retail trends
Retail Marketing
News • 27.03.2023

SEC Consult: Bedenkliche Mängel bei elektronischen Preisschildern

Die Risiken von elektronischen Regaletiketten für Einzelhandel und kritische Infrastrukturen

Elektronische Etiketten und Regalbeschilderungen, sogenannte ESL-Tags, kommen immer häufiger zum Einsatz. Ob im Supermarktregal, im Krankenhauslager oder in Gerichtsarchiven – die digitale Beschilderung erfreut sich aufgrund ihrer unkomplizierten Handhabung und der Möglichkeit, Preisangaben und Beschriftungen rasch und zentral gesteuert zu adaptieren, steigender Beliebtheit. Das auf Cybersecurity spezialisierte Unternehmen SEC Consult hat nun die Tags eines großen chinesischen Herstellers unter die Lupe genommen und dabei schwere Sicherheitsmängel aufgedeckt.

Bläulich leuchtende Schaltkreise
Quelle: Adi Goldstein / Unsplash

Egal ob sie dafür eingesetzt werden, Preise im Einzelhandel zeitgesteuert anzupassen oder Lagerbestände in Echtzeit zu adaptieren – zentral gesteuerte ESL-Tags werden für ihre Vielseitigkeit geschätzt und ersetzen schrittweise klassische Preisschilder und Etikettierungen. Die mittlerweile weit verbreiteten E-Ink-Displays sind via Bluetooth oder proprietäre Funkprotokolle in das IT-System eines Unternehmens eingebunden und werden flexibel über dieses gemanagt – ein Trend, der sich auch in Zukunft weiter fortsetzen wird. So gehen Analyst*innen derzeit davon aus, dass das globale Marktvolumen für elektronische Preisschilder bis 2032 einen Umsatz von rund fünf  Milliarden Euro pro Jahr erreichen wird. Diese starke Verbreitung macht die digitalen Schilder zu einem interessanten Angriffsziel für Cyberkriminelle. 

Für Sicherheit müssen Hersteller sorgen

Bei Devices wie ESL-Tags sind üblicherweise die Hersteller dafür verantwortlich, die Datenübertragung mit adäquaten Schutzmechanismen und Verschlüsselungen vor Cyberkriminellen zu schützen. Hier ist besondere Vorsicht geboten, denn Anwender*innen müssen sich diesbezüglich auf Herstellerangaben verlassen können. Letztlich haben sie keinen Einblick, ob die Geräte ausreichend abgesichert sind oder nicht. Fehlen Sicherheitsmechanismen zur Gänze oder sind sie mangelhaft implementiert, können sich Hacker Zugang zu den Systemen verschaffen und teilweise großen Schaden anrichten. Dieser Sicherheitsaspekt wird dennoch gerne ignoriert, wie die jüngsten Untersuchungen von SEC Consult zeigen.

„Gelingt es Cyberkriminellen, die Kommunikation des Displays mit dem System zu übernehmen, ist es möglich, Preise zu manipulieren oder auch mittels QR-Codes zu Websites mit Schadcode umzuleiten“, erklärt Johannes Greil, Leiter des SEC Consult Vulnerability Labs, und ergänzt: „Besonders kritisch ist dies, wenn solche unsicheren Systeme von Betreibern kritischer Infrastruktur eingesetzt werden. Hier geht es dann nicht mehr schlicht um Preismanipulation; in der Bestandsverwaltung von Krankenhäusern zum Beispiel kann ein solcher Eingriff zu falschen Medikamentenbezeichnungen oder Dosierungsangaben führen und fatale Folgen haben. Letztlich sind alle Branchen gefährdet, die sich auf eine unsichere elektronische Kennzeichnung verlassen.“

SEC Consult: Schwachstelle bei beliebtem ESL-Tag-Hersteller

In einem aktuellen Test untersuchte das SEC Consult Vulnerability Lab die digitale Etikettierungslösung der chinesischen Firma SUNY ESL. Diese ist vor allem im asiatischen Raum stark verbreitet, wird aber auch in Europa und den USA häufig verwendet. Bei der Untersuchung wurde festgestellt, dass der ESL-Tag bei der Kommunikation mit dem System auf Authentifizierung verzichtet. Dies ermöglicht es Angreifern, die drahtlose Datenübertragung zwischen dem Display mit relativ geringem Aufwand zu unterbrechen und sie – selbst mit Standardhardware – aus einer Entfernung von bis zu 300 Metern jederzeit zu beeinflussen. Da ein ungesichertes Protokoll zum Einsatz kommt, gelangen der Zugriff im Klartext und die Datenmanipulation auch im Test mühelos. Da das untersuchte Etikett über keinen Update-Mechanismus verfügt, ist es auch nicht möglich, die fehlenden Sicherheitsroutinen zu ersetzen – User*innen selbst können die Schwachstelle also nicht beheben. Auf Nachfrage des SEC Consult Vulnerability Labs beim Hersteller gab es von dort keine Reaktion. 

Für Verbraucher*innen ist also Vorsicht angesagt. Leider lässt sich bei Produkten dieser Art zumeist jedoch nur mit ausreichender Expertise feststellen, ob diese auch sicher sind oder nicht. Ein IoT-Embedded-Pentest bringt Gewissheit, kann aber je nach Spezialgebiet und Scope of Work einen Umfang von Personentagen im zweistelligen Bereich umfassen – besonders, wenn sich der Hersteller nicht kooperativ zeigt.

Mehr Details zu den umfassenden Tests, die SEC Consult bei SUNY ESL durchgeführt hat, findet ihr im Blog von SEC Consult.

Quelle: SEC Consult

Themenkanäle: stationärer Einzelhandel, Sicherheit, elektronische Regaletiketten, Sicherheitstechnik, Preisschilder, Preisauszeichnung, IT-Sicherheit, Datenschutz, Datenbanksicherheit, Bluetooth

Weitere Beiträge zum Thema:

Beliebte Beiträge:

Thumbnail-Foto: Von Rebranding und digitalen Innovationen
28.02.2024   #Handel #Digitalisierung

Von Rebranding und digitalen Innovationen

Interview mit VusionGroup

Aus SES-imagotag wird VusionGroup – Was es mit dem Rebranding des Unternehmens auf sich hat, erzählt Alexander Hahn, VP & Country Manager DACH, im Interview. Er verrät, wie digitale Lösungen Geschäftsprozesse optimieren ...

Thumbnail-Foto: Meto stellt Kommunikation am POS in den Fokus...
15.05.2024   #Etiketten #Preisauszeichnung

Meto stellt Kommunikation am POS in den Fokus

Preisauszeichner, Etiketten, ESL-Befestigungen und Lösungen zur Verkaufsförderung: Auf der neuen ...

Thumbnail-Foto: REMIRA präsentiert die vollständig digitale Customer Journey...
16.02.2024   #Handel #Tech in Retail

REMIRA präsentiert die vollständig digitale Customer Journey

EuroCIS 2024: Maximaler Nutzen für Händler und Kunden
ohne Vendor-Lock-In

Die moderne Handelswelt ist geprägt vom Einsatz zahlreicher Systeme verschiedenster Anbieter. Insbesondere im Retail-Handel sind noch viele Softwareunternehmen nur mit immensem Aufwand bereit, Lösungen anderer Anbieter zu integrieren. ...

Thumbnail-Foto: Extenda Retail expandiert in den deutschen Markt...
17.04.2024   #Kundenerlebnis #POS-Software

Extenda Retail expandiert in den deutschen Markt

Neue Führung und innovative POS-Lösungen

Der führende nordische POS-Anbieter Extenda Retail expandiert in den deutschen Markt und konzentriert sich dabei auf die Gewinnung ...

Thumbnail-Foto: „Shop! Global Award” für POS TUNING
24.04.2024   #Marketing #Kühlregale

„Shop! Global Award” für POS TUNING

Das Bad Salzufler Unternehmen gewinnt mit seiner „Energy Zone“ die begehrte Trophäe

Bad Salzuflen/ Montclair, New Jersey. (bre) Yesss! We did it again! POS TUNING ist erneut für ein Projekt ausgezeichnet worden. Die „Energy Zone“, die bereits im Juni vergangenen Jahres mit einem POPAI-Award prämiert wurde ...

Thumbnail-Foto: Mehr als nur Bezahlen?
28.02.2024   #Handel #Mobile Payment

Mehr als nur Bezahlen?

Interview mit Fiserv

Bargeldzahlungen sind zwar noch nicht ganz Schnee von gestern. Aber könnten sie es irgendwann werden? Oliver Lohmüller-Gillot, Geschäftsführer der TeleCash from Fiserv, erklärt, warum der Handel auf modernere ...

Thumbnail-Foto: Trends für Muttertag und Vatertag: So können Einzelhändler*innen...
10.04.2024   #Nachhaltigkeit #Marketing

Trends für Muttertag und Vatertag: So können Einzelhändler*innen punkten

Wie du die Feiertage mit kreativen Geschenkideen für Mutter und Vater zum Erfolg für dein Geschäft machst

Der Muttertag und der Vatertag stehen vor der Tür – zwei besondere Anlässe, um unseren Eltern zu danken und unsere Wertschätzung zu zeigen. Traditionell nutzen wir diese Tage ...

Thumbnail-Foto: Digital vom Eintritt bis zum Bezahlvorgang
28.02.2024   #stationärer Einzelhandel #Handel

Digital vom Eintritt bis zum Bezahlvorgang

Interview mit ITAB

In die digitale Welt des Einkaufens einsteigen? Dabei möchte ITAB den Handel unterstützen und den Kund*innen ein automatisiertes und individuelles Einkaufserlebnis ermöglichen. Auf der EuroCIS präsentiert das Unternehmen eine ...

Thumbnail-Foto: Customer Relationship Management – und der Nutzen für den Einzelhandel...
28.03.2024   #Kundenzufriedenheit #Kundenbeziehungsmanagement

Customer Relationship Management – und der Nutzen für den Einzelhandel

Mehr als nur ein Werkzeug für Kundenansprache

Das Konzept des Customer Relationship Management (CRM) ist zu einem zentralen Bestandteil erfolgreicher Unternehmensstrategien geworden. Während CRM ursprünglich vor allem im Online-Handel Anwendung fand, weitet sich sein Nutzen zunehmend ...

Thumbnail-Foto: Gemeinsam stark im Lifestyle-Einzelhandel
28.02.2024   #Handel #Tech in Retail

Gemeinsam stark im Lifestyle-Einzelhandel

Besuch bei advarics GmbH

Am Stand der advarics GmbH präsentieren sich gleich vier Aussteller. Neben advarics selbst auch fashioncheque, Fashion Cloud sowie Hutter & Unger. Das gemeinsame Ziel: mit neuen Möglichkeiten besondere Erlebnisse im ...

Anbieter

REMIRA Group GmbH
REMIRA Group GmbH
Phoenixplatz 2
44263 Dortmund
Extenda Retail Ab
Extenda Retail Ab
Gustav III:s Boulevard 50A
169 73 Solna
Meto International GmbH
Meto International GmbH
Ersheimer Straße 69
69434 Hirschhorn
Online Software AG
Online Software AG
TechTower - Forum 7
69126 Heidelberg