E-Commerce-Systeme sind permanent exponiert. Bots, automatisierte Angriffe, Lastspitzen – das ist längst kein Ausnahmefall mehr, sondern Alltag. Wenn Unternehmen das Thema Security reaktiv angehen, können schwerwiegende Probleme entstehen. Im Interview erklärt Christian Hagemeyer, Geschäftsführer unseres ECC CLUB Mitglied ScaleCommerce, warum Unternehmen aktiv werden müssen, wie sich Bedrohungen verändert haben und was einen modernen Umgang mit Security im E-Commerce heute ausmacht.
Warum kann es problematisch sein, wenn Unternehmen Security reaktiv betrachten?
Das Muster sehen wir in der Praxis sehr, sehr häufig: Security wird erst relevant, wenn bereits ein konkretes Problem aufgetreten ist. Ein Angriff, ein Ausfall, ein Datenvorfall. Und dann geht's plötzlich ganz schnell. Das grundlegende Problem dabei ist, dass E-Commerce-Systeme heute permanent exponiert sind. Es gibt keinen „ruhigen Zustand" mehr, das muss man sich wirklich klarmachen. Bots, automatisierte Angriffe, Lastspitzen: Das ist Alltag, keine Ausnahme. Wer Security nur reaktiv denkt, läuft strukturell hinterher. Die Auswirkungen werden häufig unterschätzt. Es geht eben nicht nur um Ausfälle, die sieht man noch relativ leicht. Es geht auch um subtilere Effekte: langsamere Ladezeiten durch unerkannten Bot-Traffic, instabile Systeme in Peak-Situationen, verlorene Conversions. Das sind Dinge, die man manchmal gar nicht direkt zuordnet, weil man die Ursache nicht sieht. Gerade im E-Commerce bedeutet jede technische Instabilität unmittelbar wirtschaftliche Einbußen. Deshalb ist Security letztlich auch ein Performance-Thema und damit ein echtes Business-Thema.
Welche Bedrohungen gibt es und wie haben sich diese in den letzten Jahren entwickelt?
Was sich stark verändert hat, und das ist wirklich auffällig, ist die Qualität und vor allem die Automatisierung von Angriffen. Es geht längst nicht mehr nur um klassische DDoS-Attacken. Viel häufiger sehen wir gezielten Bot-Traffic, Angriffe auf Applikationsebene oder die Ausnutzung von Schwachstellen in individuellen Erweiterungen und Plugins. Und das Entscheidende: Diese Angriffe sind oft extrem schwer zu erkennen, weil sie sich wie normales Nutzerverhalten tarnen. Man sieht erstmal keinen Unterschied. Gleichzeitig steigt die Komplexität der Shopsysteme selbst. Mehr Features, mehr Integrationen, mehr Schnittstellen und damit auch mehr potenzielle Angriffsflächen. Das ist so ein bisschen ein Teufelskreis.
Welche Rolle spielt dabei die technische Architektur eines Shops?
Eine sehr große. Viele Security-Probleme entstehen gar nicht durch einzelne Fehler, sondern durch die Art, wie Systeme grundsätzlich aufgebaut sind. Wenn Infrastruktur, Applikation und Integrationen getrennt voneinander gedacht werden – jeder macht sein Ding – entstehen zwangsläufig Lücken. Lücken, die man von außen vielleicht gar nicht sieht. Ein Shop kann nach außen völlig stabil wirken und trotzdem unter der Oberfläche verwundbar sein. Deshalb ist Security aus unserer Sicht kein isoliertes Thema, sondern eine Frage der Gesamtarchitektur. Wie Requests verarbeitet werden, wie Last verteilt wird, wie Systeme voneinander getrennt sind: All das entscheidet über die Widerstandsfähigkeit.
Welchen Herausforderungen sehen sich Unternehmen in puncto Security gegenübergestellt?
Ein häufiger Fehler ist, Security auf einzelne Tools oder Maßnahmen zu reduzieren. Es wird irgendein zusätzlicher Schutzmechanismus implementiert, ohne die zugrunde liegenden Probleme wirklich zu adressieren. Das führt zu einem falschen Sicherheitsgefühl. Man denkt, man ist gut aufgestellt, aber eigentlich hat sich nichts Wesentliches verändert. Ein Pflaster auf eine tiefere Wunde. Und ein weiterer Punkt, der oft unterschätzt wird: die fehlende Transparenz. Viele Unternehmen wissen gar nicht genau, wie ihr System unter Last reagiert oder wie es sich bei ungewöhnlichem Traffic verhält. Das ist erschreckend häufig der Fall. Security ist kein IT-Thema – es ist eine Führungsfrage und ein echter Wettbewerbsfaktor mit direkten AuswirkungenaufUmsatz,ConversionundKundenerlebnis.
Wie sollte ein zeitgemäßer Umgang mit Security im E-Commerce aussehen? Und wie wird sich das Thema in den nächsten Jahren entwickeln?
Aus unserer Sicht machen drei Dinge einen modernen Security-Ansatz aus: Erstens proaktive Architekturentscheidungen, also Systeme so aufbauen, dass Risiken reduziert werden, bevor sie entstehen. Zweitens automatisierte Schutzmechanismen, die Angriffe erkennen und abfangen, ohne dass jemand manuell eingreifen muss. Und drittens die Integration in den Entwicklungsprozess: Security muss ein fester Bestandteil von Deployments und Weiterentwicklung sein, kein Sonderfall.
Mit Blick auf die Zukunft gehen wir davon aus, dass Security immer stärker mit anderen Themen zusammenwächst, insbesondere mit Performance und Skalierung. Die Trennung zwischen Hosting, Applikation und Security wird weiter verschwinden. Das erleben wir jetzt schon. Stattdessen werden sich Plattformansätze durchsetzen, bei denen diese Bereiche aus einem Guss gedacht werden. Für Unternehmen bedeutet das: Die Qualität der technischen Basis wird zunehmend zum entscheidenden Wettbewerbsfaktor, nicht nur im Betrieb, sondern für das gesamte Geschäftsmodell. Wer da früh investiert, hat einen echten Vorteil.