Update: In den Kommentaren hat paydirekt mitgeteilt, dass die Lücke behoben ist. Es steht eine aktuelle Version des Plug-in zum Download

Wer in seinem Shopware-Onlineshop bereits Paydirekt einsetzt lebt möglicherweise gefährlich.

Denn durch eine Sicherheitslücke im aktuellen Zahlungsplugin von Paydirekt (Version 1.0.26) ist es derzeit möglich den Lagerbestand von Shopware Online-Shops so zu kompromittieren, dass eine Bestellung der Artikel nicht mehr möglich ist.

Darauf weist der IT Sachverständige und Shopware-Experte Patrick Emmler hin, der die Sicherheitslücke entdeckt hat.

Das Anwenden der Sicherheitslücke ist dabei relativ trivial, führt Emmler weiter aus und kann praktisch ohne großen Aufwand ausgeführt werden, wenn man weiß wie.

Die Gefahr besteht darin, dass mit der entdeckten Lücke der Lagerbestand von einigen wenigen Artikeln oder sogar über ein Script der gesamte Lagerbestand des Produktsortiment im Shop auf 0 gesetzt werden kann, ohne das man sich einen internen Zugang auf den Shop verschaffen muss.

Bestellungen durch weitere potentielle Kunden sind dann gesamtheitlich nicht mehr möglich und der damit verbundene Schaden durch den entgangenen Umsatz je nach Shopgröße entsprechend hoch.

Gerade Shopbetreiber, welche durch fehlendes fachliches Wissen, unregelmäßige Shop-Pflege und Kontrolle im Backend dies nicht oder zu spät bemerken sind davon besonders gefährdet.

Ein Schelm wer sich Böses dabei denkt, wenn möglicherweise ein Mitbewerber aus der eigenen Branche dem Marktbegleiter mit einem Shopware-Shop ein Schnippchen schlagen möchte und die am Besten laufenden Artikel einfach mal über das Wochenende „aus dem Sortiment nimmt“.

Ebenso kann die Sicherheitslücke auch von klassischen Hackern verwendet werden, um ohne konkreten Bezug auf den Onlineshop großen Schaden anzurichten.

Patrick Emmler empfiehlt deshalb das Paydirekt-Plugin vorerst zu deaktivieren und auf ein mögliches Update zu warten, welches diese Lücke schließt.

Von der Sicherheitslücke hat er Paydirekt und den Plugin-Entwickler bereits in Kenntnis gesetzt und auch Rückmeldungen erhalten.

Fun fact hierbei: Paydirekt will seine Meldung zur Sicherheitslücke bisher aus Datenschutzgründen nicht annehmen und bearbeiten, weil er kein authorisierter Paydirekt-Händler ist.

Ebenso erstaunt die Rückmeldung des Plugin-Entwickler: „Die Art und Weise wie der Zahlungsvorgang durchgeführt wird, ist seitens Paydirekt funktionspezifisch so gegeben, dass die Sicherheitslücke in der aktuellen Form vorhanden ist.“

Dies kann Emmler aus seiner Erfahrung mit anderen Zahlungsdienstleistern wie Paypal, Sofort oder Klarna nicht bestätigen. Diese funktionieren ordnungsgemäß und können für einen entsprechenden Angriff nicht genutzt werden.

Sollte die bestehende Lücke seitens Paydirekt tatsächlich technisch systemimmanent sein, rät Emmler davon ab, Paydirekt bis auf Weiteres einzusetzen, um sich vor der Gefahr eines „Paydirekt-Knockout“ zu schützen.

Außer Shopware beträfe dies möglicherweise dann auch alle anderen Shopsysteme, welche Paydirekt bereits einsetzen.

Er sieht hierbei im Kontext auch ein generelles Problem, welches immer wieder anzutreffen ist. Funktionserweiterungen jeglicher Art werden seines Erachtens immer mehr, nur noch auf die spezifische Hauptfunktionen hin entwickelt.

Usability, Logik, Effizienz und Sicherheit geraten leider oft  immer mehr ins Hintertreffen. Dies jedoch nicht nur aus Sicht der Entwickler, welche unter Zeitdruck in immer kürzerer Zeit „eine Funktion abliefern“ müssen. Sondern auch auf Seiten der Kunden oder beauftragenden Unternehmen, welche auf externe Dienstleister zurückgreifen.

Oft genug bleibt am Schluss zu wenig Zeit und Muße, um wirklich alle relevanten Bereiche ausführlich genug zu testen oder fragliche Prozesse auf deren weitere Auswirkungen zu interpretieren.

Deshalb sein Rat – auch – für Shopbetreiber: Testen, testen, testen.

Update: In den Kommentaren hat paydirekt mitgeteilt, dass die Lücke behoben ist. Es steht eine aktuelle Version des Plug-in zum Download