News • 27.03.2023

SEC Consult: Bedenkliche Mängel bei elektronischen Preisschildern

Die Risiken von elektronischen Regaletiketten für Einzelhandel und kritische Infrastrukturen

Elektronische Etiketten und Regalbeschilderungen, sogenannte ESL-Tags, kommen immer häufiger zum Einsatz. Ob im Supermarktregal, im Krankenhauslager oder in Gerichtsarchiven – die digitale Beschilderung erfreut sich aufgrund ihrer unkomplizierten Handhabung und der Möglichkeit, Preisangaben und Beschriftungen rasch und zentral gesteuert zu adaptieren, steigender Beliebtheit. Das auf Cybersecurity spezialisierte Unternehmen SEC Consult hat nun die Tags eines großen chinesischen Herstellers unter die Lupe genommen und dabei schwere Sicherheitsmängel aufgedeckt.

Bläulich leuchtende Schaltkreise
Quelle: Adi Goldstein / Unsplash

Egal ob sie dafür eingesetzt werden, Preise im Einzelhandel zeitgesteuert anzupassen oder Lagerbestände in Echtzeit zu adaptieren – zentral gesteuerte ESL-Tags werden für ihre Vielseitigkeit geschätzt und ersetzen schrittweise klassische Preisschilder und Etikettierungen. Die mittlerweile weit verbreiteten E-Ink-Displays sind via Bluetooth oder proprietäre Funkprotokolle in das IT-System eines Unternehmens eingebunden und werden flexibel über dieses gemanagt – ein Trend, der sich auch in Zukunft weiter fortsetzen wird. So gehen Analyst*innen derzeit davon aus, dass das globale Marktvolumen für elektronische Preisschilder bis 2032 einen Umsatz von rund fünf  Milliarden Euro pro Jahr erreichen wird. Diese starke Verbreitung macht die digitalen Schilder zu einem interessanten Angriffsziel für Cyberkriminelle. 

Für Sicherheit müssen Hersteller sorgen

Bei Devices wie ESL-Tags sind üblicherweise die Hersteller dafür verantwortlich, die Datenübertragung mit adäquaten Schutzmechanismen und Verschlüsselungen vor Cyberkriminellen zu schützen. Hier ist besondere Vorsicht geboten, denn Anwender*innen müssen sich diesbezüglich auf Herstellerangaben verlassen können. Letztlich haben sie keinen Einblick, ob die Geräte ausreichend abgesichert sind oder nicht. Fehlen Sicherheitsmechanismen zur Gänze oder sind sie mangelhaft implementiert, können sich Hacker Zugang zu den Systemen verschaffen und teilweise großen Schaden anrichten. Dieser Sicherheitsaspekt wird dennoch gerne ignoriert, wie die jüngsten Untersuchungen von SEC Consult zeigen.

„Gelingt es Cyberkriminellen, die Kommunikation des Displays mit dem System zu übernehmen, ist es möglich, Preise zu manipulieren oder auch mittels QR-Codes zu Websites mit Schadcode umzuleiten“, erklärt Johannes Greil, Leiter des SEC Consult Vulnerability Labs, und ergänzt: „Besonders kritisch ist dies, wenn solche unsicheren Systeme von Betreibern kritischer Infrastruktur eingesetzt werden. Hier geht es dann nicht mehr schlicht um Preismanipulation; in der Bestandsverwaltung von Krankenhäusern zum Beispiel kann ein solcher Eingriff zu falschen Medikamentenbezeichnungen oder Dosierungsangaben führen und fatale Folgen haben. Letztlich sind alle Branchen gefährdet, die sich auf eine unsichere elektronische Kennzeichnung verlassen.“

SEC Consult: Schwachstelle bei beliebtem ESL-Tag-Hersteller

In einem aktuellen Test untersuchte das SEC Consult Vulnerability Lab die digitale Etikettierungslösung der chinesischen Firma SUNY ESL. Diese ist vor allem im asiatischen Raum stark verbreitet, wird aber auch in Europa und den USA häufig verwendet. Bei der Untersuchung wurde festgestellt, dass der ESL-Tag bei der Kommunikation mit dem System auf Authentifizierung verzichtet. Dies ermöglicht es Angreifern, die drahtlose Datenübertragung zwischen dem Display mit relativ geringem Aufwand zu unterbrechen und sie – selbst mit Standardhardware – aus einer Entfernung von bis zu 300 Metern jederzeit zu beeinflussen. Da ein ungesichertes Protokoll zum Einsatz kommt, gelangen der Zugriff im Klartext und die Datenmanipulation auch im Test mühelos. Da das untersuchte Etikett über keinen Update-Mechanismus verfügt, ist es auch nicht möglich, die fehlenden Sicherheitsroutinen zu ersetzen – User*innen selbst können die Schwachstelle also nicht beheben. Auf Nachfrage des SEC Consult Vulnerability Labs beim Hersteller gab es von dort keine Reaktion. 

Für Verbraucher*innen ist also Vorsicht angesagt. Leider lässt sich bei Produkten dieser Art zumeist jedoch nur mit ausreichender Expertise feststellen, ob diese auch sicher sind oder nicht. Ein IoT-Embedded-Pentest bringt Gewissheit, kann aber je nach Spezialgebiet und Scope of Work einen Umfang von Personentagen im zweistelligen Bereich umfassen – besonders, wenn sich der Hersteller nicht kooperativ zeigt.

Mehr Details zu den umfassenden Tests, die SEC Consult bei SUNY ESL durchgeführt hat, findet ihr im Blog von SEC Consult.

Quelle: SEC Consult

Weitere Beiträge zum Thema:

Beliebte Beiträge:

Thumbnail-Foto: Christmas World
23.01.2023   #Veranstaltung #Marketing

Christmas World

03.02.2023 - 07.02.2023 | Frankfurt

Die Messe für die umsatzstärkste Zeit des JahresDie Christmasworld zeigt jährlich in Frankfurt die neuesten Produkte und Trends für Weihnachten sowie alle weiteren festlichen Anlässe. Zusätzlich liefert sie innovative ...

Thumbnail-Foto: e-Commerce Day
20.03.2023   #Online-Handel #E-Commerce

e-Commerce Day

05.05.2023 - 05.05.2023 | Köln

e-Commerce Day by Kaufland – Die Fachmesse für den E-CommerceDer e-Commerce Day by Kaufland öffnet wieder seine Pforten und lädt Branchenneulinge, Fachprofis und Interessierte nach Köln zum Austausch über aktuelle ...

Thumbnail-Foto: E-Commerce: Mit digitalem Spezialitätenladen zum Erfolg?...
16.01.2023   #Online-Handel #E-Commerce

E-Commerce: Mit digitalem Spezialitätenladen zum Erfolg?

Drei kleine Händler*innen zeigen, wie sie online mit außergewöhnlichen Produkten Erfolge feiern

Im deutschen Einzelhandel ist die Digitalisierung nie flächendeckend angekommen. Gerade viele kleinere Händler*innen besitzen immer noch keinen Onlineshop. Auf der anderen Seite gibt es Händler, die aufzeigen, wie man – selbst ...

Thumbnail-Foto: Viele Wege führen zum Checkout – oder eben nicht!...
09.02.2023   #Online-Handel #Handel

Viele Wege führen zum Checkout – oder eben nicht!

Die Qualität digitaler Kundenerfahrungen analysieren und optimieren

Die Online-Customer-Journey kennen, ja geradezu über die Schulter der User beobachten – ist das nicht der Traum eines jeden Online-Retailers? Und dann noch zu verstehen, warum Kund*innen konvertieren oder eben nicht ...

Thumbnail-Foto: Mobiles Bezahlen mit wenigen Klicks in den Webshop einbauen...
23.12.2022   #Online-Handel #E-Commerce

Mobiles Bezahlen mit wenigen Klicks in den Webshop einbauen

Bluecode baut E-Commerce-Angebot für Systeme „Magento“ und „WooCommerce“ weiter aus

Bluecode baut sein Angebot im E-Commerce-Bereich weiter aus. Die österreichische Mobile Payment-Lösung hat nun Plug-Ins für Webshops, die auf den Shopsystemen „Magento“ und „WooCommerce“ basieren, entwickelt, ...

Thumbnail-Foto: Sicherheit für Marke und Einkaufserlebnis?
05.01.2023   #E-Commerce #Kundenbeziehungsmanagement

Sicherheit für Marke und Einkaufserlebnis?

Wie Einzelhändler*innen sich vor Cyberkriminellen schützen können

Es gibt zahlreiche Maßnahmen, die Einzelhändler*innen ergreifen können und sollten, um ihren Sicherheitsstatus zu verbessern, ihre Marke zu schützen und ein sicheres Einkaufserlebnis für ihre Kundschaft zu ...

Thumbnail-Foto: Digitales Etikett – Unverpackt neu gedacht
15.03.2023   #stationärer Einzelhandel #Kassensysteme

Digitales Etikett – Unverpackt neu gedacht

TareTag ermöglicht es, Produktinformationen auch bei selbst mitgebrachten Behältnissen angezeigt zu bekommen

Unverpackt-Läden bieten ihren Kund*innen die Möglichkeit, Produkte in selbst mitgebrachten Gefäßen zu kaufen und dadurch Verpackungsmüll zu vermeiden. Doch viele Informationen, die Kund*innen auch zuhause noch ...

Thumbnail-Foto: Takko Fashion launcht Onlineshop in neuem Look...
14.12.2022   #Online-Handel #E-Commerce

Takko Fashion launcht Onlineshop in neuem Look

Onlineshop in modernem Design und optimierten Storytelling bietet abwechslungsreiche Fashion-Inspiration für Kund*innen

Stylischer und mit verbesserter User Experience hat Takko Fashion vor Kurzem seinen Onlineshop neu aufgesetzt. Im neuen Look sorgt der Onlineshop mit starker Bildsprache und Videocontent für abwechslungsreiche Fashion-Inspiration. ...

Thumbnail-Foto: Instore-Kommunikation: Der Schlüssel ist Wohlfühlen...
30.03.2023   #Multichannel Commerce #Kundenerlebnis

Instore-Kommunikation: Der Schlüssel ist Wohlfühlen

Worauf es bei der optimalen Kundenansprache mittlerweile ankommt

„Bringing Digital Retail to Life“: Für die Radio Point of Sale GmbH aus Kiel ist der Spruch Programm. Dabei setzt das Unternehmen für den Einzelhandel auf interaktive Möglichkeiten der auditiven, visuellen und interaktiven ...

Thumbnail-Foto: Re-Commerce wird immer beliebter
21.12.2022   #Online-Handel #E-Commerce

Re-Commerce wird immer beliebter

Cross-Border Commerce Europe veröffentlicht Ergebnisse der dritten Ausgabe von „Top 100 Cross-Border Sustainable Marketplaces operating in Europe“

Re-Commerce-Marktplätze wachsen 20-mal schneller als der gesamte Einzelhandel. eBay, Spitzenreiter in der neuesten Ausgabe der „TOP 100 Cross-Border Sustainable Marketplaces operating in Europe“, ist im Hinblick auf Re-Commerce der ...

Anbieter

SES-imagotag SA
SES-imagotag SA
55 place Nelson Mandela
90000 Nanterre
POS TUNING Udo Voßhenrich GmbH & Co KG
POS TUNING Udo Voßhenrich GmbH & Co KG
Am Zubringer 8
32107 Bad Salzuflen
Captana GmbH
Captana GmbH
Bundesstraße 16
77955 Ettenheim
SALTO Systems GmbH
SALTO Systems GmbH
Schwelmer Str. 245
42389 Wuppertal