Das lässt sich so pauschal nicht beantworten, weil es primär davon abhängt, wie gut der RasPi und alle darauf installierten Komponenten abgesichert sind.

In deinem Fall mit VPN hängt es vor Allem davon ab, wie sicher dein VPN ist und ob es allenfalls andere Möglichkeiten gibt, in dein Netz einzudringen.

Wenn man eine Firewall und Port Forwarding nutzt, ist der Webserver auf dem RasPi die exponierte Stelle, welche gehärtet werden muss.

Die smartVISU selbst hat ja gar keine Authentifizierung. Wenn man diese via Internet nutzen will, sollte also der Zugriffsschutz entweder durch den Webserver oder halt eben VPN erfolgen.

Naja üblicher Router in meinem Fall eine Fritzbox...

Was mich interessiert, haben die user hier es noch anders gesichert als über die mitgebrachten Möglichkeiten des Routers oder nicht...und fühlen Sie sich sicher damit?

Die Aussenlinie wird ja auch von den meisten über ein LK gefahren...was ist aber eben mit dem Zugang aus dem Netz? Ist in der heutigen Zeit mehr nötig, als man an Bord hat?

Jetzt wird daraus aber nicht mehr ein Visu-Thema sondern ein allgemeines. Wenn einer in dein Netz eindringt und du eine laufende IP-Schnittstelle hast, kann er ja auch dein ganzes KNX-System umprogrammieren.

Naja die Visu ist aber eben das schwächste Glied ohne bräuchte man auch keine IP-Schnittstelle...deswegen ja auch die Eingangsfrage...wie sicher ist man denn mit Smartvisu auf dem Raspbi...hinter einer Fritzbox mit VPN

Ist es genausoeinfach zu kapern wie eben die IoT-Geräte aus dem jungsten Angriff, oder bleibt man davon verschont und es ist mehr nötig als die Mirai Malware?

Denn wie schon gesagt, ohne die Smartvisu bzw. eine andere Visu hätte man ja gar keinen zusätzlichen Angriffspunkt auf die Anlage und es würde kein weiterer Webserver laufen, darum auch die Frage hier und nicht in einem allgemeinem IT Forum oder so...

Wenn du deine Fritz!Box komplett dicht hast, also weder NAT, noch PAT aktiviert hast, dann ist dein Raspi dahinter sicher. Du könntest ja auch noch den ausgehenden Verkehr vom Raspi Richtung Internet sperren, dann könnte auch potenzielle Schadsoftware auf dem Raspi nicht "nach Hause funken". (da musst du nur beim nächsten Mal dran denken, wenn du dir irgendwas aus dem Netz saugen willst)

Die Frage ist ja auch, ob jemand, der eine Fritz!Box knacken will, dann auch im Nachgang an dein KNX-System will. Die wollen vielleicht an deine Daten, Passwörter etc., aber nicht an eine Haussteuerung. Es wird ja auch niemand bei dir ins Haus einbrechen, das Licht anschalten, die Rolladen runter fahren, die Heizung aufdrehen und wieder abhauen.

Gänzlich anders sieht es natürlich aus, wenn du einen Port in der Fritz!Box aufmachst, um auf deine Smartvisu drauf zu kommen! Soweit ich das überblicke, müsstest du ja nicht nur den Port 80 aufmachen, sondern auch den Port 2424, über den der Browser mit dem smarthomeNG spricht. Dann bist du nicht nur von einem ordentlich gepatchten Apache, sondern auch von einer sauberen Programmierung von Smartvisu & smarthomeNG abhängig. Aus meiner Sicht ist aber die Verbreitung der Software (= Betatester & Fehlermelder) zu klein, um das zu gewährleisten. Insofern käme ich nicht auf die Idee, die Ports aufzumachen.

VPN ist wieder ein anderes Thema. Ich habe das VPN in meiner Fritz!Box konfiguriert. In den Tunnel kommt keiner rein (außer vermutlich NSA usw.), insofern ist das Netz dahinter wieder sicher.

und soweit ich den Angriff auf die IoT-Devices verstanden habe: waren da in den Firewalls die Ports offen und die Login-Daten waren auf den Default-Werten. Also vergleichbar, wenn du in der Fritz!Box den Raspi in die DMZ hängst und das Passwort für den User pi auf raspberry lässt. Dann könnte ein Angreifer bei einem Portscan den SSHD sehen und einfach mal die Standardpasswörter ausprobieren.

Es spielt doch keine Rolle, ob es ein RasPi ist oder irgend ein anderer Server oder PC ist. Die Hardware wird ja eher nicht gehackt.
Darauf läuft ein Betriebssystem und ganz viele Services. Welche das sind und wie du diese absicherst, ist erstmal unabhängig davon, ob es ein RasPi ist und ob darauf die smartVISU läuft oder nicht.

Die Themen sind also wirklich nicht vergleichbar, da ein RasPi trotz seiner grösse ein vollwertiger Computer und nicht irgend ein integriertes Device mit einer mehr oder weniger einfachen Firmware ist.

einfach noch ein paar weitere möglichkeiten: basic auth auf dem webserver, bestimmte ip ranges für länder wie russland, nigeria, china etc sperren. vor dem nächsten china urlaub sollte man das ggf dann nur anpassen :>

Ich bin doch nicht der einzige hier, wer die Konstellation Raspbi mit Smartvisu -> Fritzbox -> VPN -> Internet hat oder? Meines Erachtens muss auch nur der Port 80 freigegeben werden um auf den Raspbi von außen per VPN zu kommen ist jedenfalls bei mir so.

Hat keiner sonst Bedenken?

Mir geht es auch nicht darum ob meine Daten geklaut werden können, oder jemand mein Bus von außen Steuern könnte.

Es geht heutzutage bei Hackerangriffen schon lange nicht mehr darum Privatpersonen auszuspionieren etc. Daten von Rechnern zu klauen usw. Hauptsächlich geht es darum Rechenkapazität zu kapern und somit Botnetze aufzubauen um "größere" Aufgaben damit zu bewerkstelligen. So jedenfalls mein Eindruck der letzten Jahre.

Wenn ich dich richtig verstehe, hast du VPN und zusätzlich hast du von der VPN-Zone nur Port 80 des RasPi freigeschaltet, richtig?
Damit hast du ja zwei Sicherheitsebenen, was schonmal recht gut ist.

Nun ist halt die Frage, wie sicher dein VPN und dein LAN sonst sind. Es könnte z.B. einen Angriff ähnlich dem auf Philips Hue geben, bei dem sich Schadcode automatisch von knackbarem WLAN zu WLAN verbreitet, da nützt alles VPN nix.

Aber nochmal: Dies ist keine Frage der Sicherheit von RasPi oder Visu sondern von ganzen Heimnetzen. Da werden wohl eher Windows PCs angegriffen als die smartVISU. Nicht weil dies per se einfacher wäre, sondern einfach weil sie deutlich verbreiteter sind.

Die smartVISU selbst ist definitiv nicht speziell gesichert oder auf Sicherheitslücken untersucht. Wenn also einer in deinem Netz ist, könnte ein Angriff darauf durchaus erfolgreich sein.

Das dies eine Frage des ganzen Netzes ist, ist mir auch klar. Allerdings ist bei mir der RaspBi (wie ganz sicher auch bei anderen) die einzige zusätzliche Komponente im Netz, welche dann eine Portfreigabe benötigt.

Denn ohne wäre ja meine Ports komplett geschlossen auf der Fritzbox.

WLAN lassen wir außen vor. Hier geht es nur um die Kabelverbindung, denn diese ist ja dauerhaft aktiv.

Mein VPN und LAN ist nicht sicherer oder unsicherer, als tausende anderer Fritzboxen in D. Passwörter und SSID sind geändert und die Bordeigenen Sicherheitsmerkmale sind aktiviert, die Firmwareupdates macht die Box automatisch. Nicht mehr und nicht weniger.

Aber hast du den Port 80 direkt als Port Forwarding freigegeben oder nur per VPN?
Nur per VPN wäre es ja kein Problem, weil da die Sicherheits des VPN relevant ist.

Wenn direkt, dann ist die Sicherheit des Webservers, den du auf dem RasPi verwendest entscheidend.
Da kommt es wieder darauf an, welchen du einsetzt, wie dieser konfiguriert ist, ob du SSL verwendest, du regelmässig Updates dafür installierst, ...

Das ist ja der Unterschied zu den IoT-Devices: Du hast einen vollwertigen Computer mit Betriebssystem und Standardsoftware, welche du selbst installierst und Pflegst.
Bei den IoT-Dingern gibt es nur eine Firmware des Herstellers, die du nicht unter Kontrolle hast und oft nicht mal updaten kannst.

Deshalb ist die Sicherheit des RasPi mit der eines PC zu vergleichen und nicht mit einem Kühlschrank.