Shopware 5 End-of-Life: Was Shop-Betreiber jetzt wissen müssen

Was End-of-Life für Shopware 5 konkret bedeutet

Shopware hat den offiziellen Wartungszeitraum für Shopware 5 beendet. Praktisch heißt das: keine regulären Sicherheits-Updates mehr, keine Bugfixes, kein Support für die Standard-Komponenten. Plugins, die noch auf Shopware 5 ausgelegt sind, werden seltener aktualisiert. Composer-Abhängigkeiten, auf denen das System aufsetzt, sind in vielen Fällen seit Jahren nicht mehr aktiv gepflegt.

Das ist keine Marketing-Drohung. Es ist die normale Lebenszyklus-Realität eines Open-Source-Produkts, das in Generation 6 weiterentwickelt wird.

Welche Risiken konkret offen bleiben

Drei Klassen von Risiken werden mit jedem Monat größer:

• Sicherheitslücken in Core-Komponenten. Werden in Shopware 5 entdeckte CVEs nicht mehr regulär gepatcht, bleibt das Einfallstor offen. Bekannte Beispiele aus der Vergangenheit zeigen, dass automatisierte Scanner solche Shops innerhalb von Stunden nach Veröffentlichung einer Lücke finden – nicht gezielt, sondern flächendeckend.
• Sicherheitslücken in Dependencies. Symfony-, Twig- und PHP-Bibliotheken, auf denen Shopware 5 fußt, erhalten ebenfalls keine sicherheitsrelevanten Updates mehr im Shopware-5-Kontext. Wer hier nachzieht, baut sich häufig Inkompatibilitäten ein.
• Plugins ohne Hersteller. Ein nicht unerheblicher Teil der im Shopware-5-Ökosystem verfügbaren Plugins stammt von Anbietern, die ihre Produkte nicht mehr aktiv pflegen oder gar nicht mehr existieren. Diese Plugins werden technisch zu Blackboxes mit unklarem Sicherheitsstatus.

„Wir warten noch, weil bei uns nichts passiert ist"

Diese Haltung ist verständlich, aber sie unterschätzt zwei Dynamiken. Erstens: Angriffe geschehen heute überwiegend automatisiert. Niemand muss Sie gezielt im Blick haben – es reicht, dass Ihr Shop in einer öffentlich crawlbaren Datenbank auftaucht und ein Scanner durchläuft. Zweitens: Die Migration wird mit jedem Monat aufwendiger, nicht einfacher. Plugins, auf die Sie sich verlassen, fallen weg. Erfahrene Shopware-5-Entwickler werden seltener. Eine Migration im Notfall – nach einem Vorfall – ist immer teurer als eine geplante.

Ein realistischer Migrationspfad nach Shopware 6

Aus unserer Projektpraxis hat sich folgender Ablauf bewährt:

1. Audit (3–5 Werktage). Bestandsaufnahme aller Plugins, Customizations, Drittsysteme, Datenmodell-Anpassungen. Ergebnis: Eine Liste, was 1:1 übertragbar ist, was abgelöst gehört und welche Risiken offen sind.
2. Migrationsplan mit Festpreis (1–2 Wochen). Aus dem Audit entsteht ein verbindlicher Fahrplan mit Aufwand, Reihenfolge und Startdatum nach Kapazität.
3. Parallelbetrieb (4–8 Wochen). Shopware 6 wird sauber aufgesetzt. Daten werden migriert und validiert, während Ihr aktueller Shop weiter Umsatz macht.
4. Cut-over (1 Wartungsfenster). Wechsel im definierten Zeitfenster. Rollback-Plan steht bereit.
5. Übergabe ins laufende Management. Nahtloser Übergang in die monatliche Betreuung – keine Lücke zwischen Projekt und Betrieb.

Realistische Gesamtdauer für einen mittelgroßen Shop mit moderatem Customizing: 10–14 Wochen vom Audit-Start bis zum Go-Live.

Was Sie jetzt konkret tun können

Wenn Sie noch auf Shopware 5 sind, lautet die wichtigste Frage nicht „migrieren wir?", sondern „wann buchen wir den Slot?". Migrationen werden bei jedem Anbieter nach Kapazität getaktet – wer im Notfall startet, zahlt Notfall-Preise. Wir empfehlen, die Migration in den nächsten 6–12 Monaten einzutakten.

Im Zwischenraum bis zum Go-Live sollten Sie zumindest sicherstellen, dass:

• regelmäßige Backups laufen und im Ernstfall tatsächlich wiederhergestellt werden können,
• ein Monitoring auf Uptime und Bestellprozess existiert,
• Plugins ohne Hersteller-Update entweder ersetzt oder durch Web Application Firewall geschützt sind.

Das ist keine vollständige Absicherung – aber es ist mehr als „wir hoffen mal".

Wenn Sie konkret wissen wollen, wie Ihr Migrationsfenster aussehen könnte, sprechen Sie uns an. Wir machen das Audit transparent und der Festpreis ist der Festpreis.