News • 27.03.2023

SEC Consult: Bedenkliche Mängel bei elektronischen Preisschildern

Die Risiken von elektronischen Regaletiketten für Einzelhandel und kritische Infrastrukturen

Elektronische Etiketten und Regalbeschilderungen, sogenannte ESL-Tags, kommen immer häufiger zum Einsatz. Ob im Supermarktregal, im Krankenhauslager oder in Gerichtsarchiven – die digitale Beschilderung erfreut sich aufgrund ihrer unkomplizierten Handhabung und der Möglichkeit, Preisangaben und Beschriftungen rasch und zentral gesteuert zu adaptieren, steigender Beliebtheit. Das auf Cybersecurity spezialisierte Unternehmen SEC Consult hat nun die Tags eines großen chinesischen Herstellers unter die Lupe genommen und dabei schwere Sicherheitsmängel aufgedeckt.

Bläulich leuchtende Schaltkreise
Quelle: Adi Goldstein / Unsplash

Egal ob sie dafür eingesetzt werden, Preise im Einzelhandel zeitgesteuert anzupassen oder Lagerbestände in Echtzeit zu adaptieren – zentral gesteuerte ESL-Tags werden für ihre Vielseitigkeit geschätzt und ersetzen schrittweise klassische Preisschilder und Etikettierungen. Die mittlerweile weit verbreiteten E-Ink-Displays sind via Bluetooth oder proprietäre Funkprotokolle in das IT-System eines Unternehmens eingebunden und werden flexibel über dieses gemanagt – ein Trend, der sich auch in Zukunft weiter fortsetzen wird. So gehen Analyst*innen derzeit davon aus, dass das globale Marktvolumen für elektronische Preisschilder bis 2032 einen Umsatz von rund fünf  Milliarden Euro pro Jahr erreichen wird. Diese starke Verbreitung macht die digitalen Schilder zu einem interessanten Angriffsziel für Cyberkriminelle. 

Für Sicherheit müssen Hersteller sorgen

Bei Devices wie ESL-Tags sind üblicherweise die Hersteller dafür verantwortlich, die Datenübertragung mit adäquaten Schutzmechanismen und Verschlüsselungen vor Cyberkriminellen zu schützen. Hier ist besondere Vorsicht geboten, denn Anwender*innen müssen sich diesbezüglich auf Herstellerangaben verlassen können. Letztlich haben sie keinen Einblick, ob die Geräte ausreichend abgesichert sind oder nicht. Fehlen Sicherheitsmechanismen zur Gänze oder sind sie mangelhaft implementiert, können sich Hacker Zugang zu den Systemen verschaffen und teilweise großen Schaden anrichten. Dieser Sicherheitsaspekt wird dennoch gerne ignoriert, wie die jüngsten Untersuchungen von SEC Consult zeigen.

„Gelingt es Cyberkriminellen, die Kommunikation des Displays mit dem System zu übernehmen, ist es möglich, Preise zu manipulieren oder auch mittels QR-Codes zu Websites mit Schadcode umzuleiten“, erklärt Johannes Greil, Leiter des SEC Consult Vulnerability Labs, und ergänzt: „Besonders kritisch ist dies, wenn solche unsicheren Systeme von Betreibern kritischer Infrastruktur eingesetzt werden. Hier geht es dann nicht mehr schlicht um Preismanipulation; in der Bestandsverwaltung von Krankenhäusern zum Beispiel kann ein solcher Eingriff zu falschen Medikamentenbezeichnungen oder Dosierungsangaben führen und fatale Folgen haben. Letztlich sind alle Branchen gefährdet, die sich auf eine unsichere elektronische Kennzeichnung verlassen.“

SEC Consult: Schwachstelle bei beliebtem ESL-Tag-Hersteller

In einem aktuellen Test untersuchte das SEC Consult Vulnerability Lab die digitale Etikettierungslösung der chinesischen Firma SUNY ESL. Diese ist vor allem im asiatischen Raum stark verbreitet, wird aber auch in Europa und den USA häufig verwendet. Bei der Untersuchung wurde festgestellt, dass der ESL-Tag bei der Kommunikation mit dem System auf Authentifizierung verzichtet. Dies ermöglicht es Angreifern, die drahtlose Datenübertragung zwischen dem Display mit relativ geringem Aufwand zu unterbrechen und sie – selbst mit Standardhardware – aus einer Entfernung von bis zu 300 Metern jederzeit zu beeinflussen. Da ein ungesichertes Protokoll zum Einsatz kommt, gelangen der Zugriff im Klartext und die Datenmanipulation auch im Test mühelos. Da das untersuchte Etikett über keinen Update-Mechanismus verfügt, ist es auch nicht möglich, die fehlenden Sicherheitsroutinen zu ersetzen – User*innen selbst können die Schwachstelle also nicht beheben. Auf Nachfrage des SEC Consult Vulnerability Labs beim Hersteller gab es von dort keine Reaktion. 

Für Verbraucher*innen ist also Vorsicht angesagt. Leider lässt sich bei Produkten dieser Art zumeist jedoch nur mit ausreichender Expertise feststellen, ob diese auch sicher sind oder nicht. Ein IoT-Embedded-Pentest bringt Gewissheit, kann aber je nach Spezialgebiet und Scope of Work einen Umfang von Personentagen im zweistelligen Bereich umfassen – besonders, wenn sich der Hersteller nicht kooperativ zeigt.

Mehr Details zu den umfassenden Tests, die SEC Consult bei SUNY ESL durchgeführt hat, findet ihr im Blog von SEC Consult.

Quelle: SEC Consult

Weitere Beiträge zum Thema:

Beliebte Beiträge:

Thumbnail-Foto: Valentinstags-Marketing: kreative Kampagnen, die den Ton treffen...
18.01.2024   #stationärer Einzelhandel #Nachhaltigkeit

Valentinstags-Marketing: kreative Kampagnen, die den Ton treffen

Beispiele, wie du am Valentinstag punkten kannst

Zalando schlug 2021 zwei Fliegen mit einer Klappe: Mit der Aufforderung „campaign exchange the clothes after your ex“ zeigte man der Kundschaft ...

Thumbnail-Foto: Mit rapidmail die Kundenbindung stärken
22.02.2024   #Online-Handel #Marketing

Mit rapidmail die Kundenbindung stärken

Trotz sozialer Netzwerke und Kurznachrichten-Diensten – die E-Mail zählt noch immer zu den effektivsten Kanälen in der Kundenkommunikation und lässt sich in nahezu allen Marketingbereichen einsetzen. Die auf den Online-Vertrieb ...

Thumbnail-Foto: Von Rebranding und digitalen Innovationen
28.02.2024   #Handel #Digitalisierung

Von Rebranding und digitalen Innovationen

Interview mit VusionGroup

Aus SES-imagotag wird VusionGroup – Was es mit dem Rebranding des Unternehmens auf sich hat, erzählt Alexander Hahn, VP & Country Manager DACH, im Interview. Er verrät, wie digitale Lösungen Geschäftsprozesse optimieren ...

Thumbnail-Foto: Zutrittslösungen von heute und für morgen
28.02.2024   #Handel #Tech in Retail

Zutrittslösungen von heute und für morgen

Interview mit Salto Systems GmbH

Türen mit Schlüsseln öffnen? Nicht, wenn es nach Salto Systems GmbH geht: Das Unternehmen bietet elektronische Zutrittslösungen an und zeigt auf der EuroCIS, was durch technischen Fortschritt alles möglich ist, wenn es um ...

Thumbnail-Foto: Mehr als nur Bezahlen?
28.02.2024   #Handel #Mobile Payment

Mehr als nur Bezahlen?

Interview mit Fiserv

Bargeldzahlungen sind zwar noch nicht ganz Schnee von gestern. Aber könnten sie es irgendwann werden? Oliver Lohmüller-Gillot, Geschäftsführer der TeleCash from Fiserv, erklärt, warum der Handel auf modernere ...

Thumbnail-Foto: REMIRA präsentiert die vollständig digitale Customer Journey...
16.02.2024   #Handel #Tech in Retail

REMIRA präsentiert die vollständig digitale Customer Journey

EuroCIS 2024: Maximaler Nutzen für Händler und Kunden
ohne Vendor-Lock-In

Die moderne Handelswelt ist geprägt vom Einsatz zahlreicher Systeme verschiedenster Anbieter. Insbesondere im Retail-Handel sind noch viele Softwareunternehmen nur mit immensem Aufwand bereit, Lösungen anderer Anbieter zu integrieren. ...

Thumbnail-Foto: Klimaneutralität: So sparst du Energie in deinem Store!...
27.11.2023   #Beleuchtungskonzepte #Umwelt

Klimaneutralität: So sparst du Energie in deinem Store!

Die Klimaschutzoffensive des Handels hilft praxisnah und mit neuen und innovativen Pilotprojekten – auch dir.

Eine EDEKA-Filiale in Leipzig wird zum ersten klimaneutralen Supermarkt - Aber wie?

Thumbnail-Foto: Digital vom Eintritt bis zum Bezahlvorgang
28.02.2024   #stationärer Einzelhandel #Handel

Digital vom Eintritt bis zum Bezahlvorgang

Interview mit ITAB

In die digitale Welt des Einkaufens einsteigen? Dabei möchte ITAB den Handel unterstützen und den Kund*innen ein automatisiertes und individuelles Einkaufserlebnis ermöglichen. Auf der EuroCIS präsentiert das Unternehmen eine ...

Thumbnail-Foto: Chinesisches Neujahrsfest 2024: erfolgreiche Marketingstrategien...
31.01.2024   #E-Commerce #Marketing

Chinesisches Neujahrsfest 2024: erfolgreiche Marketingstrategien

So können (Online-)Händler*innen von den Feierlichkeiten profitieren

Das Chinesische Neujahrsfest 2024 beginnt am 10. Februar und dauert 16 Tage. Während des bedeutenden Festes, das nicht nur in China ...

Thumbnail-Foto: Kund*innen zu Freunden machen – So kann’s gehen...
24.01.2024   #Marketing #Online-Marketing

Kund*innen zu Freunden machen – So kann’s gehen

WhatsApp-Channels als Geheimwaffe im Marketing-Mix

Im Herbst 2023 hat Meta mit den WhatsApp-Kanälen eine völlig ...

Anbieter

REMIRA Group GmbH
REMIRA Group GmbH
Phoenixplatz 2
44263 Dortmund