This page is available in English. Switch to English

Zum Inhalt springen
E-Commerce Audit

Magento 1.x End of Life — Was österreichische Shop-Betreiber jetzt wissen müssen

5 Min. Lesezeit
Magento 1 End of Life — padlock icon on a dark server rack background

Ich habe kürzlich 37 Tiroler Online-Shops auf Sicherheitslücken geprüft. Drei davon laufen noch auf Magento 1, einer Software, die seit fast sechs Jahren keine Sicherheitsupdates mehr erhält.

Einer dieser Shops hatte alle 7 kritischen Sicherheits-Header nicht gesetzt und das Admin-Panel stand offen, ohne Weiterleitung, ohne Schutz. Wer wusste, wo er suchen musste, konnte direkt mit dem Raten von Passwörtern beginnen.

Das ist kein ausgeklügelter Angriff. Es ist einfach eine ungesperrte Tür.

Was „End of Life" wirklich bedeutet

Magento 1 hat am 30. Juni 2020 sein End of Life erreicht. Adobe, das Magento 2018 übernommen hatte, stellte die Bereitstellung von Sicherheits-Patches ab diesem Datum ein.

Das ist fast sechs Jahre her.

Seitdem bleibt jede neu entdeckte Schwachstelle in Magento 1 ungepatcht. Sicherheitsforscher finden sie, veröffentlichen sie, und Angreifer nutzen sie aus. Die Liste wächst stetig.

Ein hilfreicher Vergleich: Magento 1 im Jahr 2026 zu betreiben ist ungefähr so, als würde man heute noch Windows XP einsetzen. Es funktioniert. Von außen sieht alles normal aus. Aber darunter steckt ein Sicherheitsmodell voller Lücken, die niemand mehr schließt.

Der Unterschied ist: Windows XP hat keine Zahlungsdaten Ihrer Kunden verarbeitet.

Ein Wort zu den Community-Forks

Es gibt Community-Forks, MageOne und OpenMage, die weiterhin Sicherheits-Patches für Magento 1 veröffentlichen. Wer auf einer dieser Lösungen läuft, steht besser da als auf ungepatchtem M1, und es ist wichtig, diesen Unterschied zu kennen.

Aber man sollte sich auch im Klaren sein, was das konkret bringt. Sicherheits-Patches für eine Architektur, die mobil nach wie vor nicht konkurrenzfähig ist. Ein weiterhin schrumpfendes Extension-Ökosystem. Kein glaubwürdiger Weg zur PCI-Konformität auf modernem Stand. Die Forks halten die Tür verschlossen — renoviert wird damit nicht.

Die Entscheidung wird hinausgezögert. Getroffen wird sie dadurch nicht.

Die tatsächlichen Risiken

Sicherheit. Ohne Patches häufen sich bekannte Schwachstellen. Angreifer brauchen keine neuen Exploits; sie haben einen wachsenden Katalog dokumentierter Lücken zur Verfügung. Für Shops, die Kreditkartendaten verarbeiten oder Kundendaten speichern, ist das kein theoretisches Risiko.

PCI-DSS-Konformität. Wer Kartenzahlungen akzeptiert, unterliegt dem Payment Card Industry Data Security Standard. Nicht unterstützte Software zu betreiben macht es praktisch unmöglich, diese Konformität nachzuweisen. Zahlungsdienstleister können Händlerverträge bei Nichteinhaltung kündigen, und das kommt vor. Visa und Mastercard haben konkrete Anforderungen, die eine EOL-Plattform nicht erfüllen kann.

DSGVO-Haftung. Österreichische Shops unterliegen dem europäischen Datenschutzrecht. Eine der Kernanforderungen ist die Umsetzung „geeigneter technischer und organisatorischer Maßnahmen" zum Schutz personenbezogener Daten. Auf einer Plattform ohne Sicherheitssupport zu betreiben ist schwer zu rechtfertigen, wenn die Datenschutzbehörde nach einem Vorfall fragt.

Performance. Magento 1 kann mit modernen Frontends auf Mobilgeräten nicht mithalten. Googles Core Web Vitals sind seit 2021 ein Rankingfaktor. Ein langsamer, veralteter Shop ärgert nicht nur Kunden, er verliert auch Plätze in den Suchergebnissen.

Das Extension-Ökosystem ist verschwunden. Die meisten Magento-1-Extension-Entwickler haben ihre Updates vor Jahren eingestellt. Fehler in einem Modul gefunden? Viel Erfolg. Eine neue Integration benötigt? Die gibt es für M1 wahrscheinlich nicht mehr.

Was ich in Tirol vorgefunden habe

Ohne die Shops zu nennen: Die drei Magento-1-Installationen, die ich im Audit gefunden habe, reichten von schlecht bis schlimmer.

Eine hatte alle 7 Sicherheits-Header nicht gesetzt und das Admin-Panel war ungeschützt. Eine weitere hatte 6 von 7 Headern nicht gesetzt, gleiches Problem. Die dritte war seit 2006 in Betrieb, läuft noch immer auf Magento 1 und hatte 4 Header nicht gesetzt.

Das sind keine kleinen Hobbyprojekte. Einer der Shops hat eine Exportquote von 85 % und liefert international. Ein anderer ist im B2B-Bereich tätig, Schul- und Büromöbel, wo Geschäftskunden zu Recht professionelle Sicherheitsstandards erwarten. Der dritte betreibt zwei separate Storefronts.

Alle drei sind auf eine Weise exponiert, die mit öffentlich dokumentierten Methoden heute, sofort, ohne besonderes technisches Wissen ausgenutzt werden kann.

Wie die Optionen aussehen

Migration zu Magento 2. Eine vollständige Migration: Datenübernahme, moderne Architektur, aktueller Sicherheitsstandard. Das Investment liegt je nach Komplexität typischerweise bei €15.000–40.000. Für Shops mit komplexen Katalogen, individueller Logik oder B2B-Anforderungen ist das meist der richtige Weg. Das Hyvä-Frontend bringt dabei eine deutliche Performance-Verbesserung gegenüber Luma, dazu mehr in einem separaten Artikel.

Wechsel zu einer anderen Plattform. Shopify, Shopware und andere sind für bestimmte Shops eine gute Wahl. Wenn die aktuelle Installation überschaubar ist, wenig individuelle Anpassungen, keine komplexe B2B-Logik, kann ein Plattformwechsel der einfachere Weg sein. Das hängt ganz vom jeweiligen Shop ab.

Nichts tun. Das ist die Entscheidung, die die meisten betroffenen Shops gerade treffen, bewusst oder nicht. Das Risiko: Die Kosten kommen nicht als Rechnung. Sie kommen als Datenpanne, als Kündigung durch den Zahlungsdienstleister oder als behördliche Anfrage. Zu dem Zeitpunkt ist das Gespräch ein anderes.

Eine Anmerkung zu den Migrationskosten

Ein Grund, warum Shops länger als nötig auf Magento 1 bleiben, ist die Annahme, dass eine Migration ein langer, teurer Prozess ist. Das kann sie sein. Aber die heute verfügbaren Werkzeuge unterscheiden sich grundlegend von dem, was noch vor ein paar Jahren zur Verfügung stand.

Automatisierte Code-Analyse-Tools wie Rector können erhebliche Teile der M1-Modul-Migration ohne manuelle Eingriffe übernehmen. Kombiniert mit KI-gestützter Code-Analyse lassen sich die zeitintensivsten Teile einer Migration, Abhängigkeits-Mapping, Muster-Transformation, Suche nach M2-Äquivalenten, deutlich beschleunigen. Details dazu folgen in einem späteren Artikel.

Die Kostenkalkulation hat sich verändert. Es lohnt sich, neu zu rechnen, wenn das letzte Angebot mehr als ein oder zwei Jahre alt ist.

Der nächste Artikel

Dieser Artikel befasst sich mit der Frage, ob Shops auf unterstützter Software laufen. Der nächste geht tiefer und betrachtet die Sicherheits-Header, die steuern, wie Browser mit einem Shop kommunizieren, und was passiert, wenn sie fehlen. Die Daten aus 37 Tiroler Shops sind wenig ermutigend.

Wer nicht sicher ist, auf welcher Plattform der eigene Shop läuft: ein Entwickler kann das in etwa 30 Sekunden herausfinden. Wer eine unabhängige Einschätzung möchte, kann mich gerne kontaktieren.

E-Commerce Magento Migration Österreich Sicherheit