Geprüft und aktualisiert im Juni 2026 — native Auslieferung virtueller Produkte und Downloadschutz in PrestaShop 1.7, 8 und 9 verifiziert.

Die unbequeme Wahrheit beim Verkauf digitaler Dateien lautet: Der Verkauf selbst ist der einfache Teil. Der schwierige Teil beginnt in der Sekunde nach der Zahlung, wenn der Kunde seine Datei sofort erwartet, wenn sie auch nach dem Laptopwechsel im nächsten Monat noch funktionieren soll und wenn — falls etwas schiefgeht — nur ein Klick zwischen Ihnen und einer Rückbuchung liegt, bei der Sie nicht beweisen können, dass Sie sie nicht verursacht haben. Physische Waren hinterlassen eine Spur: eine Sendungsnummer, eine Unterschrift, einen Paketdienst. Ein Download hinterlässt nichts, wenn Sie diese Spur nicht selbst schaffen. Genau darum geht es in diesem Leitfaden: wie PrestaShop eine Datei unter der Haube tatsächlich ausliefert und schützt, wo das native System solide ist, wo es Sie unauffällig angreifbar macht und wie Sie diese Lücken schließen.

Dies ist die Auslieferungs- und Schutzseite des digitalen Handels. Das breitere Geschäftsmodell — wie Sie Preisstufen festlegen, Lizenzen strukturieren, EU-Umsatzsteuer behandeln und ein virtuelles Produkt überhaupt einrichten — ist ein eigenes Thema, das wir in Digitale Produkte mit PrestaShop verkaufen behandeln. Hier bleiben wir eng fokussiert und gehen bei einer Frage in die Tiefe: Wenn jemand bezahlt hat, wie gelangt die Datei sicher zu dieser Person, und wie verhindern Sie, dass sie überall sonst landet?

Wie PrestaShop eine herunterladbare Datei tatsächlich ausliefert

PrestaShop Admin-Dashboard für digitale Produkte mit Validierungen, Downloads, Lizenzen, Domains und Produktzählern
Ein Dashboard für digitale Produkte erfasst Validierungen, Downloads, Lizenzen, registrierte Domains und digitale Produkte, damit du siehst, wie deine Dateien ausgeliefert werden.

Es hilft zu wissen, was passiert, denn jede Schutzentscheidung ergibt sich daraus. Wenn Sie ein Produkt als virtuelles Produkt markieren und eine Datei anhängen, legt PrestaShop diese Datei nicht in einem öffentlichen Ordner ab. Sie wird im Ordner /download/ im Stammverzeichnis Ihrer Installation gespeichert und in einen langen SHA1-Hash ohne Dateiendung umbenannt — etwa /download/3f7a9c1e…. Dieser Ordner wird mit einer .htaccess-Datei ausgeliefert, die direkten Webzugriff verweigert. Ein Kunde (oder Bot), der URLs errät, bekommt also nichts.

Der eigentliche Download läuft über einen Controller, nicht über einen statischen Link. In PrestaShop 1.7 bis 8 wird die Datei über den Front-Controller get-file ausgeliefert, erreichbar über einen sicheren Downloadlink, der ein Bestell-/Download-Token enthält statt eines direkten öffentlichen Pfads zur Datei — die genaue URL-Form und die Parameter unterscheiden sich je nach Version und nach dem Weg, über den der Kunde kommt (Kundenkonto, Bestellung oder E-Mail). Verlassen Sie sich also nicht auf ein fest kodiertes Format. Bevor auch nur ein einziges Byte gestreamt wird, wird der Zugriff über dieses Download-/Sicherheits-Token, die Gültigkeit und den bezahlten Status der Bestellung, das Ablaufzeitfenster und die verbleibende Anzahl an Downloads geprüft; je nach Route und Kontext kann zusätzlich eine Anmeldung im Kundenkonto erforderlich sein. Die Metadaten dahinter liegen an zwei Stellen, und Sie sollten sie sauber trennen. Die Standardwerte des Produkts stehen in der Tabelle ps_product_download — die für Sie relevanten Spalten sind nb_downloadable (wie oft), date_expiration (bis wann), is_shareable und display_filename (der kundenfreundliche Name, den der Kunde sieht, getrennt vom gehashten Namen auf der Festplatte). Sobald eine Bestellung aufgegeben wurde, wird der bestellspezifische Downloadstatus — der eigene Download-Hash der Bestellung, die verbleibende Anzahl und die Frist — beim Bestelldetail gespeichert. So verfolgt jeder Kauf seine eigene Nutzung unabhängig von den Produkt-Standardwerten.

Was bringt Ihnen das also? PrestaShop liefert Ihnen von Haus aus bereits die zwei Dinge, von denen die meisten Händler glauben, sie müssten sie erst nachrüsten: Dateien, die nicht durch Erraten einer URL erreichbar sind, und Downloads, die an eine echte, bezahlte, angemeldete Bestellung gebunden sind. Sie beginnen nicht bei null. Sie beginnen bei „sicher, aber grob“ — und die eigentliche Arbeit besteht darin, dieses System präziser zu machen.

Das native virtuelle Produkt richtig konfigurieren

Die Einstellungen, die Ihr Auslieferungsverhalten bestimmen, finden Sie im Tab Virtuelles Produkt des Produkts (in 1.7+ müssen Sie zuerst den Produkttyp auf Virtuelles Produkt setzen, damit der Tab erscheint). Die Felder wirken banal; falsche Werte verursachen die meisten Supportanfragen, die Verkäufer digitaler Produkte erhalten.

EinstellungWas sie steuertSinnvoller Wert & warum
Anzahl erlaubter Downloads (nb_downloadable)Wie oft dieselbe Bestellung die Datei abrufen kannNicht 1. Ein Kunde, der den Laptop wechselt, die Datei verliert oder eine abgebrochene Verbindung hat, braucht einen weiteren Versuch. 3–5 fangen legitime erneute Downloads ab, ohne massenhaftes Teilen einzuladen.
AblaufdatumDas Datum, nach dem der Link nicht mehr funktioniertLassen Sie es großzügig oder leer, sofern Sie nicht bewusst zeitlich begrenzten Zugriff verkaufen. Ein aggressives Ablaufdatum verwandelt „Ich habe das letztes Jahr gekauft“ in eine Supportanfrage.
Anzahl der TageTage, für die der Link nach der Bestellung gültig bleibt30–90 für einmalige Produkte; praktisch unbegrenzt, wenn Sie dauerhaften Zugriff versprechen. Kombinieren Sie das mit dem erneuten Download aus dem Kundenkonto, siehe unten.
Datei / DateinameDer eigentliche Upload, begrenzt durch upload_max_filesize und post_max_size Ihres ServersLaden Sie hier nur kleine bis mittlere Dateien hoch. Große Dateien gehören in Cloud-Speicher — siehe unten.

Eine Falle ist erwähnenswert: Ein echtes virtuelles Produkt sollte weder Gewicht noch Versand haben. Wenn ein digitaler Artikel die Kasse noch immer durch einen Lieferschritt zwingt, wurde das Produkt als physisch-mit-Datei statt als virtuell eingerichtet. Prüfen Sie, dass der Typ wirklich virtuell ist, damit der Versandschritt übersprungen wird und für einen Download keine Lieferadresse verlangt wird.

Drei Auslieferungsmodelle und wann welches richtig ist

„Auslieferung“ ist bei einer Datei nicht nur eine Sache. Es gibt drei Muster, und das richtige hängt fast vollständig von der Dateigröße und davon ab, wie wichtig Ihnen Nachverfolgbarkeit ist.

ModellGeeignet fürDer Haken
Nativer Download im Kundenkonto (get-file-Controller)Die meisten Dateien bis zu einigen hundert MB; der Standard und der sicherste WegDie Datei wird über Ihren Webserver gestreamt — große Dateien blockieren PHP-Prozesse und Ihre max_execution_time.
E-Mail-AnhangSehr kleine Inhalte — ein Lizenzschlüssel, ein einzelnes PDF, eine kurze Vorlage unter ~10 MBAnhanglimits von Anbietern (oft 25 MB), Spamfilterung und keinerlei Zugriffskontrolle, sobald die Datei im Posteingang liegt. Für Schlüssel in Ordnung, für wertvolle Dateien falsch.
Cloud-Speicher mit signierten URLsGroße Softwarepakete, Videokurse, hochauflösende Asset-PaketeErfordert eine zeitlich begrenzte signierte URL (S3, GCS oder ähnlich), die pro Bestellung erzeugt wird — niemals einen dauerhaft öffentlichen Link, sonst wird er indexiert und geteilt.

Die Entscheidungsregel ist einfach. Unter einigen hundert Megabyte lassen Sie den nativen Controller von PrestaShop arbeiten — er ist bereits sicher und an die Bestellung gebunden. Darüber sollten Sie die Datei nicht durch Ihren Webserver drücken; hosten Sie sie in Cloud-Speicher und geben Sie eine signierte URL aus, die abläuft. Der native Controller schützt den Zugriff; Cloud-Speicher schützt die Reaktionsfähigkeit Ihres Servers, wenn alle gleichzeitig herunterladen.

Schutz, der abschreckt, ohne Käufer zu bestrafen

Sie können eine Datei nicht unkopierbar machen. Wer Ihnen etwas anderes erzählt, verkauft DRM. Das ehrliche Ziel ist enger gefasst und erreichbar: Machen Sie den legitimen Kauf zum einfachsten Weg und machen Sie beiläufiges Weitergeben so gut nachverfolgbar, dass Menschen zögern. Drei Maßnahmen tragen fast die gesamte Last.

Kundenspezifisches Wasserzeichen

Das ist der Schutz mit dem höchsten Nutzen und der geringsten Reibung für Dokumente und Medien. Versehen Sie jedes heruntergeladene PDF, Bild oder Archiv mit dem Namen, der E-Mail-Adresse oder der Bestell-ID des Käufers. Das hält keine entschlossenen Raubkopierer auf — und das ist in Ordnung, denn dafür ist es nicht gedacht. Es richtet sich an den normalen Kunden, der eine Datei beiläufig an einen Kollegen oder in ein Forum weiterleiten würde. Sobald der eigene Name auf jeder Seite steht, tun die meisten es nicht. Und wenn eine Datei doch auftaucht, zeigt Ihnen das Wasserzeichen, aus welchem Konto sie stammt. Die native Funktion für virtuelle Produkte setzt keine Wasserzeichen; das ist der häufigste Grund, warum Verkäufer zu einem Modul greifen.

Lizenzschlüssel (wenn die Datei allein nicht das Produkt ist)

Bei Software ist die Datei ohne Schlüssel oft wertlos. Liefern Sie pro Bestellung einen eindeutigen Schlüssel aus, validieren Sie ihn bei der Installation oder regelmäßig gegen Ihren Server, und aus der geleakten Datei wird ein geleakter Installer, der sich nicht aktivieren lässt. Die tiefere Strategie — dauerhafte gegenüber abonnementbasierten Schlüsseln, Domainbindung, gestaffelte Lizenzen — behandeln wir in Digitale Produkte mit PrestaShop verkaufen; hier reicht der Hinweis, dass die Schlüsselauslieferung Teil der Auslieferung ist: Der Schlüssel muss im selben Moment wie der Download ankommen, sowohl in der Bestätigungs-E-Mail als auch im Kundenkonto, sonst haben Sie sich eine Supportwarteschlange geschaffen.

Downloadlimits und Ablaufdatum als leise Absicherung

Die Werte nb_downloadable und date_expiration, die Sie zuvor gesetzt haben, sind nicht nur Verwaltungskram — sie begrenzen, wie weit sich ein einzelner Kauf verbreiten kann, bevor der Link tot ist. Richtig eingestellt (einige Downloads, ein vernünftiges Zeitfenster, mit erneutem Download aus dem Kundenkonto) sind sie für ehrliche Käufer unsichtbar und setzen dem Teilen von Links eine echte Grenze.

Was Sie weglassen sollten: schwergewichtiges DRM (Adobe DRM, Widevine, FairPlay). Es erzeugt Reibung für die Menschen, die bezahlt haben, scheitert auf Geräten, die Sie nicht vorhergesehen haben, und wird von genau den Personen umgangen, um die Sie sich ohnehin Sorgen gemacht haben. Für einen kleinen oder mittelgroßen Shop ist es unterm Strich ein Verlust. Wasserzeichen, Schlüssel und Limit — danach stecken Sie Ihre Energie in das Kundenerlebnis.

Updates und erneute Downloads: der Teil, der Loyalität schafft

Anders als ein physisches Produkt soll ein digitales Produkt besser werden. Ein Käufer, der im letzten Quartal eine Vorlage, ein Plugin oder ein E-Book erhalten hat, erwartet, dass er in diesem Quartal die korrigierte Version abrufen kann — und nimmt es Ihnen übel, wenn er erneut bezahlen soll. Das native virtuelle Produkt ersetzt die Datei auf der Festplatte, wenn Sie eine neue hochladen, kennt aber kein Konzept von Versionen: kein Changelog, kein Signal „Sie sind auf v2, v3 ist verfügbar“, keine Benachrichtigung früherer Käufer. Die praktische Mindestbasis, die Sie Kunden schulden, ist daher:

  • Erneuter Download aus dem Kundenkonto — das Minimum. Die Bestellseite muss innerhalb des von Ihnen gesetzten Downloadfensters immer die aktuelle Datei ausliefern.
  • Update-Benachrichtigung — selbst eine einfache E-Mail, wenn eine neue Version erscheint. Sie bringt Kunden zurück und rechtfertigt still Ihren Preis.
  • Ein Changelog — Käufer müssen wissen, was sich geändert hat, bevor sie sich die Mühe machen, erneut herunterzuladen.
  • Ein definierter Updatezeitraum — „12 Monate Updates, optionale Verlängerung“ ist tragfähig; „Updates auf Lebenszeit“ ist eine offene Verpflichtung, die Sie bei einem später eingestellten Produkt bereuen werden.

Versionierung, Changelogs pro Release und Benachrichtigungen an bestehende Käufer sind genau die Lücken, in denen ein speziell dafür entwickeltes Werkzeug seinen Platz verdient — mehr dazu unten.

Die Rückbuchungsspur aufbauen, an die niemand denkt, bis es zu spät ist

Hier tut es Verkäufern digitaler Produkte weh, und das verdient einen eigenen Abschnitt, weil das native System für einen Streitfall fast nichts Nützliches protokolliert. Ein Kunde behauptet, er habe die Datei nie erhalten. Bei einem Paket würden Sie eine Sendungsnummer vorlegen. Bei einem Download haben Sie … das, was Sie protokolliert haben. Wenn das nichts ist, verlieren Sie den Streitfall und zahlen die Gebühr.

Bauen Sie Belege bewusst auf:

  • Protokollieren Sie jeden Download mit Zeitstempel, IP-Adresse, User-Agent und dem Kundenkonto / der Bestellung, zu der er gehörte. Das ist Ihre Sendungsnummer.
  • Senden Sie eine Auslieferungs-E-Mail, die ausdrücklich beschreibt, was gekauft wurde, und zum Download verlinkt — damit „Ich habe nie etwas bekommen“ im eigenen Posteingang des Kunden widerlegt wird.
  • Bewahren Sie Zugriffsdaten auf — Anmeldezeiten, Downloadhistorie pro Bestellung — damit ein Muster wiederholter Downloads eine Behauptung wie „nie erhalten“ entkräftet.
  • Haben Sie Geschäftsbedingungen, die der Kunde vor dem Kauf akzeptiert, damit die Regeln für das, was er gekauft hat, dokumentiert sind.
  • Reagieren Sie schnell mit diesen Belegen; Zahlungsdienstleister gewichten Streitfälle danach, ob der Verkäufer die Auslieferung nachweisen kann, und ein sauberes Downloadprotokoll reicht meistens aus.

Wenn Sie aus diesem Leitfaden nur eines mitnehmen, dann dieses: Machen Sie Auslieferung zu einem protokollierten Ereignis. Ein Download, der einen zeitgestempelten, IP-gestempelten Datensatz hinterlässt, ist der Unterschied zwischen Gewinnen und Verlieren der Streitfälle, die digitale Margen leise auffressen.

Wenn das native System an seine Grenzen kommt

Die native Auslieferung von PrestaShop ist bei den Grundlagen wirklich gut — sichere Speicherung, bestellgebundener Zugriff, Downloadlimits. Sie kommt genau an den oben genannten Punkten an ihre Grenzen: Sie setzt keine Wasserzeichen, versioniert nicht, erzeugt oder bindet keine Lizenzschlüssel, protokolliert Downloads nicht in streitfalltauglicher Tiefe und benachrichtigt frühere Käufer nicht über Updates. Für einen ernsthaften Verkäufer digitaler Produkte sind das keine Randfälle; es ist die tägliche Arbeit.

Genau diese Lücke schließt unser Modul Digital Revolution, und es greift jedes Problem auf, das dieser Leitfaden angesprochen hat. Was ändert es also konkret für Sie? Downloads werden über zeitlich begrenzte, tokenbasierte Links ausgeliefert, die Weitergabe erschweren, statt sich nur auf Limits zu verlassen. Jeder Download wird mit Wasserzeichen-Informationen personalisiert, sodass eine geleakte Datei auf das Konto zurückweist, aus dem sie stammt — Piraterie wird nachverfolgbar, nicht nur verboten. Dateien werden automatisch ausgeliefert, sobald die Zahlung bestätigt ist, mit dem Link und jedem Lizenzschlüssel in derselben E-Mail. Das beendet die Supportfrage „Wo ist mein Download?“. Versionsverwaltung bedeutet, dass bestehende Kunden die aktualisierte Datei (und ein Changelog) erhalten, sodass Updates Loyalität aufbauen statt Supportlast. Und jeder Download wird mit IP, User-Agent und Wasserzeichen-ID protokolliert — genau die oben beschriebene Rückbuchungsspur, für Sie aufbewahrt statt mitten im Streitfall hektisch zusammengesucht. Für Verkäufer, die Software oder Module vertreiben, ergänzt es Lizenztypen, Domainbindung, damit ein Schlüssel nicht überall gleichzeitig installiert werden kann, und die Verwaltung all dessen im Kundenportal. Es wird im Backoffice installiert und konfiguriert, nicht über eine Entwicklerrechnung.

Wo Auslieferung auf den Rest Ihres Betriebs trifft

Die Datei zu schützen und auszuliefern ist ein Glied in einer Kette. Einige angrenzende Aufgaben entscheiden, ob das gesamte Erlebnis zusammenhält:

Häufig gestellte Fragen

Wo speichert PrestaShop die Dateien, die Kunden herunterladen?

Im Ordner /download/ im Stammverzeichnis Ihrer Installation, umbenannt in einen langen SHA1-Hash ohne Dateiendung — niemals in einem öffentlichen Webordner. Dieser Ordner wird mit einer .htaccess-Datei ausgeliefert, die direkten Zugriff verweigert. Ein Bot, der eine URL errät, bekommt also nichts. Der eigentliche Download läuft über einen Front-Controller (die get-file-Route in 1.7–8), der ein Download-Token, den bezahlten/gültigen Status der Bestellung, das Ablaufzeitfenster und die verbleibende Downloadanzahl prüft, bevor auch nur ein Byte gestreamt wird.

Wie viele Downloads sollte ich pro Kauf erlauben?

Nicht 1. Ein Kunde, der den Laptop wechselt, eine abgebrochene Verbindung hat oder eine Festplatte löscht, braucht einen weiteren Versuch. Drei bis fünf fangen legitime erneute Downloads ab, ohne massenhaftes Teilen einzuladen. Die Einstellung 1 ist die häufigste Ursache für Supportanfragen nach dem Muster „Ich habe meine Datei verloren“. Kombinieren Sie eine vernünftige Anzahl mit der Möglichkeit zum erneuten Download aus dem Kundenkonto.

Kann ich verhindern, dass Menschen die Datei teilen, nachdem sie sie gekauft haben?

Sie können eine Datei nicht unkopierbar machen — wer etwas anderes behauptet, verkauft DRM. Das erreichbare Ziel ist, beiläufiges Weitergeben nachverfolgbar und etwas unbequemer zu machen. Die drei Maßnahmen, die fast die gesamte Wirkung tragen: kundenspezifische Wasserzeichen (Name/E-Mail des Käufers auf jeden Download setzen), Lizenzschlüssel für Software sowie sinnvolle Downloadlimits plus Ablaufdatum. Schwergewichtiges DRM (Adobe DRM, Widevine, FairPlay) erzeugt Reibung für ehrliche Käufer und wird von genau den Personen umgangen, um die Sie sich ohnehin Sorgen gemacht haben.

Setzt PrestaShop Wasserzeichen in Downloads oder protokolliert sie für Rückbuchungen?

Nein. Das native virtuelle Produkt ist sicher und bestellgebunden, aber es versieht Dateien nicht mit Wasserzeichen, versioniert sie nicht, erzeugt oder bindet keine Lizenzschlüssel und protokolliert fast nichts, was bei einem Zahlungsstreit nützlich wäre. Diese Lücken sind die tägliche Arbeit eines ernsthaften Verkäufers digitaler Produkte — kundenspezifische Wasserzeichen, automatische Auslieferung mit Schlüssel, Versionsverwaltung und ein Downloadprotokoll mit IP/User-Agent sind genau das, was Digital Revolution ergänzt.

Wie gewinne ich eine Rückbuchung mit der Begründung „Ich habe meinen Download nie erhalten“?

Machen Sie Auslieferung zu einem protokollierten Ereignis. Erfassen Sie jeden Download mit Zeitstempel, IP, User-Agent und der zugehörigen Bestellung — das ist Ihre Sendungsnummer. Senden Sie eine Auslieferungs-E-Mail, die ausdrücklich benennt, was gekauft wurde, und darauf verlinkt, damit „Ich habe nichts bekommen“ im eigenen Posteingang des Kunden widerlegt wird. Zahlungsdienstleister gewichten Streitfälle danach, ob der Verkäufer die Auslieferung nachweisen kann, und ein sauberes Downloadprotokoll reicht meistens aus.

Fazit

Von außen wirkt der Verkauf von Dateien mühelos — kein Lager, kein Paketdienst, reine Marge. Die Arbeit verschiebt sich nur an eine weniger sichtbare Stelle: dorthin, wo sichergestellt wird, dass die richtige Person die Datei erhält, die falschen Personen nicht darauf zugreifen können, die Datei im Laufe der Zeit besser wird und jede Auslieferung einen Nachweis hinterlässt, auf den Sie sich verlassen können, wenn Geld auf dem Spiel steht. PrestaShop gibt Ihnen kostenlos eine sichere, bestellgebundene Grundlage; der Mehrwert, den Sie darauf aufbauen, sind Wasserzeichen, Versionierung, automatische Auslieferung mit Schlüssel und ein Downloadprotokoll, das Streitfälle gewinnt. Wenn Sie das richtig machen, verhält sich das „reibungslose digitale Produkt“ endlich wie eines — für den Kunden und für Sie.

Schlagwörter: PrestaShop SEO Sicherheit
Diesen Beitrag teilen:
David Miller

David Miller

Founder, mypresta.rocks

David Miller ist PrestaShop-Spezialist mit über einem Jahrzehnt praktischer Erfahrung und Gründer von mypresta.rocks, einem Software-Studio im polnischen Tychy. Er entwickelt und pflegt einen Katalog von 152 PrestaShop-Modulen – darunter 21 „Revolution"-Suiten für SEO, Checkout, Sicherheit, Performance, Marketing, Suche, Support und Lagerverwaltung –, die reale Shops Tag für Tag verbessern und für PrestaShop 1.7.8, 8.x und 9.x getestet sind. Darüber hinaus betreut er Produktivshops mit einem Jahresumsatz in Millionenhöhe, sodass seine Arbeit an echten Verkäufen gemessen wird und nicht an Demos. Seine Erfahrung deckt die gesamte Bandbreite des E-Commerce ab – Performance, Sicherheit, SEO und Marketing – und reicht über PrestaShop hinaus bis zu WooCommerce, Shopify und maßgeschneiderten Systemen. Im Blog schreibt er über die technische Seite von PrestaShop: was die Plattform wirklich tut, was in der Produktion bricht und welche Lösungen sich bewähren.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie unsere neuesten Tipps, Anleitungen und Modul-Updates direkt in Ihr Postfach.

Kommentare

Noch keine Kommentare. Seien Sie der Erste!

Stellen Sie als Erster eine Frage oder teilen Sie hilfreiches Feedback.

Lade ...
Nach oben