Shopify Sicherheit und PCI-Compliance erklärt

Shopify wird oft mit dem Argument vermarktet, du müsstest dir um Sicherheit keine Gedanken machen. Das stimmt zur Hälfte. Die Plattform nimmt dir einen erheblichen Teil der technischen Sicherheitsarbeit ab, vor allem rund um Zahlungsdaten. Aber wer glaubt, mit dem Abschluss eines Shopify-Plans sei alles erledigt, hat das Modell nicht verstanden. Dieser Artikel erklärt, was Shopify wirklich absichert, was PCI-DSS bedeutet, und wo du als Händler selbst in der Pflicht stehst.

Was PCI-DSS bedeutet und warum es relevant ist

PCI-DSS steht für Payment Card Industry Data Security Standard. Es ist ein von den großen Kreditkartenorganisationen gemeinsam entwickeltes Regelwerk, das festlegt, wie Systeme aufgebaut sein müssen, die Kartenzahlungsdaten verarbeiten, übertragen oder speichern. Es gibt vier Compliance-Level, gestaffelt nach Transaktionsvolumen. Level 1 ist die strengste Stufe, gilt ab sechs Millionen Kartentransaktionen pro Jahr und verlangt jährliche Audits durch externe Prüfer.

Shopify ist als Plattform auf Level 1 zertifiziert. Das bedeutet: Die Infrastruktur, der Checkout-Prozess und die Zahlungsabwicklung über Shopify Payments sind durch externe Prüfer abgenommen. Für dich als Händler ist das ein echter Vorteil, weil du nicht selbst Serverinfrastruktur absichern musst, die Kartendaten anfasst.

Wichtig: Die PCI-DSS-Zertifizierung von Shopify gilt für die Plattform, nicht automatisch für alles, was in deinem Shop passiert.

Was Shopify konkret abdeckt

Die Zertifizierung erstreckt sich auf die sechs Hauptkategorien des PCI-DSS-Standards, darunter Netzwerksicherheit, Zugangskontrolle, regelmäßige Schwachstellenscans und Überwachung der Kartendaten-Umgebung. Konkret heißt das:

• Shopify speichert keine Rohkartendaten auf seinen Servern. Zahlungsdaten werden tokenisiert.
• TLS-Verschlüsselung ist auf allen Shopify-Seiten standardmäßig aktiv. Jeder Shop erhält automatisch ein SSL-Zertifikat.
• Shopify Payments verarbeitet Kreditkartendaten in einem abgeschotteten System, das du als Händler nicht direkt berührst.
• Sicherheitsupdates für die Plattform-Infrastruktur sind Shopifys Aufgabe, nicht deine.

Das ist der Kernunterschied zu self-hosted Systemen wie WooCommerce oder einer klassischen Shopware-Eigeninstallation: Dort trägst du selbst die Verantwortung für Serversicherheit, Updates und die korrekte Konfiguration der Zahlungsschnittstellen. Wenn du verstehen willst, wie sich das für Shopware-Installationen anfühlt, findest du dazu mehr im Artikel zu Shopware Wartung.

Wo deine Verantwortung als Händler beginnt

Das Shared-Responsibility-Modell ist das, was viele Händler unterschätzen. Shopify sichert die Plattform. Aber dein Shop ist mehr als die Plattform.

Konkret bist du verantwortlich für:

• Deinen Admin-Zugang. Schwache Passwörter oder fehlende Zwei-Faktor-Authentifizierung (2FA) sind einer der häufigsten Angriffsvektoren. Shopify bietet 2FA per Authenticator-App, SMS oder Hardware-Sicherheitsschlüssel. Nutze sie. Bei Shops mit mehreren Mitarbeitern solltest du 2FA für alle Benutzer erzwingen.
• Installierte Apps. Jede App, die du aus dem Shopify App Store installierst, bekommt Zugriff auf Teile deines Shops. Manche Apps führen JavaScript im Browser deiner Kunden aus. Das ist der Bereich, der in PCI-DSS-Prüfungen unter “client-side scripts” fällt und den Shopify nicht kontrollieren kann. Skimming-Angriffe, bei denen Schadcode Kreditkartendaten direkt im Browser abgreift, laufen über diesen Weg.
• Drittanbieter-Zahlungsanbieter. Nutzt du statt Shopify Payments einen externen Anbieter, läuft die Zahlungsseite nicht über Shopifys zertifizierte Infrastruktur. Die Einbindung muss dann separat geprüft werden. Mehr dazu im Vergleich Shopify Payments vs externe Zahlungsanbieter.
• Self-Assessment Questionnaire (SAQ). Auch als Shopify-Händler bist du formal verpflichtet, gegenüber deiner Bank oder deinem Zahlungsabwickler eine Selbstauskunft zur PCI-Compliance abzugeben. Welcher SAQ-Typ für dich gilt, hängt davon ab, wie du Kartendaten verarbeitest.

Zwei-Faktor-Authentifizierung richtig einrichten

2FA ist die günstigste und wirkungsvollste Sicherheitsmaßnahme, die du sofort umsetzen kannst. Im Shopify Admin unter Einstellungen > Benutzer kannst du seit einiger Zeit die Pflicht zur 2FA für alle Konten erzwingen. Das gilt auch für Mitarbeiter-Accounts mit eingeschränkten Rechten.

Empfehlenswert ist eine Authenticator-App (Google Authenticator, Authy oder vergleichbare TOTP-Apps) statt SMS. SMS-basierte Codes sind anfälliger für SIM-Swapping-Angriffe. Für Shops mit hohem Umsatz oder sensiblen Kundendaten sind Hardware-Sicherheitsschlüssel nach FIDO2/WebAuthn die sicherste Option.

App-Sicherheit und Script-Risiken

Das größte praktische Sicherheitsrisiko für die meisten Shopify-Shops kommt nicht von Serverangriffen, sondern von zu vielen oder schlecht gewarteten Apps. Jede installierte App ist ein potenzieller Einfallstor.

Gehe einmal im Quartal durch deine App-Liste und entferne alles, was du nicht aktiv nutzt. Achte bei neuen Apps auf:

• Wer ist der Entwickler, wie alt ist die App, gibt es aktiven Support?
• Welche Berechtigungen verlangt die App wirklich?
• Liest die App Kundendaten oder führt sie Checkout-Scripts aus?

Shopify hat mit dem Checkout Extensibility Framework einen Weg eingeschlagen, der App-Erweiterungen im Checkout stärker isoliert. Für Shopify-Plus-Händler, die Checkout-UI-Extensions nutzen, ist das eine sicherheitstechnische Verbesserung gegenüber dem alten Script-basierten Ansatz.

DSGVO, Datenschutz und Hosting in den USA

PCI-DSS ist nur eine Compliance-Dimension. Die andere ist die DSGVO. Shopify ist ein kanadisches Unternehmen, dessen Infrastruktur jedoch maßgeblich über US-Anbieter läuft und Daten auf Servern in den USA und Europa verarbeitet. Das ist für deutsche Händler relevant, weil die Anforderungen an Datenverarbeitung und Auftragsverarbeitung separat zu regeln sind. Für eine tiefere Auseinandersetzung mit diesem Thema empfiehlt sich der Artikel Shopify DSGVO-konform betreiben.

Häufige Fragen

Ist Shopify automatisch PCI-konform, wenn ich es nutze?

Die Plattform-Infrastruktur ist PCI-DSS-Level-1-zertifiziert, aber das deckt nicht deinen gesamten Compliance-Umfang ab. Du bleibst für deinen Admin-Zugang, installierte Drittanbieter-Apps und gegebenenfalls externe Zahlungsanbieter verantwortlich. Formal musst du außerdem einen SAQ gegenüber deinem Zahlungsabwickler ausfüllen.

Was passiert, wenn ich gehackt werde, obwohl ich Shopify nutze?

Shopify haftet nicht für Schäden, die durch gestohlene Admin-Zugangsdaten, kompromittierte Apps oder unzureichend gesicherte externe Dienste entstehen. Die Plattform-Absicherung schützt die Infrastruktur, nicht den menschlichen Faktor. Zwei-Faktor-Authentifizierung und regelmäßige App-Audits sind daher keine optionalen Extras.

Muss ich für PCI-Compliance selbst etwas bezahlen?

Shopifys PCI-Zertifizierung ist im Plan-Preis enthalten. Kosten entstehen für dich, wenn du externe Zahlungsanbieter einsetzt, die eigene Zertifizierungen verlangen, oder wenn dein Volumen Pflichtaudits durch einen Qualified Security Assessor (QSA) auslöst. Für die meisten kleinen und mittelgroßen Händler bleibt der Aufwand auf das SAQ-Formular beschränkt.

Wie schütze ich mich vor Kreditkarten-Skimming?

Skimming-Angriffe auf Shopify-Shops laufen fast immer über kompromittierte oder bösartige Apps, die JavaScript im Browser ausführen. Regelmäßige App-Audits, das Entfernen nicht genutzter Apps und das Prüfen von Script-Anforderungen neuer Apps sind die wirksamsten Gegenmaßnahmen. Shopify selbst überwacht keine App-Aktivitäten im Browser deiner Kunden.

Professionelle Betreuung zahlt sich aus

Sicherheit ist kein einmaliger Aufwand, sondern ein laufender Prozess. Wer seinen Shopify-Shop professionell betreiben will, sollte regelmäßige App-Audits, 2FA-Pflicht und eine klare Prozessregel für neue Integrationen einführen. Wenn du dabei Unterstützung brauchst oder deinen Shop systematisch auf Sicherheit und Compliance prüfen lassen möchtest, schau dir an, was unsere Shopify-Betreuung im Alltag abdeckt.