Warum geht hier eigentlich jeder davon aus, dass das ein offener Port aus dem Internet ist?
Hier werden Schuldige gesucht, anhand stupider Vermutungen…

Vielleicht ist es auch nur ein lumpig geschütztes oder gar offenes WLAN, wo man sich einfach an die Straße stellt und dort Chaos anrichtet? Da nützt der bestgeschützte Router nichts.
Eventuell sogar von jemandem, der Kenntnis von der Materie hat; ggf. ein alter Dienstleister, der eventuell nicht beglichene Rechnungen herumliegen hat?
Vielleicht kommt es auch irgendwo „Inhouse“ her, von einem gefrusteten Haustechniker, der physikalisch Zugang zu dem KNX hat?

Denn mal ehrlich: wer hat die Muße, aus Spaß an der Freude im Internet nach offenen Ports zu fahnden, sich die ETS zu besorgen, die Topologie nachzubauen (ohne die programmiert man halt keine Geräte), und diese stundenlange Arbeit durchzuführen, um jemandem zu schaden, den man weder kennt, eventuell noch nicht einmal weiß, wo die Anlage sich überhaupt befindet?

Und das wichtigste: derjenige kann überhaupt keinen Profit aus der Sache ziehen!

Meistens gibt es ja ein Motiv, jemandem Schaden zuzufügen. Manchmal aus Rache, aber auch aus Habgier. Klar gibt es auch ein paar Bösewichte, die aus Spaß an der Freude mit wenig Aufwand irgendwas hacken oder zerstören; der Aufwand jedoch dies in einer KNX-Anlage mit Nachbau einer unbekannten Topologie, mitunter bei unbekanntem Standort und Eigentümer „einfach mal so“ zu machen, halte ich für äußerst unwahrscheinlich.

Wurden schon Details geklärt wie, wer übernimmt die Kosten? Wer hatte die Idee mit der Weiterleitung? Wurde auf die Risiken hingewiesen? Hat die IT etwas heraus gefunden? Usw? Oder sagt der Kunde "mit egal mach neu!"?

Das Gute daran ist: wieder ein Projekt mehr ohne offenen Port ins Internet.

Konnte denn ein Verantwortlicher gefunden werden, der den Port aufgemacht hat?

Gibt es hier jemanden, der die Rechtslage bewerten kann? Aus meiner Sicht ist eine Portweiterleitung im Jahre 2021 grob fahrlässig. Dafür müsste doch jemand haftbar gemacht werden können?

Alle drei Hersteller, die Geräte im Projekt haben, konnten das Passwort nicht auslesen. Die Geräte, deren Austausch bei irgendwo >40k Materialkosten liegt, müssen zwangsläufig ersetzt werden.

Das mag funktionieren wenn alle Komponenten dazwischen mitspielen.

Wenn dein Provider aber intern auch NAT einsetzt und die Tabelle voll ist verhungert Dein Sprach Paket auf dem Rückweg.

Also wegen mir gibt es Konstellationen wo es auch ohne funktioniert, aber grundsätzlich kann man das meiner Meinung nach so nicht behaupten.

Bei meiner 3CX habe ich übrigens keine einzige Portweiterleitung und ich bin trotzdem über die App erreichbar.

Dann brauchst du auch keine Portweiterleitung.
(Eine Telefonanlage ist auch nur ein Sip-Client nach außen)

Was ist, wenn Du keine Telefonanlage hast, sondern dein PC der Sip Client eines externen Anbieters? So einfach ist das für Otto Normalverbraucher nämlich nicht.

[OT]
Das kommt jetzt schon zum vierten mal.
In der Standard-Konstellation (Telefonanlage drinnen / SIP-Provider draußen ) werden KEINE Portweiterleitungen von draußen nach drinnen benötigt!

(Die braucht man nur wenn man externe Clients (Telefone) anbinden will, und das macht man besser per VPN)

damit kommt man halt schnell an Grenzen, zum Beispiel wenn der sip Client ein softphone am PC ist

Naja, wenn Du telefonisch über SIP erreichbar sein möchtest, muss die Anlage natürlich auch von extern erreichbar sein, daran wird sich nichts ändern lassen...

Systeme, die frei aus dem Internet erreichbar sein müssen, (wie zum Beispiel eine SIP-Anlage) sollten immer in einem möglichst isolierten Netz stehen.
Warum? Weil bei einer Sicherheitslücke ein potentieller Angreifer das System übernehmen könnte, und dann von hier aus auf weitere Systeme "springen"
Daher sollte es von diesem Netz keine ausgehende Regeln in sensible Bereiche (wie deine KNX-Schnittstelle) geben.

Für Systeme die nur von Dir aus dem Internet erreicht werden sollen, ist der VPN-Tunnel das Mittel der Wahl.

Dein WLAN-Passwort und auch das Passwort für den VPN-Zugang sollte entsprechend komplex sein. Mindestens 12 Zeichen, Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen zufällig generiert. Und wenn das Passwort an Dritte ausgegeben wird, weil die Sonntags immer zum Bier trinken kommen und das Netz im Keller zu schlecht ist, dann gilt diese Zone genau so unsicher wie wenn sie aus dem Internet erreichbar ist.

Damit haben es potentielle Angreifer in der Regel für einen Privathaushalt ausreichend schwer, zumindest von außen!

Ich kenne das zero trust Prinzip, aber lässt sich das mit KNX umsetzen? das war teilweise schon meine Frage oben

Suche einfach mit der Suchmaschine deiner Wahl nach "zero trust prinzip".

Ich habe sogar auch eine Portweiterleitung auf einen IP Router laufen. Der Kunde weiß davon und es das Gerät läuft im secure Mode. Mal sehen wie sicher das auf Dauer ist.

Ich denke schon, dass das als Generalaussage für den Otto-Normal-Verbraucher ohne IT Hintergrund taugt. Wer in der Lage ist, einen VPN Server sicher und vernünftig aufzusetzen und auch versteht, was er da tut, der kann auch das Risiko einer Portweiterleitung einschätzen bzw entsprechende Maßnahmen zur Absicherung ergreifen.

Prinzipiell hast Du natürlich Recht, dass ein Port zu einem gesicherten VPN Server eher Mal weitergeleitet werden kann, als zu einer IP Schnittstelle ohne jegliche Sicherheitsmechanismen.

Nächstes Problem ist, dass viele denken, sie könnten das Risiko einschätzen. Es gibt ja sooooo viele IP-Adrressen im Internet, da wird man schon nicht zu finden sein.