Laut dem Web Usability Forschungsinstitut Baymard Institute beträgt die durchschnittliche Abbruchrate in Online-Shops ca. 69%. Mehr als ein Drittel oder 2 von 3 Kunden legen Artikel in den Warenkorb, durchgehen dann aber nicht den Checkout-Prozess. Wie Sie dieses Phänomen verhindern und Ihren Checkout-Prozess optimieren erklären wir Ihnen in diesem Beitrag. Grundlegende Methoden für die Optimierung Ihrer Conversion-Rate haben wir bereits in diesem Beitrag behandelt.

Amazon beauftragt Checkout Analyse

Mit über 28.ooo Stunden Erfahrung in der UX-Forschung rund um die E-Commerce-Nutzung wurde das Baymard Institut von Amazon Pay beauftragt. Ziel des Auftrags war es ein Verständnis zu entwickeln, was die Beweggründe eines Kunden sind den Kauf abzubrechen, wenn er doch schon Artikel Warenkorb hat. Warenkorbabbrüche stellen ein schwerwiegender Problem für Online-Shop-Betreiber dar. Baymards Forschungsbericht bringt allerdings wertvolle Erkenntnisse an den Tisch, welche wir für Sie zusammengefasst haben:

 

1. Anzahl von Formularfeldern

Die Anzahl der leeren Felder korreliert direkt mit der Erfahrung des Nutzers. Bedeutet, dass mit jedem Feld, das der Kunde manuell ausfüllen muss die Wahrscheinlichkeit eines Abbruchs steigt. Der durchschnittliche Checkout enthält doppelt so viele Felder wie nötig, hier gibt es in der Regel immer Luft nach oben.

2. Vorab ausgefüllte/generierte Formularfelder

Wie bereits beschrieben sind leere Formularfelder ungern gesehen. Hier müssen so viele Eingaben, wie möglich aus den Händen des Benutzers genommen werden. In einer Session mehrmals dieselben Informationen angeben zu müssen ist ein No-Go, deshalb müssen diese nach der ersten Eingabe vorausgefüllt werden. Im Falle des Ortes lassen sich Features utilisieren, die nach Angabe der Postleitzahl den Ort und das Land automatisch generieren.

3. Sicherheitsbedenken bei der Zahlung

Die wahrgenommene Sicherheit Ihrer Webseite ist hier ein wichtiger Stichpunkt. Die meisten Benutzer werden keine fundierte Erfahrung im Bezug zur Funktionsweise von verschlüsselten Formularseiten. Hier liegt es in den Händen der Gestaltung deutlich zu kommunizieren, dass der Prozess sicher und geschützt ist. Hilfreich sind auch Siegel von vertrauenswürdigen Marken – am effektivsten sind hier verbraucherorientierte Marken, wie Norton oder Google.

4. Datenschutzbedenken bei scheinbar unnötig abgefragten Daten

Speziell Angaben zum Geburtsdatum, Geschlecht oder der Telefonnummer haben auf eine verstärkte Bereitschaft den Kauf im Checkout abzubrechen hingewiesen. Diese Angaben können Ihrem zielgruppenorientierten Marketing helfen, allerdings müssen Sie hier abwägen ob Ihnen ein optimierter Checkout hier wichtiger als Ihr Marketing. Wir empfehlen den Checkout zu optimieren. Zudem schon eine einfache Beschreibung, wieso diese Daten abgefragt werden (Telefonnummer – Für Fragen zum Versand), das Risiko eines Abbruchs schon stark mindert.

5. Erzwungene Kontoeinrichtung

Ähnlich, wie die scheinbar unnötigen Angaben zur Person ist auch die erzwungene Kontoeinrichtung scheinbar vorteilhaft für den Shop-Betreiber – sorgt auf der anderen Seite allerdings für große Unannehmlichkeiten und letztendlich zum Kauf-Abbruch. Besonders kauffreudige Kunden sind die Registrierung im hundertsten Online-Shop satt und kaufen dann lieber bei der Konkurrenz. Auch bereits registrierten Kunden kann der Kauf als Gast entgegen kommen, da durchschnittlich 19% aller Kunden ihre Anmeldedaten vergessen und der Prozess der Wiederherstellung langwierig und umständlich ist.

6. Zahlungsoptionen von Drittanbietern

Im Laufe der Tests des Baymard Instituts, das im Jahr 2009 begann, entwickelte sich ein starkes Vertrauen der Kunden in Drittanbieter für Zahlungsoptionen. So haben sich allein im vergangenen Quartal 8% der Käufer im Checkout gegen den Kauf entschieden, da die gewünschte Zahlungsart nicht vorhanden war.

Fazit

All diese Fehlerquellen deuten darauf hin, dass der Punkt der Kaufentscheidung viel weniger ein Punkt sondern ein Prozess ist. Zu sehr hat man sich bisher auf die Optimierung der Produktdarstellung und Benutzerfreundlichkeit auf den Produktseiten verbohrt. Der Checkout ist hier zu kurz gekommen oder wurde schon als sichere Conversion angesehen – die Studie bringt das böse Erwachen. Es ist klar geworden, dass mehr getan werden muss um ein erstklassiges Checkout-Benutzererlebnis zu schaffen.
Wichtig zu beachten ist, dass diese sechs Tipps zwar ein hervorragender Ansatz sind Ihr Checkout-Benutzererlebnis zu optimieren, um Ihre Checkout-Abbruchrate allerdings substantiell und anhaltend zu senken braucht es mehr als das. Gerne beraten wir Sie rund um Ihren Online-Shop, kontaktieren Sie uns hier.

Quelle: https://pay.amazon.com/de/blog/die-baymard-berichtserie-zuerst-vertrauen-gewinnen 

Shopware und die Security Header

Ein permanentes Thema für Webseiten- und vor allem Shop-Betreiber ist das Thema Sicherheit. Shopware sichert das System mit regelmäßigen Updates und dem hauseigenen Sicherheits-Plugin kontinuierlich ab. Das Sicherheits-Plugin ermöglicht Shopware-Shop-Betreibern, auch ältere Shopware-Versionen auf dem aktuellen Stand der Sicherheit zu halten, sofern es im Plugin-Manager auch zuverlässig auf den neuesten Stand gebracht wird.

Während Shopware also intern den Shop gegen Hacker- und Phishing-Attacken abriegelt, bleiben die externen – also individuellen Maßnahmen für Besucher des Shops weiterhin in der Hand der Betreiber selbst.

Hier kommen die HTTP Security-Header ins Spiel, mittels derer Funktionen moderne Webbrowser Nutzer vor Angriffen bewahren können. Sie bestimmen die Regularien, welche Inhalte von wem gestattet sind, um z.B. Manipulationsversuche von HTML, CSS und JS Code aus unbekannten Quellen zu verhindern.

Security Header können beispielsweise in der .htaccess in folgendem Tag definiert werden:

<IfModule mod_headers.c>
[…]
</IfModule>

Diese Security Header können Ihnen helfen

X-XSS-Protection

unterdrückt „Reflective Cross-Site-Scripting Attacken“, welche über GET oder POST gesendete Parameter an den Nutzer „reflektieren“. Darüber ließen sich sonst Links konstruieren, die bösartiges JavaScript im Browser des Besuchers ausführen.

Empfohlene Einstellung:

Header set X-XSS-Protection "1; mode=block"

 

X-Content-Type-Options

unterbindet mit das Standardverhalten des Browsers, zu raten, welcher Datentyp übermittelt wurde, wenn die entsprechende Dateiendung oder die Kennzeichnung im Content-Type Header fehlt. Beim Hochladen einer undefinierten Datei würde damit meistens “text/html” angewandt und somit schädlicher Code ausgeführt werden können.

Empfohlene Einstellung:

Header set X-Content-Type-Options nosniff

 

X-Frame-Options

legt fest, ob eine bestimmte Webseite in einem Frame integriert werden darf. So werden iFrames auf der eigentlichen Seite nicht eingeschränkt. Der Header sorgt aber dafür, dass entsprechende Seiten vom Browser nicht geladen werden, wenn sie in einer anderen oder unbekannten, mutmaßlicher Weise einer schädlichen Seite eingebettet wurden.

Mögliche Einstellungen:

Header always append X-Frame-Options DENY, SAMEORIGIN, ALLOW-FROM

 

Strict-Transport-Security

teilt dem genutzten Browser des Nutzers mit, dass die aktuell aufgerufene Seite für einen frei wählbaren Zeitraum nur per HTTPS aufgerufen werden darf. HTTP-Aufrufe werden somit in HTTPS-Verbindungen umgewandelt.

Empfohlene Einstellungen mit mindestens 6 Monaten:

Header set Strict-Transport-Security max-age=17280000

 

Feature-Policy

kann z.B. die Aktivierung von Kamera, Mikrofon und der Payment-API verbieten. Ebenso kann Feature Policy den Abruf des aktuellen Standorts oder oder die Vibrationsfunktion blockieren.

Empfohlene Einstellung:

Header set Feature-Policy "camera 'none'; microphone 'none'; payment 'none'; geolocation 'none'; vibrate 'none';"

 

Referrer-Policy

verschleiert beim Verlassen der Webseite durch Klick auf einen Link zu einer anderen Domain die Herkunft der Nutzer. Dies betrifft vorrangig den Datenschutz.

Empfohlene Einstellung:

Header set Referrer-Policy no-referrer

 

Content-Security-Policy

kurz CSP legt detailliert fest, welche Verwendung von diversen Datentypen und deren Quelle auf der Seite zugelassen ist.

Dieser Header kann generell in Verbindung mit Shops bei zu strikter Regulierung für Probleme sorgen. Durch den Einsatz von Payment Plugins und Inline JS etc. können ganze Funktionalitäten ausgehebelt werden.

Für Shopware 5 empfiehlt sich daher folgende Einstellung:
default-src https:; script-src https: 'unsafe-inline' 'unsafe-eval' data:; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:

Die härteste Einstellung wäre:
default-src 'self' und script-src 'self'

Das ist mit Shopware 5 und seinem Aufbau der Einkaufswelten etc aber leider noch nicht realisierbar. Dazu kommen die Verknüpfungen mit Google Adwords, Analytics und sonstige Tracking-Provider, die aktuell noch sehr gerne über Inline-JavaScript ihre Dienste einbinden.

Ein komplettes Beispiel für Shopware könnte demnach so aussehen:

<IfModule mod_headers.c>

    Header set X-XSS-Protection "1; mode=block"

    Header always append X-Frame-Options SAMEORIGIN

    Header set X-Content-Type-Options nosniff

    Header set Strict-Transport-Security max-age=31536000; includeSubDomains

    Header set Referrer-Policy no-referrer

    Header set Feature-Policy "camera 'none'; microphone 'none'; geolocation 'none'; vibrate 'none';"

    Header set Content-Security-Policy " default-src https:; script-src https: 'unsafe-inline' 'unsafe-eval' data:; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:"

</IfModule>

 

Es existieren mittlerweile auch Plugins, die die Einbindung der Security Header bequem im Backend ermöglichen. Da wird Shopware aber sicher nicht das einzige Shop-System bleiben.

In diesem Sinne, fröhliches Absichern!