Ein weiterer Grund mdt zu kaufen jedes Gerät kannstvdu normal in werkszustand versetzen nur die verbauten KNX gerät.

...und wieder ein Pluspunkt für MDT

Ich empfinde Hersteller, die secure konsequent ignorieren nicht als Plus Punkt. Aber dies ist die Meinung des Autors und nicht die Meinung des Forums.

Und ich sehe keinen Pluspunkt für Hersteller die selbst ihre eigene Securefeature nicht zurücksetzen können. Meine Meinung.

Ich denke man muss zwischen gewerbliche/öffentliche und private KNX-Installation unterscheiden:

Ich brauche als Privatmann dieses secure-Geraffel nicht, es macht alles nur noch komplizierter und teurer. Wenn ich schon sehe, was das für ein Akt ist, so ein Gerät in Betrieb zu nehmen und was da gerade anscheinend noch an Bugs in der ETS 6 dazukommt, wird mir schlecht. Ich will gar nicht dran denken, was ein simpler Austausch eines secure-Gerätes gegen ein anderes bedeutet und wenn da auch noch irgendwelche Programmiersuppresiva (Sicherheitsmodul, Programmierschloss...) im Einsatz sind...und wenn diese mal defekt sind.

Ein IP-Interface oder ähnliches gehört nicht ohne Schutz (VPN) ins öffentliche Internet, genauso wenig wie ein NAS oder irgendein anderes Gerät. Wenn man das berücksichtigt, braucht man auch kein Bauchweh haben. Bis vor einem halben Jahr hatte mein KNX überhaupt keine Verbindung zum Internet, dann kam das MDT VC Easy und ich habe in der Fritzbox plus Smartphone in 10 Minuten VPN per Wireguard aktiviert, das ist doch heute alles sehr einfach.

Ich werde jedenfalls Hersteller möglichst meiden, bei der sich secure nicht einfach abschalten lässt!

Na man muss schon unterscheiden. Wenn ich Sicherheit haben möchte, dass niemand meine Installation mit eigenen Geräte manipuliert, dann ist dafür Secure geeignet. Aber einen fehlenden Werksreset als Sicherheits darfzustellen halte ich für falsch.

Für den privatbereich sehe ich es wie dreamy1 da brauche ich Secure eher nicht. In einem Hotel oder anderen öffentlichen Gebäuden sieht das sicher anders aus. Und da wo Secure auch im EFH sinnvoll wäre gibt es keine bzw nur kaum Geräte mit entsprechendem Support (RF).

Kleine Ergänzung: Für die IP Verbindung wäre Secure tatsächlich immer interessant. Das muss man notfalls nur ein Gateway tauschen.

Diebstahlschutz ist dann nochmal eine andere Sache...

Also ein Zugang zum Gebäude ohne Secure halte ich schon für Grenzwertig.

Es gibt auch im Privatumfeld Dinge, die ich lieber über Secure abbilde.

Meinst Du im EFH? Ich habe da null Bauchweh: physikalisch kommt man -zumindest bei mir- nicht ohne Leiter an eine grüne Leitung und übers Internet komme ich nur per VPN auf die IP-Schnittstelle (in meinem Fall das MDT VC Easy II). Und meinen Gästen vertraue ich, da hat ganz sicher keiner ein Laptop mit der ETS dabei, um mich zu ärgern. Wo liegt da ein potentielles Risiko?

Hast du da ein Beispiel? Vielleicht übersehe ich ja etwas :-)

Ganz einfach,
Zugänge, EMA, GMA, alles was irgendwie für Sicherheit sorgt und trotzdem ins KNX soll.

Beispiel aus der Praxis:
Kunde ruft mich an und fragt warum auf seinem TV die Meldung kommt, dass sich "Hans Wurst" angemeldet hat.
Ich bin dann vor Ort gefahren und habe geschaut.

Prima war es. Er hatte ein offenes Gäste WLAN mit Authentifizierungscode. Nachbars Junge wusste das Login.
Blöd nur der Kunde dachte er wäre IT-Fit. Das Gäste WLAN war im Multicast mit dem Privat Netzwerk verbunden. Der Junge hatte kompletten Zugriff auf alle Geräte inkl. KNX.
Mit IP oder gar Data Secure wäre das nicht passiert.

Zudem kommt der Tag, wo die erste Versicherung nach einem Einbruch nach den Türzugriffs Geschichten fragt.

Für mich ( ich hafte als Gewerbetreibender dafür ) steht fest: Alles was mit Sicherheit und somit mit Versicherung zu tun hat, ist Secure.

Du darfst nicht immer von deiner Anlage ausgehen. KNX ist nicht nur "für sich selbst". An deinem Auto würdest du auch so einiges machen, was eine Werkstatt niemals machen würde.

Z.b. Impulsgeber für das Motorschloss. Hänge ich lieber an einen Secure Aktor, der eine Secure GA vom Homeserver bekommt.

Beleuchtfix Hast ja nicht unrecht. Ich find's trotzdem nicht gut gelöst, weil jedes Parametrieren den Schlüssel im Klartext sendet, und somit einem Angreifer in die Hände spielt. Mit vier Bytes ist die Wahrscheinlichkeit dass ein Brute-Force zum Ziel führt über ein paar Monate gar nicht mal so klein, und ein Angreifer hat, anders als der legitime Besitzer, Zeit. Vor allem weil der Brute-Force still stattfinden kann. Der Schaden, sollte der Angriff erfolgreich sein, ist wahrscheinlich bei einem Gewerbe auch höher, weil zusätzlich zu den eigentlich zu schützenden KNX Geräten auch noch der Ausfall / die negative Presse finanzielle Nachteile bedingt.

Das Szenario, wo man nur während der Baustelle schützen möchte, und dann die Anlage dann nicht mehr parametriert wird (bzw. wo alles vom Fachmann eingerichtet ist, und somit der Besitzer einen Schuldigen finden kann, sollte sich doch wer am Netzwerk zu schaffen machen), ist tatsächlich für das Bau-PW geschaffen.

Der Einstellung von hjk kann ich viel abgewinnen. Der Schaden, der durch das Bau-PW angerichtet werden kann, ist größer als der Nutzen. Insofern finde ich es gut, dass MDT es ignoriert. Wenn das Bau-PW besser umgesetzt wäre (z.B. eben keine Klartextübermittlung mehr nach dem initialen Setzen), dann würde ich es als generell nützlich empfinden, aber so ...

Nicht falsch verstehen - secure hat durchaus seine Berechtigung. In einem Hotel, wo in jedem Zimmer ein Zugang auf den KNX Bus ist, ist es schon wichtig, dass es die Möglichkeit gibt, das zu unterbinden. Aber ein Kennwort, welches ohne physikalischen Zugriff gesetzt, und auch mit physikalischem Zugriff nicht mehr entfernt werden kann, geht für mich generell in die falsche Richtung.

Genau das, was ich in meinem Post oben auch moniere. Das ist eben, generell in der IT, das Problem.

Hmmm...um das zu manipulieren, müsste man bei nicht-secure ja auf den Bus kommen. Kommt man bei mir nicht?

Warum in der IT???

Hier im Forum liest man oft Elektrik und wundert sich.
Im Auto Forum wundern sich die Leute über deren „Helden“
Im Auquristik Forum wundern sie sich über deren Leute
usw…

Geiz ist geil oder „Es ist doch mein Hobby“.
Ist ja auch okay soweit nur wenn es nicht für ein selbst ist kommt eine Haftungsfrage dazu.

Hier versuche ich geschützt zu sein. Eine Anlage, die am Netzwerk hängt und durch mich errichtet wurde schütze ich vor Bedienfehlern. Der Kunde richte sein WLAN selbst ein und lässt es komplett offen.
Ich möchte hier eine Rechtsfrage umgehen und schütze mein Teil.


dreamy1
Du fährst ein E Auto und beschwerst dich warum Benzin verkauft wird. Keiner verlangt von dir das du es kaufst. Trotzdem benötigt der Markt Benzin.
Du siehst hier und da immer mal wieder nur deine Situation.

ps. Keine Ahnung ob du ein E-Auto fährst.

Also das kann ich 100% nachvollziehen!

Wie schon geschrieben sehe ich Secure auf der Schnittstelle schon als Vorteil auch für ein eng. Man hat ja auch so recht viele Geräte wo man auch nicht mit Sicherheit sagen kann was die machen.
aber datasecure ist dann doch schon wieder so eine Sache.