Wäre tatsächlich nett wenn du das Passwort teilen könntest. Ich gehe mal davon aus das es in der letzten Zeit immer der gleiche Täter war, habe auch 2 (Neu)Kunden die mich deswegen angeschrieben haben...

Ich denke, dass die Rekonstruktion sehr teuer war und man deshalb nicht so einfach das PW veröffentlicht, vielleicht sogar nicht einmal darf.
Gruß Florian

Ist schon richtig, aber fragen kostet ja nichts.

Warte noch darauf das Passwort zu erhalten (Kunde und Limes wollten Freitag Nachmittag in Kontakt treten, gestern war auch Feiertag), zum Objekt zu fahren und den Moment der Wahrheit zu erleben wenn ich beim ersten Gerät das Passwort eingebe und zu schauen wie es sich mit den anderen 2xx Geräten verhält. Was Limes wg. der Weitergabe des Passwortes sagt, muss ich in Erfahrung bringen. Keine Ahnung ob sowas "geistiges Eigentum" ist oder ob das Honorar für das Auslesen für den Kunden für eine vollständige Weitergabe und Veröffentlichung ausreichend ist...

Mich wundert, dass ihr so lange mit eine überwiegend defekten Anlage leben könnt.
Gruß Florian

Limes hat das Passwort ja dem Kunden ausgelesen, die haben da keinen "Schutz" drauf, einzig der Kunde könnte sagen: "Meins! ich habs bezahlt.."

Ja das ist in der Tat interessant. Ich dachte am ersten Tag auch es folgen nun durchzechte Nächte wo ohne Pause Geräte getauscht und programmiert werden müssen.
Tatsächlich wird die Beleuchtung mit Automaten ein- & ausgeschaltet, Jalousien bei Bedarf über Handbedienung am Jalousieaktor gefahren und die Heizung funktioniert auf einem, mit ein-zwei Korrekturen durch Ausprobieren justierten, festen Stellwert der einen konstanten Warmwasserfluss für eine akzeptable Raumtemperatur ermöglicht. Der Hacker mit scheinbar moralischem Kompass 🙄 hatte ja fast alle Heizungsaktoren in Ruhe gelassen, so dass sie zumindest mit einem festen Stellwert über den Bus versehen werden konnten. Bei der Etage wo die Heizungsaktoren doch kaputt programmiert wurden, liefen diese auf Werksbetrieb, der jedoch zu gutmütig eingestellt ist und es sehr heiß wurde. Da haben wir dann per Hand das Ventil für die Warmwasserzuleitung etwas zugedreht, dass insgesamt weniger Wasser fließen konnte.

Ich glaube das BCU Passwort wird im Projekt nur 1x vergeben. Deshalb ist es gleich. Ich muss mal bei uns nachfragen, ob unsere Chefs das aus einer BCU auslesen können. 😎

Wenn man den Zauber ohne ETS durchführt, ist das völlig egal, ob das die ETS Projektweit setzt. Ich als Hacker würde da auch nicht mit der ETS anfangen, sondern ein script laufen lassen. Das ist sicher zuverlässiger. Die ETS würde bei solchen Aktionen sicher 20Mal abstürzen

Du bist wohl nicht der vorsitzende des ets-fanclubs?

Darf ich die Frage aus der 1. Seite noch mal hochholen? Wenn ich mir den Thread so anschaue, dann wäre es doch in der Tat sinnvoll, für jedes Projekt ein BAU-Passwort zu setzen - das wird dann in die Dokumententasche im Verteiler gesteckt (und meinetwegen auch noch per Label oder Edding in die Tür geschrieben), damit es nie verloren geht.

Das Risiko einer versehentlichen Fehlkonfiguration und entsprechender Erreichbarkeit aus dem Internet scheint mir dann höher zu sein als dass das BAU-Passwort verloren geht und es handelt es sich ja nicht mehr um ein theoretisches Angriffszenario. (Ich habe das bisher nicht besonders beachtet, das mir weder wahlloses Schalten noch Umprogrammieren der Geräte ein besonders risikobehaftetes Angriffsszenario war - das dauerhafte Zerstören einer einer Anlage via BAU-Passwort ist da doch eine ganz andere Nummer...)

Also, spricht irgendwas dagegen, das BAU-Passwort im Projekt standardmäßig zu setzen?

Grüße
ausaltmachneu

Spricht ja eigentlich nichts dagegen. Du darfst es halt nicht vergessen. Ich bleibe lieber beim MDT Sicherheitsmodul, aber das kann ja jeder entscheiden wie er mag.

Ja, für eine im Umbau befindliche Einliegerwohnung würde ich das auch in Betracht ziehen, falls die mal nicht mehr innerfamiliär, sondern zur Vermietung genutzt wird.
Zum MDT Safe aber dazu mal eine Frage: Hab ich was übersehen, oder reicht einfaches abklemmen des Moduls vom Bus, um die Installation wieder komplett programmierbar zu machen? (Dann wäre es eben doch wieder ein Grund, alle Geräte mit Bau-Pw zu versehen...)

Du klemmst es einfach an. Damit schützt es die Geräte der Linie, in dem es sich befindet. Ist der Linienkoppler offen, verhindert er auch die Programmierung der anderen Linie.
Man braucht es ja auch nicht abklemmen, sondern kann eine Taste drücken und die Programmierung ermöglichen (kann abgeschaltet werden). Wenn Handbedienung aus ist, kann man es aber abklemmen.

Warum Einliegerwohnung? Wenn jemand in mein Netzwerk kommt (egal wie), kann er nicht programmieren. Dafür finde ich es schon gut.
Linienkoppler kommen ja eigentlich in den geschützten Bereich, sonst käme ja auch jeder gleich an die Hauptlinie, die dort mit am LK angeschlossen ist. Dann kommt da einfach das Sicherheitsmodul auch hin. In meiner vorherigen Wohnung hatte ich es in der Wohnung, womit diese Linie sicher war und nur ich programmieren konnte. Je nachdem, ob andere Hausbewohner vom programmieren ausgeschlossen werden sollen oder der Wohnungsnutzer.

Man muss halt schauen, was man sichern möchte. Wenn man möchte, kann man auch ein KNX-Gerät abnehmen und es an einer Spannungsversorgung und Schnittstelle umprogrammieren. Möglich ist da vieles. Dann kann man aber z.B. ein "In Betrieb"-Signal senden lassen und wenn das Gerät weg ist, abgenommen wurde o.ä., sich benachrichtigen. Das Sicherheitsmodul kann auch überwachen. Damit überwache ich Außengeräte.

Das BAU-Passwort kann also auch einen Vorteil haben, je nach Einsatzziel, welches man erreichen möchte und deckt natürlich im ersten Sinne kostenlos einen großen Teil der Sicherheit ab...

Mir ging es um den Einsatzfall "technische versierter Mieter, der an der KNX-Installation mal eben ohne Rückfragen mit dem Vermieter was ändern will" oder "technisch versierter Mieter, der nach einer Räumungsklage möglichst viel Schaden anrichten will und bei allen Geräten ein unbekanntes Bau-Passwort setzt"...

In gewerblich genutzten Objekten gäbe es ja ähnliche Angriffsszenarien, wo ich das MDT SAFE aber in einen zugangsgesicherten Bereich hängen könnte - das wird in einer Mietwohnung nicht ganz einfach.

(Klar, man kann nun sagen, das ist ja ein recht theoretischer Fall - aber es ist halt nicht völlig ausgeschlossen und es stellt sich schon die Frage, was gegen Bau-Passwörter plus ggf. MDT SAFE in solchen Fällen spricht - m.E. nichts... )