Zum Inhalt springen
Proaktive Sicherheitsupdates

Blog

Checkout-Skript-Integrität - Web-Skimming blockierenThird-Party-Skripte (6.4.3)Inventar mit Integritätsprüfunganalytics.jsSRI verifiziertzahlung.jsSRI verifiziertchat-widget.jsCSP erlaubtcdn-lib.jsSRI verifiziertskimmer.jsCSP blockiertshop.de/checkoutCheckoutKartennummer4716 24** **** 8391Gültig bis09/28Prüfziffer (CVV)* * *Jetzt bezahlenFremdes Skriptwill Kartennummer und CVVan fremde Domain sendenblockiert durch CSP und SRIgeladenüberwachtTamper-Detection (11.6.1)Integritätsprüfung am Checkout4/54 erlaubt1 blockiertIntegrität bestätigtPrüfintervall: 7 Tage!1 Manipulation blockiertAlarm an Team gesendetVier Schutzschichten am CheckoutSkript-InventarSubresource IntegrityContent-Security-PolicyTamper-DetectionKontinuierliches Integritäts-Monitoring erkennt Manipulation, bevor Zahlungsdaten abfließenSkript-Inventar | SRI | CSP | Tamper-Detection nach PCI DSS 4.0
Sicherheit 8. Juli 2026

Magecart-Schutz: Web-Skimming am Checkout stoppen

Web-Skimming greift Zahlungsdaten im Browser ab. So stoppen Skript-Inventar, Subresource Integrity, CSP und Tamper-Detection nach PCI DSS 4.0 den Angriff.

13 Min. Lesezeit Lesen →
Barrierefreiheit als Dauerprozess: BFSG/EAA-konform bleibenTheme-Updatekann Fokus und Kontrast brechenPlugin-/App-Updatekann Tastaturbedienung brechenCheckout-Updatekann Formular-Labels brechenJedes Release kann neue Barrieren einführen und Konformität aushebelnWiederkehrender Konformitäts-Kreislauf im Wartungsvertrag1. WCAG 2.2 AA prüfenTastatur, Fokus,Kontrast, Screenreader2. Erklärung pflegenBarrierefreiheits-erklärung mit Datum3. Feedback-KanalMeldungen vonNutzenden auswerten4. Barrieren behebenvor dem nächstenRelease schließenlaufend wiederholt bei jedem Release-ZyklusAktion Mensch 20251/3der Shops barrierefrei(getestete Online-Shops)Nur mit Tastatur bedienbar20 von 65getesteten Shops nutzbar(Aktion Mensch 2025)Startseiten mit WCAG-Fehlern94,8 %der Top-1-Mio.-Startseiten(WebAIM Million 2025)Kontinuierliche WCAG-2.2-AA-Prüfung statt Einmal-Projekt
Compliance 6. Juli 2026

BFSG-Pflicht: Barrierefreiheit im Shop dauerhaft sichern

Seit 28.06.2025 gilt das BFSG für Shops. Warum WCAG-2.2-AA-Konformität bei jedem Update verfällt und wie regelmäßige Prüfungen im Wartungsvertrag sie erhalten.

12 Min. Lesezeit Lesen →
Reaktionszeit-SLA: Severity, MTTR und EskalationSeverity-Stufen — Reaktion und Lösung (MTTR)StufeReaktionLösung (MTTR)BetriebP1 kritisch15 Min4 Std24/7P2 hoch1 Std8 Std24/7P3 mittel4 Gesch.-Std24 Std8x5Eskalationskette (P1)1Alarm ausgelöstMonitoring erkennt Ausfall · 0 Sek2L1 Bereitschaftreagiert und bestätigt · Ziel 15 Min3L2 TechnikerAuto-Übergabe nach 15 Min ohne Antwort4L3 Team-Leadfalls nach 30 Min noch ungelöstIncident-Verlauf (heute)02:14Alarm: Checkout nicht erreichbarals P1 eingestuft02:16L1 Bereitschaft bestätigtReaktion (MTTA) 2 Min02:41Ursache isoliert, Fix aufgespieltim Staging geprüft02:56Behoben: Checkout wieder onlineLösung (MTTR) 42 Min · SLA erfüllt
Notfall-Support 3. Juli 2026

Reaktionszeit-SLA: Was guter Notfall-Support kann

Reaktionszeit-SLA für Online-Shops: Severity-Stufen P1 bis P4, realistische MTTR-Werte und woran Sie verlässlichen Notfall-Support erkennen.

13 Min. Lesezeit Lesen →
Was ein Shop-Ausfall pro Minute kostetDirekter Umsatzverlust2.000 EUR+pro Minute (KMU-Shop, Stoßzeit)Indirekte Folgekosten5- bis 10-fachReputation, Abwanderung, CLV-VerlustKostenkurve während des Ausfalls0-2 Min5 Min10 Min20 Min30 Min45 Min60 MinErkennung < 2 Min15.000 $Spitzenwert pro Minutebranchenweiter Durchschnittgroßer Organisationen 2026600 Mrd. $jährliche AusfallkostenGlobal-2000-Unternehmen,plus 50 Prozent in zwei Jahren3,4 %Aktienkurs-Rücksetzerim Schnitt nach einemeinzelnen Ausfallvorfall24/7-Monitoring meldet den Ausfall, bevor der erste Kunde ihn bemerkt
Monitoring 1. Juli 2026

Ausfallkosten 2026: Was ein Shop-Ausfall pro Minute kostet

Was ein Shop-Ausfall 2026 pro Minute kostet: direkte und indirekte Kosten, warum Erkennung in unter 2 Minuten zählt und wie 24/7-Monitoring schützt.

12 Min. Lesezeit Lesen →
Das Patch-Zeitfenster 2026: 5 Stunden bis zum AngriffVom Bekanntwerden einer Schwachstelle bis zur automatisierten MassenausnutzungStunde 0~15 MinStunde 5Stunde 24Tag 7DisclosureSchwachstelle wirdöffentlich bekanntErstes ScannenBots suchen ab ~15 Minnach Zielen (Unit 42)Median: 5 Stundenbis zur ersten aktivenAusnutzung (Patchstack)45% in 24 Stdder stark genutztenLücken (Patchstack)Wie schnell ausgenutzt wird20%innerhalb 6 Stunden (Patchstack)45%innerhalb 24 Stunden70%in 7 TagenManuell nicht zu schaffenKein nachts unbeaufsichtigter Shop patchtin 5 Stunden von Hand46% der Lücken sind bei Disclosure nochungepatcht (Patchstack)Managed-Wartung schließt das Fenster automatisiertFeed-Überwachung - virtuelles Patching - Staging-Test - Notfall-Patch mit Rollback - rund um die Uhr5 StdMedian bis Angriff11.334Lücken 2025 (Patchstack)91%in Plugins (Patchstack)~15 Minbis erstes Scannen (Unit 42)
Sicherheit 29. Juni 2026

WordPress-Patch-Zeitfenster: 5 Stunden bis Angriff

Das Patch-Zeitfenster ist 2026 auf median 5 Stunden geschrumpft. Warum kein selbst gepflegter Shop manuell mithält und wie Managed-Wartung automatisiert patcht.

14 Min. Lesezeit Lesen →
WAF und Bot-Management: jede Anfrage wird geprüftEingehender TrafficEchte KundenBrowser, mobilGute BotsSuchmaschinen, KIBöse BotsScraper, AngriffeWAF und Bot-ManagementSignaturen / OWASP CRSRate-LimitingBot-Score / VerhaltenGeo / IP-ReputationChallenge / CAPTCHADurchgelassenKunden und gute Bots50,4 %Mensch-Traffic 2023 (Imperva)Blockiert / gefordertAngriffe und Fake-Traffic32 %böse Bots 2023 (Imperva)Warum laufender Schutz zur Wartung gehört67,5 %böser Bot-Traffic inDeutschland (Imperva 2024)+250 %Account-Takeover-Angriffe 2024 (Kasada)+108 %mehr DDoS-Angriffe2024 ggü. 2023 (StormWall)57,5 %Bot-Anteil am Web2026 (Cloudflare)
Sicherheit 26. Juni 2026

WAF und Bot-Schutz im laufenden Shop-Betrieb

WAF und Bot-Management als Teil der Wartung: So schützen Sie Ihren Shop vor automatisierten Angriffen, Scraping und Fake-Traffic im laufenden Betrieb.

13 Min. Lesezeit Lesen →
Disaster Recovery: RTO und RPO auf der Wiederherstellungs-ZeitachseAusfallLetztes BackupRPO: max. DatenverlustShop wieder liveRTO: max. AusfallzeitErkennenFailoverRestoreVerifizierenTagessicherungSnapshotOffsite-KopieGetesteter DR-Plan statt nur Backups: SchutzstufenStufeDatenstandWiederanlaufReifeNur BackupRPO 24hRTO TageungetestetDR-PlanRPO 1hRTO StundengetestetHot-StandbyRPO MinutenRTO MinutenautomatisiertRPO bestimmt den Datenverlust, RTO die Ausfallzeit -- beide nur durch regelmäßige Restore-Tests belastbar
Wartung 24. Juni 2026

Disaster Recovery: Shop nach dem Ernstfall wiederherstellen

Disaster Recovery für Online-Shops: DR-Plan, getestete Wiederherstellung, RTO und RPO definieren -- über reine Backups hinaus. Schritt für Schritt.

16 Min. Lesezeit Lesen →
CVE-Management-Pipeline: vom Alarm zum eingespielten PatchVier Phasen mit klaren Verantwortlichkeiten statt unkontrollierter Patch-Flut1. ErkennenCVE-Feeds und AdvisoriesInventar je Shop-KomponenteSBOM und AbhängigkeitenKEV-Abgleich (CISA)48.185 CVEs 2025 (Zafran)2. PriorisierenCVSS-SchweregradEPSS-AusnutzungsrisikoExposition und KontextBusiness-Impact Shop~30% am Tag 0 genutzt (VulnCheck)3. TestenStaging-Klon der ProduktionPatch einspielen und prüfenRegressionstest CheckoutFreigabe-Gatekein Live-Risiko (Projekt)4. EinspielenWartungsfensterRollback bereitMonitoring danachDoku im ProtokollnachweisbarPatch-Lückenproblem in Zahlen26%kritische KEV-Lücken voll behoben (Verizon)43 TageMedian bis PatchStrukturiert im WartungsvertragFeste Reaktionszeiten statt ZufallErkennen - Priorisieren - Testen - Einspielenjeder Schritt dokumentiert und nachweisbarSchwachstellen-Ausnutzung ist der führende Initialzugang mit +34% Anstieg (Verizon DBIR 2026)Vom reaktiven Hinterherlaufen zum planbaren Patch-ZyklusInventar - Risiko-Scoring - Staging-Test - Wartungsfenster mit Rollback - Protokoll
Sicherheit 22. Juni 2026

CVE-Management für Online-Shops: Patches planbar

Security-Patch- und CVE-Management für Online-Shops: Schwachstellen erkennen, nach Risiko priorisieren, auf Staging testen und kontrolliert patchen.

14 Min. Lesezeit Lesen →
Performance-Monitoring im WartungsvertragLive-Dashboard: Uptime + Antwortzeit + Core Web Vitals + SLA-ReportingUptime (30 Tage)99,96%Ziel-SLA 99,9%Antwortzeit p75248msBudget 400msLCP p751,9sSchwelle 2,5sAntwortzeit-Verlauf gegen SLA-ZielwertSLAAlert: Antwortzeit-Regression erkanntAuslöser: p75 248ms überschreitet Budget kurzUrsache: neues Plugin nach Update (Regression-Watch)Eskalation: E-Mail sofort, dann SMS nach 5 MinStatus: bestätigt, Rollback im WartungsfensterMonatsreportSLA erfülltVerfügbarkeit99,96%Ø Antwortzeit212msCWV-Status3/3 gutIncidents10,1s schnellere Ladezeit = +8,4% Conversions im Handel (Google/Deloitte, Milliseconds Make Millions)
Monitoring 19. Juni 2026

Performance-Monitoring im Wartungsvertrag verankern

Performance-Monitoring als fester SLA-Bestandteil: Performance-Budgets, Alerts, Monatsreports und Regression-Watch für dauerhaft schnelle Online-Shops.

13 Min. Lesezeit Lesen →