News • 27.03.2023

SEC Consult: Bedenkliche Mängel bei elektronischen Preisschildern

Die Risiken von elektronischen Regaletiketten für Einzelhandel und kritische Infrastrukturen

Elektronische Etiketten und Regalbeschilderungen, sogenannte ESL-Tags, kommen immer häufiger zum Einsatz. Ob im Supermarktregal, im Krankenhauslager oder in Gerichtsarchiven – die digitale Beschilderung erfreut sich aufgrund ihrer unkomplizierten Handhabung und der Möglichkeit, Preisangaben und Beschriftungen rasch und zentral gesteuert zu adaptieren, steigender Beliebtheit. Das auf Cybersecurity spezialisierte Unternehmen SEC Consult hat nun die Tags eines großen chinesischen Herstellers unter die Lupe genommen und dabei schwere Sicherheitsmängel aufgedeckt.

Bläulich leuchtende Schaltkreise
Quelle: Adi Goldstein / Unsplash

Egal ob sie dafür eingesetzt werden, Preise im Einzelhandel zeitgesteuert anzupassen oder Lagerbestände in Echtzeit zu adaptieren – zentral gesteuerte ESL-Tags werden für ihre Vielseitigkeit geschätzt und ersetzen schrittweise klassische Preisschilder und Etikettierungen. Die mittlerweile weit verbreiteten E-Ink-Displays sind via Bluetooth oder proprietäre Funkprotokolle in das IT-System eines Unternehmens eingebunden und werden flexibel über dieses gemanagt – ein Trend, der sich auch in Zukunft weiter fortsetzen wird. So gehen Analyst*innen derzeit davon aus, dass das globale Marktvolumen für elektronische Preisschilder bis 2032 einen Umsatz von rund fünf  Milliarden Euro pro Jahr erreichen wird. Diese starke Verbreitung macht die digitalen Schilder zu einem interessanten Angriffsziel für Cyberkriminelle. 

Für Sicherheit müssen Hersteller sorgen

Bei Devices wie ESL-Tags sind üblicherweise die Hersteller dafür verantwortlich, die Datenübertragung mit adäquaten Schutzmechanismen und Verschlüsselungen vor Cyberkriminellen zu schützen. Hier ist besondere Vorsicht geboten, denn Anwender*innen müssen sich diesbezüglich auf Herstellerangaben verlassen können. Letztlich haben sie keinen Einblick, ob die Geräte ausreichend abgesichert sind oder nicht. Fehlen Sicherheitsmechanismen zur Gänze oder sind sie mangelhaft implementiert, können sich Hacker Zugang zu den Systemen verschaffen und teilweise großen Schaden anrichten. Dieser Sicherheitsaspekt wird dennoch gerne ignoriert, wie die jüngsten Untersuchungen von SEC Consult zeigen.

„Gelingt es Cyberkriminellen, die Kommunikation des Displays mit dem System zu übernehmen, ist es möglich, Preise zu manipulieren oder auch mittels QR-Codes zu Websites mit Schadcode umzuleiten“, erklärt Johannes Greil, Leiter des SEC Consult Vulnerability Labs, und ergänzt: „Besonders kritisch ist dies, wenn solche unsicheren Systeme von Betreibern kritischer Infrastruktur eingesetzt werden. Hier geht es dann nicht mehr schlicht um Preismanipulation; in der Bestandsverwaltung von Krankenhäusern zum Beispiel kann ein solcher Eingriff zu falschen Medikamentenbezeichnungen oder Dosierungsangaben führen und fatale Folgen haben. Letztlich sind alle Branchen gefährdet, die sich auf eine unsichere elektronische Kennzeichnung verlassen.“

SEC Consult: Schwachstelle bei beliebtem ESL-Tag-Hersteller

In einem aktuellen Test untersuchte das SEC Consult Vulnerability Lab die digitale Etikettierungslösung der chinesischen Firma SUNY ESL. Diese ist vor allem im asiatischen Raum stark verbreitet, wird aber auch in Europa und den USA häufig verwendet. Bei der Untersuchung wurde festgestellt, dass der ESL-Tag bei der Kommunikation mit dem System auf Authentifizierung verzichtet. Dies ermöglicht es Angreifern, die drahtlose Datenübertragung zwischen dem Display mit relativ geringem Aufwand zu unterbrechen und sie – selbst mit Standardhardware – aus einer Entfernung von bis zu 300 Metern jederzeit zu beeinflussen. Da ein ungesichertes Protokoll zum Einsatz kommt, gelangen der Zugriff im Klartext und die Datenmanipulation auch im Test mühelos. Da das untersuchte Etikett über keinen Update-Mechanismus verfügt, ist es auch nicht möglich, die fehlenden Sicherheitsroutinen zu ersetzen – User*innen selbst können die Schwachstelle also nicht beheben. Auf Nachfrage des SEC Consult Vulnerability Labs beim Hersteller gab es von dort keine Reaktion. 

Für Verbraucher*innen ist also Vorsicht angesagt. Leider lässt sich bei Produkten dieser Art zumeist jedoch nur mit ausreichender Expertise feststellen, ob diese auch sicher sind oder nicht. Ein IoT-Embedded-Pentest bringt Gewissheit, kann aber je nach Spezialgebiet und Scope of Work einen Umfang von Personentagen im zweistelligen Bereich umfassen – besonders, wenn sich der Hersteller nicht kooperativ zeigt.

Mehr Details zu den umfassenden Tests, die SEC Consult bei SUNY ESL durchgeführt hat, findet ihr im Blog von SEC Consult.

Quelle: SEC Consult

Weitere Beiträge zum Thema:

Beliebte Beiträge:

Thumbnail-Foto: Umsatzloch beim Einzelhandel im Zentrum – Vorstädte und Umland...
10.05.2023   #Online-Handel #E-Commerce

Umsatzloch beim Einzelhandel im Zentrum – Vorstädte und Umland profitieren

Einzelhandelsumsätze in den Innenstädten liegen weiter unter dem Niveau von vor der Corona-Pandemie

Ergebnisse einer Studie des ifo Instituts für die Regionen von Berlin, München, Hamburg, Stuttgart und Dresden: „Die privaten Ausgaben im Zentrum lagen im März 2023 noch immer 5% unter dem Jahr 2019. Gleichzeitig verzeichnen die ...

Thumbnail-Foto: Automatisierung: Ist das die Zukunft des Einkaufens?...
06.06.2023   #stationärer Einzelhandel #Lebensmitteleinzelhandel

Automatisierung: Ist das die Zukunft des Einkaufens?

Über Mankos und Vorteile autonomer Store-Konzepte

Lebensmitteleinkäufe und Selbstbedienung – Die Blockstore Group bringt das Nötige mit dem Angenehmen zusammen und hilft Händler*innen bei der Implementierung autonomer und automatisierter Store-Konzepte. Dabei hilft das ...

Thumbnail-Foto: Kleingeld ganz einfach ummünzen
21.06.2023   #stationärer Einzelhandel #Lebensmitteleinzelhandel

Kleingeld ganz einfach ummünzen

Kaufland setzt im Großteil seiner Filialen auf Wechsel-Automaten von Coinstar

Neben Milch, Nudeln und Gemüse können sich Kaufland-Kund*innen auch "Kleingeld eintauschen" auf den Einkaufszettel schreiben, ohne dafür eine Extra-Schleife über die Bank zu drehen. Und das bald schon in einem ...

Thumbnail-Foto: REWE führt wöchentlichen Gratis-Liefertag ein...
17.05.2023   #Online-Handel #stationärer Einzelhandel

REWE führt wöchentlichen Gratis-Liefertag ein

Noch mehr Service für den Wocheneinkauf – Maximale Liefergebühr sinkt um einen Euro

Neues Liefermodell für den REWE Lieferservice: Ab sofort profitieren Kund*innen von mindestens einem Gratis-Liefertag pro Woche. Damit lässt sich der regelmäßige Wocheneinkauf ganz ohne zusätzliche Kosten bequem von zu ...

Thumbnail-Foto: Pick&Go: Deutsche Bahn eröffnet kassenlosen 24/7 ServiceStore...
30.06.2023   #stationärer Einzelhandel #Digitalisierung

Pick&Go: Deutsche Bahn eröffnet kassenlosen 24/7 ServiceStore

Premiere am Berliner Ostbahnhof – rund um die Uhr Snacks und Getränke flexibel und ohne Anstehen kaufen – Zutritt und Bezahlen per App

Einkäufe auswählen, mitnehmen und direkt weiter zum Zug: Am Berliner Ostbahnhof können Reisende und Besucher*innen ab sofort rund um die Uhr im neuen 24/7 ServiceStore einkaufen. Das Besondere: In diesem Geschäft für ...

Thumbnail-Foto: REMIRA katapultiert kleine Einzelhändler ins digitale Zeitalter...
07.06.2023   #E-Commerce #Digitalisierung

REMIRA katapultiert kleine Einzelhändler ins digitale Zeitalter

Neue Kassen- und Warenwirtschaftslösung RETAIL Cloud

Auch mit einer oder wenigen Filialen vollumfassend digitalisiert: Das bietet REMIRA kleinen Handelsunternehmen mit der neuen Komplettlösung RETAIL Cloud. Mit dem modularen, cloudbasierten Tool lassen sich Kasse und Warenwirtschaft unkompliziert ...

Thumbnail-Foto: Erfolgreiche Stichprobeninventur mit REMIRA
09.06.2023   #stationärer Einzelhandel #Handel

Erfolgreiche Stichprobeninventur mit REMIRA

SUND GmbH reduziert Inventuraufwand um mehr als 99,5%

Aus 9.000 mach 32 – mit der Stichprobeninventurlösung REMIRA STATCONTROL Cloud hat die SUND GmbH ihren Zählaufwand bei der Inventur stark optimiert. Innerhalb eines halben Tages hat der Spezialist für Einwegprodukte die ...

Thumbnail-Foto: Personelle Neuorganisation bei 4POS
03.07.2023   #Handel #Kassensysteme

Personelle Neuorganisation bei 4POS

Schweizer Hersteller von kunden- und designorientierten Hardware-Lösungen für den Point-of-Sale holt Verstärkungen ins Team

Im Rahmen des konsequenten Geschäftsausbaus verstärkt 4POS sein Team. Die Organisation wird optimiert und auf künftige Anforderungen von Markt und Kund*innen ausgerichtet. ...

Thumbnail-Foto: Rollende Warenkörbe bringen’s in Hamburg
15.05.2023   #stationärer Einzelhandel #Tech in Retail

Rollende Warenkörbe bringen’s in Hamburg

REWE startet autonom fahrendes Einkaufskonzept in der Hansestadt

Wenn es um die Online-Bestellung und Lieferung von frischen Lebensmitteln und Haushaltsprodukten geht, ist REWE in Deutschland Innovations- und Marktführer: In Hamburg gehört der REWE Lieferservice seit über sieben Jahren zum ...

Thumbnail-Foto: Deutschlandpremiere für neues Storeformat: MediaMarkt eröffnet...
30.06.2023   #stationärer Einzelhandel #Digitalisierung

Deutschlandpremiere für neues Storeformat: MediaMarkt eröffnet Xpress-Markt in Groß-Gerau

Der bundesweit erste neue MediaMarkt im Xpress-Format bietet Kund*innen ein attraktives Einkaufserlebnis mit interaktiven, digitalen Elementen

Am 29. Juni 2023 öffnete der MediaMarkt Xpress im Helvetia Parc Einkaufszentrum in Groß-Gerau seine Türen. Als Nahversorger im Einzelhandelsumfeld bietet der moderne Markt auf einer kompakten Verkaufsfläche eine dedizierte ...

Anbieter

SALTO Systems GmbH
SALTO Systems GmbH
Schwelmer Str. 245
42389 Wuppertal
REMIRA Group GmbH
REMIRA Group GmbH
Phoenixplatz 2
44263 Dortmund