SEC Consult: Bedenkliche Mängel bei elektronischen Preisschildern

Die Risiken von elektronischen Regaletiketten für Einzelhandel und kritische Infrastrukturen

Elektronische Etiketten und Regalbeschilderungen, sogenannte ESL-Tags, kommen immer häufiger zum Einsatz. Ob im Supermarktregal, im Krankenhauslager oder in Gerichtsarchiven – die digitale Beschilderung erfreut sich aufgrund ihrer unkomplizierten Handhabung und der Möglichkeit, Preisangaben und Beschriftungen rasch und zentral gesteuert zu adaptieren, steigender Beliebtheit. Das auf Cybersecurity spezialisierte Unternehmen SEC Consult hat nun die Tags eines großen chinesischen Herstellers unter die Lupe genommen und dabei schwere Sicherheitsmängel aufgedeckt.

Egal ob sie dafür eingesetzt werden, Preise im Einzelhandel zeitgesteuert anzupassen oder Lagerbestände in Echtzeit zu adaptieren – zentral gesteuerte ESL-Tags werden für ihre Vielseitigkeit geschätzt und ersetzen schrittweise klassische Preisschilder und Etikettierungen. Die mittlerweile weit verbreiteten E-Ink-Displays sind via Bluetooth oder proprietäre Funkprotokolle in das IT-System eines Unternehmens eingebunden und werden flexibel über dieses gemanagt – ein Trend, der sich auch in Zukunft weiter fortsetzen wird. So gehen Analyst*innen derzeit davon aus, dass das globale Marktvolumen für elektronische Preisschilder bis 2032 einen Umsatz von rund fünf  Milliarden Euro pro Jahr erreichen wird. Diese starke Verbreitung macht die digitalen Schilder zu einem interessanten Angriffsziel für Cyberkriminelle. 

Für Sicherheit müssen Hersteller sorgen

Bei Devices wie ESL-Tags sind üblicherweise die Hersteller dafür verantwortlich, die Datenübertragung mit adäquaten Schutzmechanismen und Verschlüsselungen vor Cyberkriminellen zu schützen. Hier ist besondere Vorsicht geboten, denn Anwender*innen müssen sich diesbezüglich auf Herstellerangaben verlassen können. Letztlich haben sie keinen Einblick, ob die Geräte ausreichend abgesichert sind oder nicht. Fehlen Sicherheitsmechanismen zur Gänze oder sind sie mangelhaft implementiert, können sich Hacker Zugang zu den Systemen verschaffen und teilweise großen Schaden anrichten. Dieser Sicherheitsaspekt wird dennoch gerne ignoriert, wie die jüngsten Untersuchungen von SEC Consult zeigen.

„Gelingt es Cyberkriminellen, die Kommunikation des Displays mit dem System zu übernehmen, ist es möglich, Preise zu manipulieren oder auch mittels QR-Codes zu Websites mit Schadcode umzuleiten“, erklärt Johannes Greil, Leiter des SEC Consult Vulnerability Labs, und ergänzt: „Besonders kritisch ist dies, wenn solche unsicheren Systeme von Betreibern kritischer Infrastruktur eingesetzt werden. Hier geht es dann nicht mehr schlicht um Preismanipulation; in der Bestandsverwaltung von Krankenhäusern zum Beispiel kann ein solcher Eingriff zu falschen Medikamentenbezeichnungen oder Dosierungsangaben führen und fatale Folgen haben. Letztlich sind alle Branchen gefährdet, die sich auf eine unsichere elektronische Kennzeichnung verlassen.“

SEC Consult: Schwachstelle bei beliebtem ESL-Tag-Hersteller

In einem aktuellen Test untersuchte das SEC Consult Vulnerability Lab die digitale Etikettierungslösung der chinesischen Firma SUNY ESL. Diese ist vor allem im asiatischen Raum stark verbreitet, wird aber auch in Europa und den USA häufig verwendet. Bei der Untersuchung wurde festgestellt, dass der ESL-Tag bei der Kommunikation mit dem System auf Authentifizierung verzichtet. Dies ermöglicht es Angreifern, die drahtlose Datenübertragung zwischen dem Display mit relativ geringem Aufwand zu unterbrechen und sie – selbst mit Standardhardware – aus einer Entfernung von bis zu 300 Metern jederzeit zu beeinflussen. Da ein ungesichertes Protokoll zum Einsatz kommt, gelangen der Zugriff im Klartext und die Datenmanipulation auch im Test mühelos. Da das untersuchte Etikett über keinen Update-Mechanismus verfügt, ist es auch nicht möglich, die fehlenden Sicherheitsroutinen zu ersetzen – User*innen selbst können die Schwachstelle also nicht beheben. Auf Nachfrage des SEC Consult Vulnerability Labs beim Hersteller gab es von dort keine Reaktion. 

Für Verbraucher*innen ist also Vorsicht angesagt. Leider lässt sich bei Produkten dieser Art zumeist jedoch nur mit ausreichender Expertise feststellen, ob diese auch sicher sind oder nicht. Ein IoT-Embedded-Pentest bringt Gewissheit, kann aber je nach Spezialgebiet und Scope of Work einen Umfang von Personentagen im zweistelligen Bereich umfassen – besonders, wenn sich der Hersteller nicht kooperativ zeigt.

Mehr Details zu den umfassenden Tests, die SEC Consult bei SUNY ESL durchgeführt hat, findet ihr im Blog von SEC Consult.