Wurden für diese Analyse Systeme angegriffen oder Daten ausgelesen?

Nein. Die Auswertung beruht ausschließlich auf öffentlich ableitbaren Informationen – etwa DNS-Einträgen (SPF) und dem öffentlich sichtbaren Login-Verhalten der Stores. Es wurden keine Systeme angegriffen, keine Zugänge getestet und keine Daten ausgelesen.

Warum ist SSO bei Shopify so wichtig?

SSO/SAML zentralisiert die Anmeldung über einen Identity-Provider. Damit lassen sich MFA, Conditional Access und vor allem das Offboarding zentral erzwingen: Verlässt jemand das Unternehmen, wird der Zugang an einer Stelle deaktiviert – statt store-weise einzelne Shopify-Passwörter zu pflegen. SSO ist allerdings nur im Shopify-Plus-Plan verfügbar.

Was ist der Unterschied zwischen SPF-Hardfail (-all) und Softfail (~all)?

Hardfail (-all) weist empfangende Mailserver an, Nachrichten von nicht autorisierten Servern abzulehnen. Softfail (~all) markiert solche Nachrichten nur als verdächtig – sie werden in der Praxis oft trotzdem zugestellt. Für wirksamen Spoofing-Schutz gehört SPF auf Hardfail, ergänzt um DKIM und eine durchsetzende DMARC-Richtlinie.

Ist das Ergebnis repräsentativ für den gesamten E-Commerce?

Die Stichprobe umfasst die 200 umsatzstärksten Shopify-Stores im DACH-Raum. Die SSO- und SPF-Werte basieren auf allen 200 Stores; die Auswertung zu Passkeys und Rollen-Adressen stützt sich auf die 36 verifizierten Shopify-Plus-Stores. Die Größenordnung dürfte für vergleichbare DTC-Brands übertragbar sein, ersetzt aber keine Prüfung des eigenen Setups.

Insights

Shopify-Security-Report: 200 DACH-Top-Shops im Sicherheits-Check

200 der umsatzstärksten Shopify-Stores im DACH-Raum im Check: Nur 12 erzwingen SSO, 17 % der Plus-Shops nutzen Passkeys, 71 % der Domains ohne SPF-Hardfail.

Mika Schmidt

IT Security Experte

Veröffentlicht: 19. Juni 2026 6 Min. Lesezeit

Ich habe die 200 umsatzstärksten Shopify-Stores im DACH-Raum überprüft – zusammen kommen sie auf über 6,5 Milliarden Euro Jahresumsatz. Das Ergebnis ist ernüchternd: Bei grundlegenden Sicherheits-Basics, die mit wenig Aufwand umsetzbar sind, lässt ein Großteil der Shops messbar Schutz liegen.

Wichtig vorab: Ich habe keine Systeme angegriffen und keine Daten ausgelesen. Es ging ausschließlich um öffentlich ableitbare Informationen und genau das ist der Punkt. Wenn sich solche Lücken mit begrenztem Aufwand von außen erkennen lassen, können es Angreifer mit deutlich mehr Ressourcen erst recht.

Vier Findings aus 200 DACH-Shopify-Stores: 12 erzwingen SSO, 17 % Passkeys, ca. 28 % Rollen-Adressen, 71 % ohne SPF-Hardfail — Die vier Findings auf einen Blick. Basis: Top 200 Shopify-Stores im DACH-Raum nach Umsatz.Six Eight Consulting

Wie ich geprüft habe – und was bewusst außen vor blieb

Die Analyse stützt sich auf zwei, drei einfache, öffentlich verfügbare Signale: den DNS-Eintrag einer Domain (dort steht die SPF-Richtlinie für alle sichtbar), das öffentlich beobachtbare Login-Verhalten eines Shopify-Stores sowie öffentlich auffindbare Kontaktadressen. Aus der Kombination dieser Signale lässt sich erstaunlich viel über den Reifegrad eines Setups ableiten – ganz ohne einen einzigen Zugriffsversuch.

Alle Stores werden im Folgenden anonymisiert und nur aggregiert ausgewertet. Es geht um das Muster, nicht um einzelne Shops.

Finding 1: SSO erzwingt fast niemand

Single Sign-On (SSO) über SAML bindet die Shopify-Anmeldung an einen zentralen Identity-Provider – etwa Microsoft Entra ID, Okta oder Google Workspace. Der Vorteil: MFA, Conditional Access und vor allem das Offboarding lassen sich an einer einzigen Stelle durchsetzen. Verlässt jemand das Team, wird der Zugang zentral deaktiviert, statt in jedem System einzeln aufzuräumen.

In der Praxis erzwingen das nur 12 von 200 Stores für alle Admin-User. Der entscheidende Kontext: SSO/SAML ist ausschließlich im Shopify-Plus-Plan verfügbar. Von den 200 Stores nutzen 36 Shopify Plus – und selbst in dieser Gruppe erzwingt nur rund jeder Dritte SSO konsequent.

Funnel: 200 untersuchte Stores, 36 auf Shopify Plus, 12 mit erzwungenem SSO für alle Admins — Der Weg zu erzwungenem SSO: Von 200 Stores bleiben am Ende 12, die alle Admins über SSO absichern.Six Eight Consulting

Das heißt nicht, dass die anderen 164 Stores ungeschützt sind – aber ohne SSO hängt die Admin-Sicherheit an einzeln gepflegten Passwörtern und der Disziplin, 2FA wirklich überall zu aktivieren. Genau hier entstehen die typischen blinden Flecken: alte Konten ehemaliger Mitarbeiter, Agentur-Zugänge ohne Ablaufdatum, vergessene 2FA.

Finding 2: Passkeys bleiben ungenutzt

Passkeys sind die derzeit stärkste Standard-Anmeldemethode: Sie sind an das Gerät gebunden, lassen sich nicht abphishen und kommen ohne geteiltes Passwort aus. Shopify unterstützt Passkeys – sie müssen aber aktiv genutzt werden.

Unter den 36 verifizierten Shopify-Plus-Stores haben nur 6 (17 %) Passkeys im Einsatz. Damit verzichtet die große Mehrheit auf eine kostenlose, sofort verfügbare Härtung gegen die häufigste Angriffsart auf Admin-Accounts: Phishing.

Finding 3: Admin-Zugänge an öffentlichen Rollen-Adressen

Ein Admin-Login besteht aus zwei Teilen: der E-Mail-Adresse und dem zweiten Faktor. Ist die Adresse eine öffentlich bekannte Rollen-Adresse wie info@, support@, service@ oder hallo@, dann ist die halbe Anmeldeinformation bereits frei verfügbar – und mit ihr ein klares Ziel für Phishing und Credential-Stuffing.

Bei den manuell geprüften Plus-Stores war ein wiederkehrendes Bild zu sehen: Fast jeder Admin-Zugang hing an einer öffentlich auffindbaren Adresse, und bei einem spürbaren Teil davon war es sogar eine Rollen-Adresse. Hochgerechnet auf alle 200 Stores entspricht das rund 28 %, bei denen mindestens ein Admin-Zugang an einer öffentlich einsehbaren Rollen-Adresse hängt.

Der eigentliche Kern ist unabhängig von der genauen Prozentzahl: Wenn die Adresse hinter dem Admin-Account öffentlich ableitbar ist, sinkt der Aufwand für einen Angriff deutlich. Personengebundene Konten mit erzwungener 2FA – idealerweise hinter SSO – schließen genau diese Lücke.

Finding 4: SPF schützt selten wirklich

SPF (Sender Policy Framework) legt im DNS fest, welche Server im Namen einer Domain mailen dürfen. Entscheidend ist der Abschluss der Richtlinie: Nur Hardfail (-all) weist empfangende Server an, nicht autorisierte Absender abzulehnen. Softfail (~all) markiert sie lediglich als verdächtig – in der Praxis landen solche Mails trotzdem oft im Postfach.

Das Ergebnis über alle 200 Domains: 71 % stehen nicht auf Hardfail. Die Mehrheit verlässt sich auf Softfail, einige auf eine neutrale Richtlinie (?all) oder gar keine brauchbare Vorgabe.

SPF-Verteilung der 200 Domains: 58 Hardfail, 118 Softfail, 9 Neutral, 15 ohne -all oder ohne SPF — Nur 58 von 200 Domains setzen SPF auf Hardfail. Die Mehrheit nutzt Softfail – Schutz, der im Ernstfall nicht greift.Six Eight Consulting

Gerade für DTC-Brands ist das heikel: Eine gefälschte Mail im Namen des Shops trifft direkt die Kundschaft – als Phishing, gefälschte Versandbenachrichtigung oder vermeintliche Rückerstattung. Der Schaden ist doppelt: betroffene Kunden und beschädigtes Markenvertrauen. SPF allein reicht dabei nicht; erst zusammen mit DKIM und einer durchsetzenden DMARC-Richtlinie (quarantine oder reject) entsteht belastbarer Spoofing-Schutz.

Warum das ein Muster ist – kein Zufall

Keines dieser vier Findings ist exotisch. Es sind grundlegende Hygiene-Themen, die mit verhältnismäßig wenig Aufwand ein deutliches Plus an Sicherheit bringen. Dass sie bei umsatzstarken, professionell geführten Shops trotzdem so häufig offen sind, hat meist denselben Grund: Sie fallen im Tagesgeschäft niemandem auf. Es gibt keinen Fehler, der piept – nur eine stillschweigende Annahme, dass „das schon passt”.

Genau diese Lücke nutzen Angreifer. Sie suchen nicht die eine raffinierte Schwachstelle, sondern die Summe der kleinen, offenen Standard-Themen.

Was Shop-Betreiber jetzt tun können

Vier Schritte mit großer Wirkung

1
Admin-Anmeldung härten
Im Shopify-Plus-Plan SSO über den Identity-Provider erzwingen. Ohne Plus: 2FA für alle Admins verpflichtend machen und Passkeys aktivieren.
2
Passkeys ausrollen
Passkeys als bevorzugte Anmeldung etablieren – phishing-resistent, gerätegebunden und ohne geteiltes Passwort.
3
Rollen-Adressen aus Admin-Konten lösen
Admin-Zugänge auf personengebundene Konten mit 2FA umstellen, Rollen-Adressen wie info@ oder support@ nicht als Login nutzen und Offboarding sauber regeln.
4
E-Mail-Authentifizierung scharf stellen
SPF auf Hardfail (-all) setzen, ausgehende Mails per DKIM signieren und DMARC schrittweise auf quarantine bzw. reject anheben.

Schnell-Check für Ihren Store

Erzwingen wir SSO für alle Admin-User (Shopify Plus)?
Sind 2FA und Passkeys für alle Admin-Konten aktiv?
Hängt ein Admin-Zugang an einer öffentlichen Rollen-Adresse?
Steht unsere SPF-Richtlinie auf -all (Hardfail)?
Sind DKIM und eine durchsetzende DMARC-Policy aktiv?
Haben ehemalige Mitarbeiter und Agenturen wirklich keinen Zugang mehr?

Fazit

Über 6,5 Milliarden Euro Umsatz, modernste Shopfronten – und bei den Sicherheits-Basics derselbe Befund wie fast überall: Vieles bleibt offen, weil es im Alltag niemandem auffällt. Die gute Nachricht ist, dass genau diese Themen schnell und günstig zu schließen sind. SSO erzwingen, Passkeys aktivieren, Admin-Konten sauber führen und die E-Mail-Authentifizierung scharf stellen – das ist an einem Nachmittag angestoßen und reduziert das Risiko spürbar.

Quellen

Eigene Erhebung: Top 200 Shopify-Stores im DACH-Raum (SSO, Passkeys, Rollen-Adressen, SPF)Six Eight Consulting, Stand Juni 2026
Shopify Help Center: SSO / SAML authentication (Shopify Plus)Shopify Help Center, abgerufen am 19.06.2026
Shopify Help Center: PasskeysShopify Help Center, abgerufen am 19.06.2026
RFC 7208: Sender Policy Framework (SPF)IETF, abgerufen am 19.06.2026
RFC 7489: Domain-based Message Authentication, Reporting, and Conformance (DMARC)IETF, abgerufen am 19.06.2026