wo Du jetzt schon die Panikkeule rausholen must: Jetzt bleiben wir bei deinem Konstrukt mit dem Spital: Du hast jetzt Busszugriff und nun? Ausser Licht und Jalousie wirst Du nicht viel machen können Ok dann schaltest Du ein paar mal das Licht, und verfährst die Jalousie. Und nun? Spätestens in einer halben Stunde ist der Bus abgeschaltet, und das licht geht automatisch an... Super!

Naja mal nicht auf Hotel / Krankenhaus oder sonstige öffentliche KNX-Installationen bezogen sondern mein privates KNX-Haus.
Derzeit läuft die ganze Anlage vollkommen offline, meine ETS kennt nur USB und grüne KNX-Leitungen.
Hat jemand ein IP-Gateway und das auch noch an der Internet-Fritzbox, dann ist es meiner Meinung nach vorrangig wichtig dafür Sorge zu tragen, dass das GW dicht ist oder gleich die Fritzbox. Warum sollte ich im EFH den internen KNX-Bus-traffic verschlüsseln mit allen Nachteilen die hier genannt wurden, weil entweder ich als Fritzbox-user zu blöd bin ne gescheite Firewall zu installieren oder weils nen Consumer-Produkt ist und der Herrsteller unfähig ist diese Gateways abzusichern. Denn eigentlich gibt es keinen Grund warum die KNX-Geräte mit dem Internet reden sollten können. Und wenn ich das schon nicht hinbekomme das mein IP-Gateway nicht dicht ist, brauch ich den KNX-Traffic nicht auch noch absichern wollen, weil ich dazu dann mit Sicherheit auch zu blöd bin und dann auch nicht richtig funktioniert.

Insofern über die IP-landschaft gesprochen wird gehört verschlüsselte Kommunikation dazu aber eben im IP-Bereich. KNX-TP ist kein IP.

In öffentlichen Gebäuden macht das ggf noch Sinn damit der gewiefte KNX-Hotellbetrüger nicht mit seinem Laptop den Lichtschalter von der Wand zupft und die TP-Anlage manipuliert. Aber dafür gibt es derzeit Produkte eine Linie vor unautorisierter Veränderung zu schützen. Den zusätzlichen Schutz des eigentlich legitimierten Traffics in der TP-Anlage, ja kann man machen weil auch das könnte sich da ggf so ein böser Bub vornehmen.

Im EFH Bereich ist es eben einfach nur wichtig die Schnittstelle in die IP-Welt und vorallem in die externe IP-Welt, nicht unbedingt mal ins reine LAN abzusichern.
Wer sein Häusle unbeding via Handy von sonstwo bedienen will, sollte auch genau da den Focus der Sicherheit legen. Weil wenn der böse Haushacker da drauf ist, ist es doch eh zu spät und es ist dann auch egal ob sich der Taster verschlüsselt mit dem Aktor unterhält. Im reinen LAN kann man heute schon viel mehr Ärger anstellen als das Licht ne weile sinnlos brennen zu lassen.


Oder was natürlich noch kommen kann, die KNX baut jetzt mal langsam das "sichere" KNX als Standard auf und wie ich den Foliensatz der KNX vom Münchner Symposium 2016 noch in Erinnerung habe, folgt dann das der gesamte KNX-Traffic zukünftig nur noch KNX-IP sein wird. Der Anwendungsbereich KNX-TP dann nur noch eine kleine Randerscheinung im Neugerätemarkt sein wird. Und da wir ja die überaus schnellen Entwicklungszyklen der KNX kennen ist das nichts was uns in 5-10 Jahren trifft aber danach denke ich kann das passieren. Und die ETS wird dann ggf nur noch IP können und TP womöglich wie die Plugins vielleicht nur noch im Kompatibilitätsmodus. Und um das ganze noch viel Schlimmer zu malen, alle Ultra-Loxone Häuser die an alle Taster sternförmig CAT-leitung verlegt haben sind dann auf einmal die Helden der Elektrosanierer.

Uhh ich muss aufhören da weiter drüber nachzudenken.

... bin kein KNX SI und kann nicht sagen was man in so einem modernen Krankenhaus so mittels KNX realisiert. Aber generell finde ich das Argument: "Na und, dann hack mich doch, bei mir kann man nichts schlimmes machen" nicht ausreichend

Meiner Ansicht nach gehört Kommunikation, egal in welcher "Welt" immer abhörsicher / verschlüsselt.


Jau, evolution hat hier schon auf das MDT Sicherheitsmodul hingewiesen.

Das hat hier niemand, vielleicht liest du den Beitrag nochmal und informierst dich ein bisschen mehr über das Thema.

Glaube mich da schon ein wenig auszukennen.
Kurz zusammengefasst vertrete ich die Meinung, dass eine Verschlüsselung des Transportweges mittels Zertifikaten wie es z.b. SSL/TLS 1.2 macht, nach heutigem Stand der Technik bei korrekter Implementierung als einigermaßen "sicher" gilt und auch der KNX Bus von etwas derartigem profitieren würde. Und ich habe nichts weiter behauptet, das dies bei korrektem Design auch problemlos in der Realität integrierbar ist, wenn man nur will - ganz ohne Rocket science. Das war das einzige was ich mit dem "SSL everywhere" zum Ausdruck bringen wollte...

So und wenn man sich jetzt mal anschaut wie KNX Date Secure im Detail funktioniert, dann wird man gewisse Parallelen entdecken...

Was hält dich eigentlich davon ab, ein Mitglied der KNX A zu werden und an der Ausarbeitung von KNX Secure mit zu wirken?!

Muuuahaha.... ymmd

Langsam mutiert der Thread zum Einsteiger-Thema... wie schade...

hae? Raff den Zusammenhang nicht...


Erhelle mich. Ich bin der Meinung sehr wohl gewisse Paralellen zu entdecken. Vertraulichkeit durch Verschlüsselung mittels symmetrischem Schlüssel. (AES 128)

Findste nicht?

https://www.knx.org/media/docs/downl...n-Paper_en.pdf

Aber egal, mir ist mittlerweile schon gar nicht mehr klar wofür ich hier auf der "Anklagebank" sitze... ^^

Deshalb mal ne ein anderen Ansatz.

Denkt ihr das der Einsatz eines Sicherheitsmoduls (und gleichzeitigem deaktivieren der "Unlock über Telegramm"- Funktion eine getrennte Linie für den Außenbereich aus Security-Sicht überflüssig macht?

Seht ihr, außer für den Fall von Limits in der Spezifikation (max. Anzahl Geräte usw.) noch andere Argumente für eine getrennte (Außen)-linie?

• Motivierter Gärtner, der mit der Schaufel einen Kurzschluss auf dem Bus erzeugt
• Früherer Elektriker, der in einer vergrabenen Innen Verteilerdose eine Busklemme hatte und bei jedem Lauf der Sprinkleranlage einen Kurzschluss produziert hat

Beides schon erlebt - in beiden Fällen war der Hausherr froh, dass sein Licht noch funktioniert. D.h. muss nicht immer "IT-Security" sein

Mal wieder interessant was man mit der simplen Frage ob es bereits Geräte gibt die KNX Secure unterstützen alles auslöst