Digitaler Produktpass: Seriennummern als Einfallstor für Industriespionage

Am Anfang steht das Typenschild. Dieses wird auch heute noch überwiegend auf dem Produkt als Plakette befestigt, aufgedruckt oder anderweitig aufgebracht. Es beinhaltet Informationen zum Produkt, wie zum Beispiel Herstellername, Gerätetyp, Seriennummer und technische Daten. Der Platz ist allerdings begrenzt, somit auch der Umfang an Informationen. 

Demgegenüber ist die Nutzung digitaler Typenschilder ein großer Fortschritt, denn sie lassen sich global auf jedem Display lesen, die Datenmenge ist nahezu unbegrenzt und erforderliche Änderungen sind einfach durchführbar. Der nächste Schritt ist der Digitale Produktpass (DPP), dessen Einführung für einzelne Produktkategorien läuft, beispielsweise seit Februar 2025 für Batterien. Weitere Kategorien wie Elektronikgeräte, Baumaterialien oder Textilien sollen in den nächsten Jahren folgen.

Eine weitgehend unbekannte Gefahr verbirgt sich allerdings in den verwendeten Seriennummern, die mehr verraten können als beabsichtigt. Dies gilt in gleicher Weise für herkömmliche und digitale Typenschilder.

Eigentlich ist es ein unspektakulärer Vorgang: Hersteller generieren Seriennummern und bringen sie am Produkt an bzw. programmieren sie ein. In der Norm ISO 8000-2 ist der Begriff definiert als „Nummer, die zur Identifizierung eines einzelnen Vorkommens eines Erzeugnisses verwendet wird“. Zudem ermöglichen Seriennummern die Rückverfolgung auf Produktionsbedingungen und Bauteile. Häufig sind sie alphanumerisch mit einem größeren Nummernteil aufgebaut.

Sind die Nummern allerdings seriell oder auch nur teilweise geordnet vergeben, transportieren sie implizit Informationen zu Produktionsdatum, Menge und Struktur der damit bezeichneten Produkte. Dies gilt insbesondere dann, wenn die Nummern mit anderen verfügbaren Daten kombiniert und statistisch ausgewertet werden. Konkret ergeben sich daraus vielfältige Einfallstore zu sensiblen Informationen, die Kunden und Wettbewerbern ungewollt Vorteile verschaffen können.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Angenommen, ein Unternehmen möchte sich ein Bild davon machen, wann ein Mitbewerber mit der Fertigung eines Produkts begonnen hat und ob es Produktionsunterbrechungen gab. Wer stichprobenartig Seriennummern erfasst und mit dem jeweiligen Beobachtungszeitpunkt kombiniert, kann diese Informationen zuverlässig ableiten.

Eine andere Informationsquelle ist die Verbindung von Seriennummern innerhalb eines Produkttyps mit den Modell- oder Chargen-IDs. Daraus lässt sich die Gesamtproduktionsmenge pro Produkt ebenso ermitteln wie der Marktanteil eines Modells.  Eine weitere Variante ist die Kombination von Seriennummern und Geodaten, zum Beispiel Servicefällen. Statistisch ausgewertet, erlauben diese Daten Rückschlüsse auf regionale Verteilung, Lieferkette und Exportmärkte. Werden Seriennummern der eingesetzten Bauteile geschickt ausgewertet, können sie Zulieferer, Produktionsstandorte und Outsourcing-Strukturen offenlegen.

Bereits an diesen wenigen Beispielen zeigt sich, dass serielle Seriennummern vielfältige Probleme verursachen können. „Oftmals heißt es, es sei ein abstraktes theoretisches Thema und nicht relevant für die Praxis“, erklärt Michael Rudschuck von der DKE. „Fortlaufende Seriennnummern ergeben aber mit dem nötigen statistischen Know-how und genügend Daten ein offenes Produktionstagebuch mit Informationen, die kein Unternehmen freiwillig preisgeben würde.“

So ist eine umfassende Wettbewerbsaufklärung möglich, inklusive Produktionskapazitäten, dem Hochfahren der Fertigung für neue Produkte und Markteintrittsstrategien. Dies kann sogar bis zu regulatorischen Risiken führen, wenn Informationen zu Überproduktion, nicht gemeldeten Chargen oder Unstimmigkeiten mit Blick auf Nachhaltigkeitsberichte ablesbar sind.

Eine höhere Brisanz erhält die Problematik der seriell vergebenen Seriennummern durch den Digitalen Produktpass.

Er selbst ist nicht das Problem, aber er macht viele Informationen einfacher zugänglich. In Kombination mit unbedacht vergebenen Seriennummern lassen sich somit quasi auf Knopfdruck Unternehmensinterna ableiten. Aus dem Produktionsdatum und der Seriennummer sind Produktionsraten und -kalender ersichtlich, Seriennummer und Reparaturdaten machen die reale Produktlebensdauer sichtbar. Da Bauteile im DPP einzeln referenziert sind, wird die komplette Lieferkette rekonstruierbar.

„Die Daten im DPP sind digital und standardisiert verfügbar“, sagt Rudschuck. „Dadurch ist eine automatisierte Massenauswertung möglich, und das German Tank Problem wird skaliert – mit den entsprechenden Auswirkungen für das betroffene Unternehmen. Das ist legale Industriespionage, der das Unternehmen selbst Tür und Tor öffnet.“ Dabei ist das Thema nicht nur für große Konzerne relevant, sondern für jede Form von Serienproduktion. KMUs sind besonders betroffen, da sie häufig weniger Ressourcen für IT-Sicherheit haben, die Risiken von Datenaggregation – also der gezielten Sammlung und Auswertung von Daten – nicht kennen und oftmals vom Erfolg weniger Produkte abhängen, was Information dazu besonders sensibel macht.

Um zu verhindern, dass Seriennummern im DPP Betriebsinterna verraten, sind verschiedene Dinge zu beachten. Zunächst geht es nicht darum, keine Identifikation von Produkten zu ermöglichen – das wäre nicht erlaubt. Es darf aber keine dahinterliegende Ordnung rekonstruierbar sein. Seriennummern dürfen also nicht strikt fortlaufend vergeben werden, sondern zufällig oder pseudorandomisiert.

„Der größte Hebel liegt darin, die gesamte Lieferkette zu adressieren“, betont Rudschuck. „Wenn ein Unternehmen selbst alle Regeln befolgt, aber Bauteile von Zulieferen verwendet, die serielle Seriennummern vergeben, lässt sich darüber vieles rekonstruieren.“ Um sicherzugehen, muss also eine Abstimmung mit den Lieferanten erfolgen. Unternehmen können per Audit ermitteln, wo serielle Seriennummern verwendet werden und Vorgaben für Nummernsysteme und Datenformate machen. Der DPP sollte bewusst gestaltet werden, um unnötige Korrelationen auszuschließen und nur Daten bereitzustellen, die regulatorisch vorgegeben sind.

„Die Produktionsdaten historischer Elektrogeräte und der C64-Heimcomputer wurden im Nachgang aus Seriennummern ermittelt. Das gilt auch für die ersten iPhones und andere Smartphones, deren IMEI (International Mobile Station Equipment Identity) darüber Auskunft gaben“, so Rudschuck. „Solche Beispiele aus der Vergangenheit zeigen die Relevanz der Thematik. Mit dem Digitalen Produktpass verschärfen sich die Konsequenzen weiter, wenn Unternehmen dies nicht gezielt verhindern.“

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im