Es gibt halt immer wieder "Unternehmen", die Profit aus der Angst schlagen wollen und werden - Versicherungen sind da offenbar nur EIN Beispiel... Jetzt geht's halt den "Smarthomern" an den Kragen, denn offenbar ist hier was zu holen... Aber die Haustür ist noch mit einem herkömmlichen Schlüssel "gesichert"

Ich verstehe das Problem nicht? Warum müsst ihr den Troll hier füttern ...!

Wieso bezahl ich gleich noch mal jedes Jahr Updates für meine Cisco Systeme ??? Irgendwann fällt es mir wieder ein...

Das stimmt so nicht und hat vento66 auch schon geschrieben.
https://knx-user-forum.de/forum/öffe...16#post1428916

Man kann einem VPN-Tunnel den Zugriff explizit auf z.B. nur ein Gerät erlauben und die anderen sperren (mit VLAN's z.B.).

Es wird anscheinend davon ausgegangen, dass jeder alle Geräte in einem Subnetz betreibt.

Na weil das 99,5% aller Privathaushalte auch so machen!

Aber nicht die, die mit einem sauberen SI zusammenarbeiten und einen Fernzugriff einbauen.

Selbst wenn der SI ungeduscht ist, bezweifle ich, dass dieser sich in die Netzwerkkonfiguration seines Kunden einmischt. Dem genügt ein VPN-Zugang und fertig. Und sonst sind die mit "SI-Betreuung inkl. Netzwerkknowhow" sicher nicht mehr als 0,5%.

Der Smartphonehomeuser mag halt auch gepäppelt werden

Thema 1Home
Ich schreib mal aus der Sicht eines "betroffenen" Endanwenders.
Ich habe mich letztes Jahr bei irgendeiner 50% Sale Aktion hinreißen lassen und habe dort eine Lifetime Lizenz gekauft - das Ganze läuft auf einem Pi3 bei mir, für Sprachsteuerung mit Homekit und Alexa.
Und da muss ich sagen tut es erstmal das was es soll und das ganze Setup versteht jeder Laie.
Diese pentrante Werbung empfinde ich übrigens auch als sehr nervig und hinterlässt bei mir zunehmenst einen unseriösen Eindruck.

Thema Netzwerk
Mein Elektriker hatte damals in der Tat eine Portweiterleitung eingerichtet. Ich habe dann selbst auf meiner FritzBox dieses deaktiviert und verbinde mich nun per VPN.
Um weiter in die Thematik Netzwerksicherheit einzusteigen, habe ich hier seit kurzem hinter der FritzBox ein Unifi USG (da Switche und Accesspoints auch von Unifi sind).
Aktuell bin ich kurz davor das wieder rauszuschmeißen, als Laie muss ich feststellen ist es unheimlich kompliziert hier VLANs, Regeln, VPN Zugang, etc. einzurichten.

4: 35 das ist das Verhältnis von Werbung zu Aufmerksamkeitsverstärkern. Ein kurzer Beitrag mit einem externen Link, den man sich anschauen muss, und dann entsprechende Entrüstung. Ignorieren hätte viel mehr gebracht.
Gruß Florian

Der Kunde kriegt das, wofür er bezahlt. Ich habe es bisher nicht geschafft, bei auch nur einem Privatkunden eine gescheite VLAN-Infrastruktur aufzubauen. Die Kunden sehen da keinen Sinn drin und tun es als "Spielerei" ab. Argumente in Bezug auf Sicherheit haben diesbezüglich keine Wirkung. Vielleicht habe ich auch die falschen Argumente?

Cybso - wir vergleichen unsere Sicherheit nicht mit der von Apple oder Google - wir weisen nur darauf hin, dass Cloud-Lösungen so funktionieren - und nur weil es die Cloud ist - bedeutet das nicht, dass du direkt exponiert bist, wie die Mehrheit der Nutzer im Thread polarisiert. Gleichzeitig haben wir nicht gesagt, dass unsere Sicherheitsarchitektur besser ist als der Konkurrenz - aber wir bieten mehr Funktionen als das S1-Produkt, und das ist das Einzige, was wir wirklich gesagt haben. Über die Sicherheit von S1 wissen wir nur über die Architektur - die praktisch die gleiche ist wie unsere.

Unsere Lösung ist ein klassisches IoT-Gerät, und wir haben nie etwas anderes angegeben.

BlackDevil - Die Box ist ein RPi3-Gerät in einem zugelassenen Gehäuse und trägt das CE-Zeichen. Das Datenblatt ist ein Standard-RPi3-Datenblatt. Auf Wunsch können wir das Gehäuse so anpassen, dass es auf DIN-Schiene montierbar ist, aber bisher noch nicht im Handel erhältlich ist - da wir meist an Retrofit-Kunden verkauft haben und diese die Box nicht in einen Schaltschrank eingebaut haben. In den Q1 - 2020 kommt eine KNX IP-Schnittstelle auf den Markt. Dieses Gerät wird sich besser für Neuinstallationen und die Schaltschrankmontage eignen.

Für 499€ erhältst du den RPi3 im Moment in einem Gehäuse - mit installierter und geflashter SD-Karte inklusive unser Software-Image - und Lebenszeitlizenz für die Smart Assistant Integration. Es gibt auch unser Support-Team, das im Preis inbegriffen ist, das dir helfen kann, alles einzurichten oder dir hilft, das Beste aus der Integration herauszuholen. Du kannst auch unser Cloud-Produkt kaufen und dein eigenes RPi3-Gerät verwenden - und das wird von uns offen kommuniziert. Hier sind die Anweisungen für den Bau einer eigenen Box: https://docs.1home.io/en/articles/16...tung-1home-box

Die Fernsteuerungs- und Managementlösung hat noch keinen Preis - aber sie ist nicht im Preis des aktuellen Box-Produkts enthalten. Bisher hatten wir nur wenige Pilotprojekte, eines davon mit einem Partner aus der Schweiz, der nun ca. 50 Loxone-Häuser über die Plattform verwaltet. Aufgrund ihres Feedbacks werden wir das Produkt möglicherweise nicht einmal öffentlich vorstellen - deshalb führen wir diese Gespräche hier.

Gast1961 - Ja, wir behaupten auch, dass das Box-Produkt sicherer ist als Cloud. Aber in Wirklichkeit ist die Marktsituation völlig anders, auch wenn die Menschen wissen, dass es eine sicherere Option gibt. Vielleicht haben wir 10% der Gira Nutzer ohne Port-Forwarding auf deren Gateway. Und es ist wichtig zu betonen, dass der S1 erst seit etwas mehr als einem Jahr erhältlich ist. Die meisten unserer Kunden sind Retrofit-Anwender mit Smart Homes, die seit einigen Jahren im Einsatz sind. Der S1 war zu diesem Zeitpunkt nicht verfügbar und die meisten von ihnen haben das Produkt nicht nachgerüstet. Wir sehen selten VPN installiert - und wir sehen fast nie, dass es richtig gemacht wird.

Eine weitere interessante Information:
Während man sieht, dass einige Systemintegratoren (nicht viel) zusätzliche Vorsichtsmaßnahmen in Bezug auf VPN oder andere Lösungen in Deutschland treffen - andere Länder (Großbritannien, Spanien, Frankreich,....) nutzen hauptsächlich Port-Forwarding. Apropos Gira & Loxone.....

Wir erklären deutlich, dass Port-Forwarding auf unseren KNX-Seiten als unsicher gilt:

Screen Shot 2019-11-20 at 14.41.18.png

Und Leute, die über die Cloud testen, sind sich in der Regel sehr bewusst, was sie tun. Die unwissenden Benutzer wissen nicht, wie man Port-Weiterleitung einrichtet, und wir helfen ihnen in keiner Weise dabei.

Lonie - Diese Fragen sind 100% punktgenau. Wir klären das gerne:
Wie bereits erwähnt, fliehen wir nicht davor, ein IoT-Gerät zu sein - das mag von Zeit zu Zeit so aussehen -, aber wir verteidigen einfach unsere Meinung, dass die Cloud zu einem wichtigen Bestandteil eines Smart Home wird. Und diese Meinung wird hier oft angegriffen - so ist es schwer, die Diskussion in eine andere Richtung zu führen.

Im Hinblick auf die Konnektivität mit anderen Geräten im Netzwerk ist dies wiederum eine philosophische Frage, weil du jedem internetfähigen Gerät vertrauen musst, das du in dein Netzwerk einbringst. Es könnte dich beruhigen, dass wir seit fast 3 Jahren dabei sind und eine Community von Zehntausenden zufriedener Benutzer haben. Das von dir erwähnte Zertifikat ist ein guter Punkt - und wir werden es definitiv beantragen, wenn wir uns entscheiden, diese Lösung kommerziell anzubieten. Wie bereits erwähnt, haben wir bisher nur wenige Pilotprojekte durchgeführt und führen derzeit Markttests durch.

Zurück zur Technik:

Also, der Satz über HTTP ist eigentlich kein Marketing-Kauderwelsch. Es geht darum, dass wir selbst bei Verwendung einer HTTP-Verbindung automatisch auf HTTPS umschalten, wenn die App es unterstützt.

Wir schützen die HTTP-Protokolle unseres Cloud-Service, indem wir eindeutige Hostnamen erstellen (sie enthalten 12-stelligen eindeutigen Code), die durch ein Wildcard-Zertifikat geschützt sind. Wenn du den Hostnamen nicht kennst, kannst du eigentlich nicht auf den Tunnel hinter der URL zugreifen.

Für den Fall, dass dieses Upgrade nicht möglich ist, weil z.B. die Smart Home Mobile App keine HTTPS-Kommunikation unterstützt, haben wir eine VPN-Lösung implementiert, bei der Kunden nur dann auf den Tunnel hinter der URL zugreifen können, wenn sie eine VPN-Verbindung zu unseren Servern aufgebaut haben. Das VPN ist so konfiguriert, dass nur die erforderliche Kommunikation durch den VPN-Tunnel geleitet wird.
Wir schützen UDP- und TCP-Kommunikation auf die gleiche Weise - und deshalb wird sie anders dargestellt als die HTTPS-Kommunikation.

Eraser - wenn du aufmerksam lesen würdest - würdest du sehen, dass wir mit dir einverstanden sind: VPN bei richtiger Einrichtung ist eine gute Lösung. Und ich glaube, dass du VPN in all deinen Smart Home Projekten richtig eingerichtet hast. Aber wie gesagt und wie auch crewo sagte: In den meisten Fällen richten Systemintegratoren VPN auf dem Router des Hauses ein - und zeigen damit alle zugrundeliegenden Geräte, die mit dem Netzwerk verbunden sind.

theinrich - Vielen Dank für dein Vertrauen in die Sprachsteuerung. Und um dich ein wenig zu beruhigen: Wir sind nicht hier, um die Debatte voranzutreiben und ein paar Euro zu verdienen. Wir erforschen einfach das Bewusstsein des Marktes für bestimmte Themen (Port-Forwarding, Fernzugriff, Fernverwaltung) - und sammeln Feedback über den aktuellen Stand.

Und deine Meinung über die Komplexität der Nutzung eines VPN ist einer der Gründe, warum wir hier sind. Das ist großartiges Feedback für uns. Zu wissen, dass du als technischer Benutzer, der sich der Sicherheit bewusst ist, den VPN UX so schrecklich findet, dass er bereit bist, ihn wegzuwerfen Wenn wir die Fernsteuerungs- und Managementlösung einführen, wird sie genauso einfach zu bedienen sein wie das Sprachsteuerungsprodukt. Und das ist unsere Hauptaufgabe, komplexe Dinge zu einfach zu bedienenden Lösungen zu machen, die Smart Home Besitzer glücklicher machen und Integratoren die Arbeit erleichtern.

Nein, das wäre ein Trump-Zitat. Ich sagte, die meisten Privathaushalte haben keine Sub-Netze oder VLANs. Die wenigsten davon haben aber eine KNX-Anlage und noch weniger einen VPN-Zugang für den Systemintegrator. Aber ja, in dem Fall wenn das so passiert hat der SI Zugriff aufs Netzwerk, was er damit dann aber machen soll ist mir ein Rätsel.

Ein SI hat in der Regel Verträge mit seinen Kunden, er wird als normal seriöser Dienstleister kaum ein Geschäftsmodell auf Datenklau aufbauen, mal abgesehen davon das man in den meisten Fällen (!) genau nichts in einem internen Netzwerk eines privaten Haushaltes findet! Alle Geräte gehen mittlerweile mit SSL online, ohne großen Aufwand (man in the middle o.ä.) lässt sich nichts mitlesen und private Daten haben sowieso mittlerweile fast alle irgendwo in der Cloud. Selbst wenn jemand eine NAS im Netzwerk hat, ist die in aller Regel recht sicher, da ein Passwort vergeben werden muss.

Also: Was soll ein SI denn böses mit dem VPN-Zugang machen? Sind jetzt alle kriminell, nur weil die was mit Internet machen?!

Nach der unprofessionellen Verkaufe hier, hab ich mir mal die Seite der Firma angeschaut. Wobei Firma ja schon ein Kompliment ist. Eine Bumbsbude aus Slovenien, die meine Daten in die Cloud packen will, was für ein grauß dass es Menschen geben könnte die dafür Geld bezahlen könnten.

Die haben zwei Lösungen, lokales Gerät oder alternativ in der Cloud. Und genau um den Sicherheitsunterschied geht es bei der Diskussion.

Ich finde die Reaktion auf das Wort "Cloud" hier etwas übertrieben. Gira S1 und ISE Smart Connect funktionieren ohne Cloud auch nicht, oder verstehe ich das falsch? Die Frage hatte leider niemand beantwortet,
https://knx-user-forum.de/forum/öffe...43#post1429143

So ist es.