Hi @all,

ich habe die letzten Tage natürlich auch immer fleissig mitgelesen und mitgelernt. Entgegnungen oder zielführende Kommentare waren mir, aufgrund mangelnder Fachkenntnisse aber nicht möglich, weil ich halt zu 80% ein "Lieschen Müller" und kein Securityexperte bin. Und ich halte es nun einmal mit dem Grundsatz "wenn man von etwas keine Ahnung hat, dann einfach mal die Klappe halten".
Es gab scheinbare einige User die zwar "mitlesen" aber kaum User die in dieser Erörterung wirklich "mitreden" konnten unter den Lesern.

Ich meine daher auch ein "ehrfurchtsvolles Schweigen" der übrigen sonstigen "Vielschreiber" gespürt zu haben. Eine gewisse Einschücherung gegenüber soviel Expertenwissen. Ich wage daher nun folgende Frage an die Community. Damit meine ich vor allem die "Kerntruppe" des "guten alten 39-Seiten Threads".

Macht es ggf. Sinn ein Unterthema für "Securityfragen" einzurichten in welchem die "Experten" ihr beängstigendes Fachwissen all jenen, die daran interessert sind, mitteilen können?

Ich will damit Niemandem "auf den Schlips treten" und bezweifele auch nicht, dass es immer irgendwelche Sicherheitsrisiken gibt, auch nicht bei RWE-SmartHome. Andererseits hat es mich echt (und das ist wirklich meine ganz persönliche Meinung) total angeödet, in den letzten Tagen hier nur Beiträge zu finden, die sich ausschliesslich um dieses Thema drehen und in denen selbsternannte "Experten" Dinge disktutieren, die ich nicht einmal "im Ansatz" verstehe! Ich habe daher beinahe die Lust verloren hier etwas zu posten und habe mir unseren, von diesen Experten weitgehend unbemerkten, "guten alten 39-Seiten Thread" zurückgewünscht!
Bin ich der Einzige dem es so geht? Wenn JA, dann ist es OK!
Wenn nicht, dann äussert Euch bitte!

Ich möchte mich hier gerne über RWE-SH mit Euch austauschen, egal wie unsicher das sein mag, WENN oder FALLS oder WAS SONST...!
Ich habe keine Lust dauernd die Miesepeterei zu lesen, auch wenn die Fakten stichhaltig sein mögen...

Es ist schliesslich auch erwiesen, das es
- sicherer ist mit der Bahn zu fahren als mit dem Auto
- sich sein Gehalt in bar auszahlen zu lassen, am besten garkein Homebanking zu nutzen
- kein Mobiltelefon zu besitzen/nutzen, vor allem um nicht angepeilt werden zu können
- Facebook oder ähnliche Internetangebote zu meiden, so wie der Teufel das Weihwasser meidet
- keinesfalls zu heiraten und/oder Kinder zu zeugen um wegen der erwiesenermassen steigenden Scheidungsrate und der damit unvermeidlichen Finanzmisere (Unterhalt) nicht das Risiko einzugehen in die absolute Unterschicht (fast unter Hartz4) abzurutschen!

Das sollen aber nur mein 30cent zu diesem Thema sein!
Ein Diskussionsbeitrag... nicht mehr!

Liebe Grüße an die Community bis nach Ulan Bator!

Thomas

Alles was wir hier machen sind Vermutungen anstellen.

Da wir nur wissen, dass "irgendwo" AES eingesetzt wird, lässt sich über die Sicherheit/Unsicherheit von SH im Prinzip keine Aussage treffen.
Es gab ja (auch hier im Forum schon angerissen) schon einige Fälle in den AES mehr Alibi Funktion hatte.
Demgegenüber setzen z.B. heute übliche Sicherheitsstandards bei der Funkübertragung von Netzwerkverkehr (z.B. IEEE 802.11 und 802.16) unter anderem auf AES. Aber eben nur für ganz spezielle Einsatzzwecke und in wohl bedachter Kombination mit anderen Verfahren.

Insofern ist eine Diskussion über die "Zuverlässigkeit" von AES hier eigentlich unsinnig.
Um eine sinnvolle Sicherheitsanalyse der SH Funkübertragung durchzuführen, müsste das ganze Protokoll offen gelegt werden. Da ist RWE gefragt.

@an Alle
Hier geht es seit Tagen um die Sicherheit von SH.
Im Detail verstehe ich nur Bahnhof, darum stelle ich diese Frage!

In der Werbung schaltet Stromberg hocherfreut beim Nachbarn das Licht ein und aus.
Kann mir sowas auch passieren?
Nehmen wir an mein Nachbar mag mich nicht.
Er kauft sich lediglich die Zentrale und bindet meine Geräte bei sich ein?
Ist das möglich?

Weniger negativ gedacht!
Besteht die Möglichkeit dass er es versehentlich macht?

Bin gerade sehr nachdenklich, weil ich mir so ein Szenario in einem Mehrfamilienhaus vorstelle.
Müssen sich alle Nutzer zunächst zusammensetzen und die Geräte auseinander fummeln?
Das wär ja richtig übel!
Würde mich so eine Art MAC Filter für die SH Geräte schützen?
Kann ich mich überhaupt schützen?
Ich glaube, ich hatte das Thema Bereits vor Wochen angesprochen aber weniger im Detail!

Hallo Vanguard,

Nun, vom Prinzip her richten sich die geäußerten Bedenken gegen so ziemlich jede Funklösung - auch wenn wir diese hier am Beispiel RWE Smarthome diskutieren. Dies liegt daran, dass Funk prinzipiell keinen physikalischen Zugriffsschutz innerhalb der Funkreichweite hat.

Funktelegramme können - prinzipiell - von jedem mit geeigneten Mitteln empfangen und gesendet werden.


Nun, meines Wissens wird dazu der Zugriff auf die Geräte benötigt (Knopf drücken) um ein Pairing durchzuführen - zumindest auf dem normalen Wege.

Inwieweit das mit tieferliegenden Kenntnissen vom "Nachbarn" geknackt werden kann ist mangels öffentlich verfügbarer Informationen unbekannt.

Derzeit kann die von RWE aufgestellte Behauptung "Sicher" (was sollen sie auch anderes sagen) mangels offenlegung nicht unabhängig geprüft werden. Das gilt aber auch für andere Produkte genauso!

Bei den Vorläuferprodukten aus dem gleichen Haus wurde auch Sicherheit und Verschlüsselung versprochen, Nach kürzester Zeit war diese geknackt.

Mit der Hardware CUL bzw. CUNO von busware.de und dem entsprechenden Firmware-Image lassen sich diese Vorläuferprodukte von RWE SH (auch beim Nachbarn) problemlos steuern. Wir nutzen das bei unserem WireGate Multifunktionsgateway zur Einbindung solcher Systeme. Anleitung hier:
https://knx-user-forum.de/forum/supp...wiregate/10298

Persönlich halte ich es nur für eine Frage der Zeit bis das auch mit RWE SH funktioniert.

Aus grundsätzlichen Erwägungen heraus raten wir den Einsatz von Funk nur für verzichtbare Sensorik (z.B. Außenwetterstation) und für nicht sicherheitskritische Aktorik, also z.B. für Funksteckdosen für die Christbaumbeleuchtung.


Denkbar ist für den (böswilligen) Nachbarn noch ein einfacherer Weg: Die RWE Smarthome Zentrale hängt im Internet und am Rechenzentrum von RWE. Für den Zugriff braucht es entweder das Passwort oder den Entsperrschlüssel. Insofern Dir das abhanden kommt oder Du das lokal in Deinem PC zur vereinfachten Konfiguration gespeichert hast, ist der Zugriff darauf (z.B. beim nächsten Blumengießen durch den Nachbar) zumindest denkbar.


Ich denke, versehentlich nicht, außer die Software hat einen (versehentlichen) Fehler. Es ist ja nur die Software und die derzeit unbekannte Implementierung unbekannter Sicherheitsfunktionen welche Dich davor schützt.


Das kommt auf Dein Sicherheitsbedürfniss an und vor was Du Dich schützen willst.

Zumindest halte ich es für empfehlenswert, alles was in irgendeiner Form sicherheitsrelevant ist, also z.B. elektrisch große Hitze erzeugen kann (also Wasserkocher, Espressomaschine, Sauna usw.) oder Wasser laufen lassen kann (Ventil fürs Aquarium oder den Whirlpool) keinesfalls und niemals per Aktorik über irgendeine elektronische Smarthome-Lösung zu schalten wenn das so geschaltete Gerät nicht 100% eigensicher ist. Egal ob über RWE SH oder KNX oder was anderes.


glg

Stefan

Hallo Stefan!

Danke für deine Hinweise, ich werde sie befolgen!!!

Die Einbindung in die Zentrale läuft folgendermaßen ab.
1.) Batterie ins Gerät einlegen.
2.) Auf dem PC die Software starten.
3.) Das Gerät suchen lassen.
4.) einem Raum zuordnen
Fertig

Ich muss keine Taste drücken und halten!
Pairing ist nicht ! Zumindest nicht bei den Thermostaten, beim Wandschalter oder Zwischenstecker

LG Christian

Gott sei Dank ist unser Nachbar bereits 85, ein Supernetter Mensch, ohne Internet, mit Röhrenfernseher und nem uralten Plattenspieler .... Und nur daran interessiert UNS im Sommer wieder bei der Gartenarbeit zu helfen! Sowas gibt es - ich mache keine Witze ;o))

Sowas von dir?

Ich könnte ja wieder mit diesem "Betatesterschwachsinn" anfangen, denn etwas Wahrheit ist ja da dran.
Das Zeugs ist nichts Halbes oder Ganzes! Es ist einfach nur ganz nett und eine schöne Spielerei!
Mal funktioniert es und mal nicht! Ist doch nicht so schlimm, denn es kostet ja nicht viel!

Und sicher ist es auch nicht!

Was solls?

Ärger dich nicht!

Mich ärgert viel mehr dass ich pro gefahrene 1000km mittlerweile 90€ inspektionskosten habe! Danke Mercedes für diese tollen mitdenkenden Autos!
Für die Ausgaben meiner anstehenden großen Inspektion würde ich mir lieber weitere SH Geräte kaufen!
Oder wieso braucht ein Cabrio alle 12 Monate einen neuen Innenraumluftfilter? Ich hatte gestern fast nen Infarkt, weil alleine das Teil Einhundert Euro kosten soll!

immer dran denken, es geht noch schlimmer!

LG Christian

Ja, es gibt noch größere Geldvernichtungsmaschinen als die mit dem Stern drauf. Allerdings erreichen die nicht so einen großen Marktanteil.

Back on topic, please!

Hallo Christian,

Nun, dies ist vermutlich der Pairing-Prozess. In der Bedienungsanleitung vom Wandsender steht, dass dessen Taste dabei auch zu drücken ist.

Es wäre nun interessant herauszufinden, was bei zwei Zentralen in Funkreichweite passiert. Wenn es richtig gemacht wurde - wovon durchaus auszugehen ist - sollte die "schnellere" (also über am PC suchen) das Pairing gewinnen. Die zweite Zentrale sollte danach dieses Device nicht mehr "sehen".

Aber das ist nicht der Punkt an dem sich die Diskussion entzündet hatte, sondern das aus grundsätzlichen Erwägungen heraus die Behauptung des Herstellers "Sicher durch spezielle Verschlüsselung" in Zweifel gezogen wird.

Einfach aus der Erfahrung heraus, dass bis jetzt soviele als "sicher" behaupteten Systeme, wie die Vorgängerprodukte von E3Q aber auch die gängigen Garagentoröffner, Wegfahrsperren, Smartcards, SHA iButtons, WEP-Verschlüsselung, Bluetooth, kürzlich sogar SSL, GSM usw. dann am Ende doch angreifbar waren. Offenbar neigen die Hersteller am Ende dazu, eher etwas einfaches & günstiges zu implementieren - auch weil die Kunden für wirklich echte Sicherheit nicht bezahlen wollen.

Wir werden sehen was die Zeit an Hinweisen bringt. Es würde mich nicht wundern, wenn diejenigen, die das Vorgängerprodukt gehackt haben, bereits am RWE Smarthome dran sind. Gerade auch weil der durch Werbung zunehmende Bekanntheitsgrad dazu reizt.

lg

Stefan

@MatthiasS
SH verleitet dazu abzuschweifen!

LG
Christian

Hallo Vanguard.

Zu deiner Frage zum Thema Nachbarn:
Ich kann mir im Moment nur einen Fall vorstellen, in dem dein Nachbar Kontrolle über eines deiner Geräte bekommen könnte (wenn wir mal alles ausblenden was mit dem bewussten Knacken oder ausnutzen von Sicherheitslücken in der Software zu tun hat).
Nehmen wir mal den Fall an, sowohl du als auch dein Nachbar hätten gerade neue Geräte bekommen und würdet gerade auch zufällig gleichzeitig deren Einrichtung durchführen. In diesem Fall wären sowohl eure beiden Zentralen im Suchmodus und ebenfalls eure neuen Geräte noch ungebunden.
Dann könnte man bewusst oder unbewusst die Kontrolle über die freien Geräte des anderen übernehmen. Natürlich ist davon auszugehen, dass ihr dann das ganze einfach noch einmal durchführen würdet.

Hallo ihr Lieben,

genauso wie hier beschrieben ist es auch...

...zumindest, sollte es "by design" so und nur so möglich sein "fremde" Geräte versehentlich seiner eigenen Steuerung hinzuzufügen.

Um dies zu vermeiden kann man sich natürlich, so wie ich es mache, vorab die Seriennummern der Neuerwerbungen notieren. In Testumgebungen, wie z.B. in den Labs des SmartHome 2nd Level Supports, ist es unumgänglich dies zu tun. Die Wahrscheinlichkeit, dass es im Enduserbereich zu so einer Situation kommen könnte, ist allerdings extrem gering. Zumindest gab es bisher noch keinen derartigen Fall!

Das könnte sich natürlich drastisch ändern falls sich RWE-SmartHome virulent verbreiten würde ;o)

Btw.
Ich finde es sehr schön, dass es nun ein eigenes Thema für die Sicherheit von Funknetzen im allgemeinen und SH im speziellen hier gibt. Ich möchte noch einmal anmerken, dass ich mit meiner gestrigen Kritik niemanden angreifen wollte. Ich ziehe den Hut vor dem Fachwissen der Sicherheitsexperten, auch wenn ich nicht beurteilen kann ob deren Bedenken gerechtfertigt sind oder nicht. Gerade das war aber meine Intention, als ich fragte ob nicht ein eigenes Thema sinnvoll sei.
Nur einen Tag später gibt es schon ein eigenes Thema für diese Fragen und dafür möchte ich unserem Moderator, NAOFIREBLADE, von ganzem Herzen danken!

Super Arbeit, weiter so!

Viele Grüße,
Thomas

Weiss einer was für eine Funktechnik hier eingesetzt wird?
ZigBee, Z-Wave, Proprietär? oder habe ich da was überlesen?

Das ist eine proprietäre Eigenentwicklung der eQ-3 AG.

Die drahtlose Kommunikation erfolgt im ISM Bereich 868 MHz mit FSK-Modulation und einer Sendeleistung vom max. 10mW.

Das Protokoll wird nach Angaben im Internet als "CosIP" ("Control over Secure IPv6") bezeichnet.
Es ist inkompatibel zu den früher erschienenen Produktlinien FS20 sowie dem neueren Homematic mit dem Protokoll "BidCoS" ("Bidirectional Communication Standard").

Danke Stefan.