nicht aufgeteilt in zwei Nachrichten), SMS, Messenger-Apps, Telefonate, Voicemails oder unverschlüsselte Chats.

Stattdessen gibt es sichere Alternativen:

  • Die Freigabefunktion eines Passwort-Managers nutzen
  • Eine persönliche Übergabe auf einem separaten, verschlüsselten Medium
  • Einmalige, verschlüsselte Links mit Ablaufdatum verwenden (z. B. Bitwarden Send)
  • Im absoluten Notfall: das Passwort in zwei Teile teilen und über zwei getrennte sichere Kanäle versenden

Auch die sichere Aufbewahrung von Passwörtern ist entscheidend. Niemals sollten Passwörter unverschlüsselt in Textdateien gespeichert, in Browser-Lesezeichen oder ungesicherten Notizen abgelegt, auf Zetteln am Monitor oder unter der Tastatur aufbewahrt oder in Cloud-Dokumenten ohne Verschlüsselung gespeichert werden. Am besten werden Passwörter in einem vertrauenswürdigen Passwort-Manager gespeichert, sodass für jeden Dienst ein einzigartiges, starkes Passwort verwendet werden kann und sich Nutzer:innen nur ein Master-Passwort merken müssen.

Sicherheitsroutinen für Passwörter

Passwortsicherheit ist kein einmaliger Schritt, sondern ein laufender Prozess. Deshalb sollten Passwörter nach einem bekannten Sicherheitsvorfall sofort geändert werden. Besonders wichtige Zugangsdaten empfiehlt es sich alle 6–12 Monate zu erneuern. Auch das regelmäßige Löschen ungenutzter Accounts reduziert mögliche Angriffsflächen erheblich. Zusätzlich ist es sinnvoll, in bestimmten Abständen zu überprüfen, ob eigene Daten in bekannten Datenlecks aufgetaucht sind – beispielsweise über Dienste wie https://haveibeenpwned.com

Genauso wichtig ist, dass die Systeme selbst so konfiguriert sind, dass schwache Passwörter gar nicht erst akzeptiert werden. Ohne diese technische Durchsetzung könnten Nutzer:innen aus Bequemlichkeit einfache Passwörter wählen – und die Sicherheitsrichtlinien wären wirkungslos. Mit verbindlicher Kontrolle auf Systemebene wird sichergestellt, dass alle Nutzer:innen sichere Passwörter verwenden. Gleichzeitig reduziert dies das Risiko von Angriffen wie Brute-Force-Attacken oder Credential-Stuffing, da nur starke, schwer zu erratende Passwörter zugelassen werden.

Konkrete technische Umsetzung der Passwortrichtlinien in Shopware 5

Mit dem Release 1.5.0 ermöglicht safefive die Einführung erweiterter Passwortregeln in Shopware 5. Dadurch lassen sich Sicherheitsstandards, wie sie allgemein für starke Passwörter empfohlen werden, technisch abbilden und verbindlich machen.

Hinweis zur Passwortsicherheit mit safefive:

Die Funktion ist optional und im Standard deaktiviert. Wird sie aktiviert, müssen Passwörter nach dem Update folgende Anforderungen erfüllen:

  • mindestens 7 Zeichen lang
  • mindestens 1 Großbuchstabe
  • mindestens 1 Kleinbuchstabe
  • mindestens 1 Zahl
  • mindestens 1 Sonderzeichen

Zusätzlich kann optional festgelegt werden, dass Passwörter alle 90 Tage erneuert werden. In diesem Fall werden alle Kunden nach der Aktivierung dieser Option zunächst einmalig aufgefordert, ihr Passwort zu ändern und danach regelmäßig alle 90 Tage.

Mehr erfahren und informiert bleiben? Abonnieren Sie unseren Newsletter!

    Wir erfassen Ihre E-Mail-Adresse, um Ihnen von Zeit zu Zeit E-Mails über Dienstleistungen zu senden.
    Wenn Sie Ihre E-Mail-Adresse angeben, erklären Sie sich mit unserer Datenschutzrichtlinie einverstanden.

    Nach oben