Shopware 5 End Of Life – Interview mit safefive

07.03.2023
extendedLogo

Noch scheint der August 2024 – und damit auch das “End Of Life” von Shopware 5 – weit weg zu sein. Erfahrungsgemäß kommt der Stichtag jedoch schneller als gedacht. Wie die Community-Initiative safefive Shopbetreiber nach dem EOL von Shopware 5 in puncto Security unterstützen kann, berichtet Co-Initiatorin Carmen Bremen im Interview.

Magst du dich und das Team von safefive kurz vorstellen?

safefive hat insgesamt vier Gründer – drei Jungs und ein Mädchen, quasi die klassische Geschlechterverteilung im E-Commerce 😀. Wir, das sind Fabian Blechschmidt, Rico Neitzel, Tobias Vogt und ich, Carmen Bremen. Wir kommen alle aus dieser E-Commerce-Bubble, ursprünglich aus dem Umfeld von Magento.

Seit mittlerweile drei Jahren bieten wir unter der Marke Mage One schon Security-Updates für Magento 1 an. Als der offizielle Support für Magento 1 im Jahr 2020 eingestellt wurde, haben wir quasi das Staffelholz übernommen und somit auch unsere ersten Erfahrungen mit dem Long-Term-Support von E-Commerce-Software nach dem ‘End Of Life’ gemacht. Und bald machen wir das auch für Shopware 5.

Warum habt ihr euch dazu entschieden, Shopware 5 nach dem EOL weiter zu supporten?

Shopware 5 ist ein bekanntes deutsches Shopsystem und neben Magento auch eine der bekanntesten Open-Source-Lösungen. Gerade in der DACH-Region ist Shopware 5 unglaublich weit verbreitet. Vor diesem Hintergrund war es für uns naheliegend, auch für Shopware 5 nach dem EOL Long-Term-Support anzubieten.

Beim EOL von Magento 1 war der ursprüngliche Impuls damals, dass wir selbst noch Kunden mit Magento 1 Shops hatten. Die wollten wir damit nicht allein lassen. Daraus entstand die Idee, den Support einfach weiterzumachen. So begann das eigentlich.

Dadurch, dass Magento 1 ja schon so lange nicht mehr unterstützt wird, sind wir alle schon irgendwo in anderen Systemen unterwegs. Ich arbeite zum Beispiel viel mit Shopware 6 und insofern hat man sich von Magento 1 gerade aus der Entwicklerperspektive schon länger verabschiedet und supportet es jetzt nur noch hinsichtlich des Security-Aspektes.

Vieles von dem, was wir bei Magento 1 gemacht haben, ist ja auf Shopware 5 übertragbar. Und eigentlich ist es schön, dass diese ganzen Erfahrungen, die wir mit Mage One gemacht haben, nicht umsonst sind, weil Long-Term-Support als Projekt zeitlich limitiert ist. Die Dauer beträgt vielleicht fünf bis zehn Jahre und dann ist unser ganzes Wissen weg – also alles, was wir eben in dieser Zeit über das Finden von Bugs oder die Prüfung von gemeldeten Sicherheitslücken gelernt haben. Das ist schade, aber durch safefive können wir das jetzt noch weiter verwenden. Das freut mich total.

Tatsächlich haben wir viele, viele Erfahrungen gemacht, mit denen wir so nicht gerechnet haben. Wir hätten zum Beispiel niemals gedacht, dass PCI ein Thema ist. Und als das kam, hatten wir am Anfang erstmal gar keine Antworten darauf. Für uns ist es toll, dass es jetzt mit dem Long-Term-Support von Shopware 5 weitergeht, weil es im Grunde genommen vom Thema her Security bleibt. Und ob du eine SQL Injection oder was auch immer an einem Magento- oder einem Shopware-Shop probierst, ist im Prinzip egal, weil die Sicherheitslücken alle ähnlich sind oder gleich funktionieren.

Welche Leistungen bilden beim LTS von Shopware 5 eure Schwerpunkte?

Mit safefive bieten wir nach dem offiziellen Support-Ende von Shopware 5 weiterhin Sicherheitsupdates für das Shopsystem an. Dazu stellen wir ein Plugin zur Verfügung, das nach dem gleichen Schema funktioniert, wie das bestehende Security-Plugin von Shopware.

Wir werden jedoch keine Bugfixes im System vornehmen und auch keine neuen Features entwickeln. Shopware 5 wird also ein auslaufendes System sein, das durch safefive jedoch auch nach dem End of Life sicher ist und bleibt. Genau darauf kommt es uns an.

Logo_safefive

Darüber hinaus wollen wir den Shopbetreibern, die unser Angebot in Anspruch nehmen, auch mehr Sicherheitsinfos an die Hand geben – zum Beispiel im Hinblick auf Passwörter: Dabei können wir erklären, wie oft Passwörter geändert werden sollten, was ein sicheres Passwort ausmacht oder wie lange es im Schnitt dauert, ein einfaches Passwort wie “Hallowelt” zu knacken. Ein anderes Beispiel wären Erklärungen zu Fragen wie "Warum nehmen Hacker-Angriffe eigentlich an Weihnachten so immens zu und wie gefährlich ist das wirklich?”

Wie bereits erwähnt, werden Security-Updates für Shopware 5 aber der Schwerpunkt unserer Arbeit bei safefive sein. Und Sicherheitslücken müssen natürlich erst einmal gefunden werden. Durch unsere Arbeit bei Mage One kennen wir im Prinzip schon einige häufiger vorkommende Arten von Sicherheitslücken, nach denen wir gezielt Ausschau halten werden.

Zusätzlich werden wir ein Bug Bounty-Programm starten. Shopware selbst hat im Gegensatz zu Magento nämlich kein solches Programm. Wir kündigen das schon kurzfristig an, damit das Programm pünktlich zum offiziellen EOL von Shopware 5 starten kann. Das lief auch bei Magento 1 schon sehr erfolgreich, denn da wurden wirklich viele Bugs gemeldet.

Auch Shopware erhält bereits Bug-Meldungen von Agenturen und Shopbetreibern. Das sieht man zum Beispiel anhand der Security-Updates, die von Shopware 5 kommen. Auch deshalb gehen wir mit unserem Bug Bounty-Programm schon früh in die Kommunikation, denn diese aktiven Melderinnen und Melder aus der Shopware-Community sollen natürlich rechtzeitig Bescheid wissen.

Geht ihr davon aus, dass die Migration auf Shopware 6 für viele Shopbetreibern trotzdem zur Herausforderung wird?

Absolut. Solche Dinge kommen trotz vorzeitiger Ankündigung erfahrungsgemäß immer unheimlich plötzlich. Ähnlich war es beispielsweise 2018 mit dem Inkrafttreten der DSGVO. Und auch das Support-Ende von Shopware 5 in 2024 wird für viele Leute gefühlt sehr überraschend kommen. Deshalb kündigen wir das jetzt schon an, damit es nicht ganz so plötzlich kommt und die Händlerinnen und Händler sich vorbereiten können. Wer im Hinblick auf das Support-Ende von Shopware 5 einen Relaunch machen möchte, muss im Prinzip jetzt schon mit den Planungen beginnen, um das bis Mitte 2024 bewerkstelligen zu können.

Mit safefive möchten wir diejenigen unterstützen, die eine Migration nicht rechtzeitig zum EOL von Shopware 5 umsetzen können. Unser Geschäftsmodell ist aber nicht darauf ausgelegt, die Leute zwangsläufig im alten System zu halten. Deswegen wird das “safe” in safefive auch mit “f” und nicht mit “v” geschrieben: Wir wollen sichern, aber nicht behalten.

Wir gehen davon aus, dass viele 2024 noch nicht migriert haben werden. Von Shopware selbst wissen wir, dass viele betroffene Shopbetreiber schon aktiv nachfragen, wie es nach dem Support-Ende von Shopware 5 weitergehen wird. Shopware kann diesen Shopbetreibern nun bereits die Antwort geben, dass sie bei Bedarf Support durch safefive als Drittanbieter erhalten können.

Einige Shopbetreiber stehen zum Beispiel vor der Herausforderung, dass sich ihr Shop bis 2024 noch nicht amortisiert hat und sie ihn länger halten wollen. Andere schaffen es aus zeitlichen Gründen nicht, da es auf Seiten der Agentur oder im Hinblick auf interne Ressourcen zu Engpässen kommt. Viele Agenturen sind mit der Menge an Aufträgen völlig überlastet und die Leute sind im Umgang mit Shopware 6 zum Teil noch nicht so geübt, wie sie es sein müssten. Was in zehn Jahren an Shopware 5 Shops gebaut wurde, kann nicht in drei Jahren migriert werden.

Eine Migration zu Shopware 6 bedeutet auch, in ein komplett anderes technologisches System umzuziehen. Shopware 5 hat zum Beispiel unfassbar viele Features. Das ist bei Shopware 6 nicht der Fall. Das heißt, es wird erstmal ein Feature-Downgrade sein. Also wer von 5 auf 6 wechselt, wird viel anbauen und viel individuell entwickeln oder auf passende Plugins hoffen müssen. Und das ist ja eigentlich ähnlich, wie wenn man in eine neue Wohnung oder ein neues Haus umzieht. Man muss halt überlegen, was man mitnimmt. Und auch das kostet eine irrsinnige Zeit und irrsinnige Ressourcen – auch in den Unternehmen, die entscheiden müssen, welche Features sie behalten und neu aufbauen wollen.

Deshalb wird unglaublich viel Vorlaufzeit benötigt und ich glaube, dass viele einen Relaunch zu Shopware 6 daher 2024 noch nicht realisieren können. Mit dem Long-Term-Support bietet safefive allen Betroffenen Sicherheit und vor allem mehr Zeit, um die Migration in Ruhe anzugehen.

Ihr seid offizieller Shopware-Partner für den LTS von Shopware 5. In welcher Form unterstützt euch die Shopware AG?

Ich finde es großartig, dass wir von Shopware selbst sehr viel Support erhalten. Dafür sind wir extrem dankbar, gerade weil Magento uns bei der Umsetzung von Mage One überhaupt nicht unterstützt hat. Wir erhalten durch die strategische Partnerschaft viel mehr Infos und Mithilfe. So macht uns die Arbeit an safefive viel Spaß.

Angefangen hat das alles 2018 bei einem klassischen Biertischgespräch mit den beiden Shopware-CEOs Stefan und Sebastian Hamann. Durch unsere Arbeit in der Community kennen wir die beiden schon recht lange. Wir haben dann rumgealbert in Richtung “Ja, Shopware 5, da könnten wir dann ja den Support übernehmen”. Und die beiden dann “Ja, auf jeden Fall”. Nach dem Gespräch blieb bei uns aber erstmal die Frage “Ja, meinten die das jetzt ernst”? Als wir dann später nochmal nachgefragt haben, kam sofort ein eindeutiges Ja und sie haben uns ihre Unterstützung zugesichert.

Wenn wir Infos oder Hilfe aus dem Marketing oder dem Partnermanagement benötigen, können wir jetzt einfach auf die passenden Ansprechpartner bei Shopware zugehen. Auch wenn es um Maßnahmen geht, um safefive bei den Shopware-Kunden bekannt zu machen. Auf der DMEXCO gab es zum Beispiel Infokarten von uns, die am Stand von Shopware ausgelegt wurden. Auch deren Sales-Team ist mit allen Infos zu safefive gebrieft und kann den Kunden umfassend Auskunft geben, wenn Fragen kommen. Gleiches gilt auch für die Partnermanager.

Im Prinzip ist die Zusammenarbeit eine Win-Win-Situation für uns und Shopware selbst. Ich empfinde Shopware als ein sehr menschliches Unternehmen, das mit seinen Produkten nah an den Shopbetreibern dran sein möchte. Mit dem EOL von Shopware 5 steht das Unternehmen vor der Herausforderung, die Shopbetreiber nach dem Support-Ende nicht einfach allein zu lassen. Mit safefive bieten wir ihnen die perfekte Lösung dafür, denn wir sind nah an der Community und haben eine klare Botschaft, um den Shopbetreibern die Unsicherheit zu nehmen: Shopware 5 bleibt auch nach dem EOL sicher. Mit der Unterstützung unseres Projekts zeigt Shopware, dass ihnen die Sorgen ihrer Kunden nicht egal sind.

Im Gegenzug profitieren wir besonders davon, dass Shopware uns namentlich erwähnt und uns Insiderwissen aus erster Hand zur Verfügung stellt. Zum Beispiel wussten wir nicht, bis zu welcher Version von Shopware 5 wir rückwirkend Support anbieten sollen. Auf Nachfrage haben wir sofort ein Tortendiagramm mit der aktuellen Versionsverteilung bekommen. Das hat uns bei der Orientierung enorm weitergeholfen. Auch in Bezug auf Fragen zu technischen Aspekten haben wir die Möglichkeit, uns direktes Feedback von Shopware zu holen. Dass wir so viel Hilfe bekommen, ist wirklich großartig.

Gibt es schon Überlegungen, bis wann der LTS-Support durch safefive angeboten werden soll? Setzt ihr bereits im Vorfeld eine zeitliche Begrenzung?

Wir werden den Support für Shopware 5 mindestens über eine Dauer von fünf Jahren anbieten. Wir haben beim Support für Magento 1 festgestellt, dass die Frage nach der Support-Dauer zu den meistgestellten Fragen der Shopbetreiber gehörte. Eine klare Antwort darauf gibt den Leuten Planungssicherheit. Daher haben wir uns frühzeitig dazu entschieden, dass fünf Jahre Support auf jeden Fall machbar und finanzierbar sind. Und so garantieren wir auch bei safefive fünf Jahre Support und werden danach Bilanz ziehen, ob weiterhin Bedarf besteht.

Welches Vorgehen empfiehlst du Shopbetreibern, die sich für das Angebot von safefive interessieren?

Ich rate erstmal dazu, sich schlau zu machen, was es so kostet. Danach kann man theoretisch schon vorab buchen. Wir bauen gerade die Buchungsplattform, die schätzungsweise Ende 2023 fertig sein wird. Die Preise stehen aber schon fest und wurden bereits auf unserer Webseite veröffentlicht. Auch das dient eben dieser Planungssicherheit, die die Shopbetreiber haben sollen. Die Kosten sind schließlich entscheidend für das weitere Vorgehen. Treibe ich jetzt den Relaunch voran oder nehme ich mir vielleicht die teure Agentur, nur damit ich fertig werde? Oder kann ich es mir auch noch ein bis zwei Jahre leisten, auf Shopware 5 zu bleiben und den Relaunch in Ruhe durchzuführen? Deshalb gibt es die Preise jetzt schon.

Wie bei Mage One sind auch die Preise bei safefive umsatzabhängig. Der Grund dafür ist, dass wir auch kleinen Shops ermöglichen möchten, diesen Service zu buchen. Wichtig ist, dass wir uns dabei nur auf den Jahresumsatz des Onlineshops beziehen. Generiert ein Shopbetreiber zum Beispiel auch Umsatz im stationären Handel, wird dieser natürlich nicht berücksichtigt. Unser Service bezieht sich schließlich nur auf den Onlineshop. Entscheidet sich ein Shopbetreiber dazu, unseren Service schon vorab zu buchen, kommt die erste Rechnung dann zum End of Life im August 2024.

Wie können Interessenten am besten Kontakt zu euch aufnehmen?

Am besten erreicht man uns über unsere Webseite. Da gibt es ein Kontaktformular, das man einfach ausfüllen und absenden kann. Wir werden auch auf dem Shopware Community Day am 25. Mai oder beim Shopware Partnertag vor Ort sein. Dort kann man uns dann auch persönlich ansprechen. Und natürlich sind wir auch über LinkedIn und Twitter erreichbar.


Zur Person

safefive_Carmen_Bremen

Carmen Bremen

Carmen Bremen ist Freelancer (neoshops.de), Developer für Shopware und Magento, Speaker und gehört zum Organisationsteam der MageUnconference sowie der Shopware Community UnConference. Außerdem ist Carmen Mitbegründerin der LTS-Projekte safefive und Mage One.


Veröffentlicht am 07.03.2023 | DR