Tiroler E-Commerce unter der Lupe — wie 303 lokale Online-Shops wirklich dastehen
Ich wollte den Zustand des E-Commerce in Tirol verstehen. Nicht aus Branchenberichten oder allgemeinen Schätzungen, sondern aus echten Daten über die Shops, die hier tatsächlich betrieben werden.
Also habe ich alle 303 Online-Shops gescannt, die im shop.tirol-Verzeichnis gelistet sind, dem offiziellen E-Commerce-Verzeichnis der Tiroler Landesregierung und der WKO. 289 dieser Shops waren erreichbar und wurden auf Plattform, Technologie-Stack und Performance-Signale hin untersucht. Der Rest war entweder offline, leitete weiter oder lieferte Fehler zurück.
Das ist, was die Daten zeigen.
Methodik
Der Scan nutzte automatisierte Tools zur Analyse öffentlich sichtbarer Signale: HTML-Struktur, JavaScript-Muster, HTTP-Response-Header und Meta-Tags. Das ist der gleiche Fingerprinting-Ansatz, den Sicherheitsforscher und Wettbewerbsanalyse-Tools verwenden. Er berührt nichts, was nicht ohnehin für jeden Besucher sichtbar wäre.
Performance-Daten stammen von der Google PageSpeed Insights API. Sicherheitsdaten kommen aus der Header-Analyse und häufigen Fehlkonfigurationsprüfungen. Alle Ergebnisse basieren auf dem, was von außen sichtbar ist, also auch auf dem, was für jeden anderen sichtbar ist.
Keine invasiven Tests. Keine Spekulation. Nur das, was die Shops bereits nach außen senden.
Die Plattform-Landschaft
| Plattform | Shops | Anteil |
|---|---|---|
| WooCommerce | 58 | 20 % |
| Magento (alle Versionen) | 31 | 11 % |
| Shopify | 24 | 8 % |
| Shopware | 19 | 7 % |
| TYPO3 | 5 | 1,7 % |
| Gambio | 5 | 2 % |
| PrestaShop | 4 | 1,4 % |
| OXID | 3 | 1 % |
| Nicht identifiziert | 155 | 54 % |
WooCommerce ist die häufigste identifizierbare Plattform, was einleuchtet. Es ist kostenlos, läuft auf WordPress und die meisten kleinen Shops brauchen nicht mehr. Magento hält 11 %, ein bemerkenswerter Anteil für eine Plattform, die deutlich mehr Investition in Betrieb und Wartung erfordert.
Die 54 % „nicht identifiziert" sind erwähnenswert. Das sind Shops, bei denen die Plattform anhand öffentlicher Signale nicht bestimmt werden konnte, was typischerweise auf individuell entwickelte Systeme, White-Label-Lösungen oder Plattformen hindeutet, die zu klein sind, um einen eindeutigen Fingerabdruck zu hinterlassen. Manche davon werden ernstzunehmende Eigenentwicklungen sein. Viele sind wahrscheinlich Standardplattformen mit genug Template-Anpassungen, um die Signatur zu verschleiern.
Das Magento-Segment im Detail
31 bestätigte Magento-Installationen, und 3 davon laufen noch auf Magento 1, das im Juni 2020 sein End of Life erreicht hat. Fast sechs Jahre ohne Sicherheits-Patches, und zwei dieser drei Shops betrieben ein vollständig ungeschütztes Admin-Panel.
Die 28 Magento-2-Shops, die ich auf Performance gemessen habe, erreichten im Schnitt 55 von 100 Punkten beim Mobile-PageSpeed. 82 % lagen unter 60. Nur 4 Shops lagen über 80. Die Shops an der Spitze mit 91, 93 und 100 Punkten hatten auf das Hyvä-Frontend migriert. Die Shops am unteren Ende liefen auf Luma, manche im einstelligen Bereich.
Das Sicherheitsbild
Der tiefergehende Sicherheits-Audit hat 37 Magento-Shops im Detail untersucht. Die Ergebnisse waren wenig ermutigend: 97 % hatten den Permissions-Policy-Header nicht gesetzt, 92 % fehlte der Referrer-Policy-Header, 81 % hatten kein HSTS. Im Schnitt fehlten 3,9 von 7 kritischen Headern. Zwei Shops hatten keinen einzigen.
Wenn diese Zahlen das Magento-Segment widerspiegeln, ist die Situation in der breiten Landschaft mit 303 Shops wahrscheinlich ähnlich oder schlechter. WooCommerce-Shops, Shopify und individuelle Entwicklungen haben ihre eigenen typischen Fehlkonfigurationen. Die Muster sind unterschiedlich, das zugrundeliegende Problem, Sicherheit als Nachgedanke, ist es nicht.
Was uns das über den Tiroler E-Commerce sagt
Ein paar Dinge stechen heraus.
Der Long Tail ist sehr lang. Die meisten Tiroler Online-Shops sind klein. Sie laufen auf WooCommerce oder einfachen Plattformen, bedienen lokale Kunden und arbeiten mit begrenzten technischen Budgets. Das ist keine Kritik, das ist einfach die Form dieses Marktes.
Magento-Shops sind beim Umsatz die Ausreißer, nicht bei der Anzahl. 11 % der Shops, aber ein unverhältnismäßig großer Anteil am regionalen Online-Umsatz. SportOkay, EGLO, Naturabiomat: das sind keine kleinen Betriebe. Die Konzentration umsatzstarker Shops auf Magento ist der Grund, warum die Sicherheits- und Performance-Ergebnisse dort mehr Gewicht haben, als die Prozentzahlen vermuten lassen.
Mobile Performance ist plattformübergreifend ein Problem. Das ist kein Magento-spezifisches Thema. Die Shops, die ich in der breiteren Landschaft gemessen habe, schneiden auf Mobilgeräten durchweg schlecht ab, genau dort, wo der Großteil ihrer Besucher ankommt. Die Investition in mobile Nutzererlebnisse hat mit dem Wandel im Traffic schlicht nicht Schritt gehalten.
Die Chance ist real und sie ist lokal. Die meisten dieser Shops konkurrieren miteinander, und die meisten haben ähnliche technische Lücken. Diese Lücken zu schließen, Performance, Sicherheit, modernes Frontend, ist nicht nur Risikominimierung. Es ist ein Wettbewerbsvorteil in einem Markt, in dem das Ausgangsniveau niedrig ist.
Was das für Tiroler Shop-Betreiber bedeutet
Die Daten sind, wie sie sind: Die meisten Shops in der Region haben Luft nach oben, sowohl bei Sicherheit als auch bei Performance, und die meisten wissen das im Detail nicht.
Das ist kein Grund zur Panik. Es ist ein Grund, tatsächlich nachzusehen.
Google PageSpeed Insights und securityheaders.com liefern beide in unter einer Minute einen ersten Anhaltspunkt. Wer verstehen möchte, was die Ergebnisse im Kontext des Tiroler Marktes bedeuten, kann mich gerne kontaktieren.