Sicherheit vor was genau? Weil Du vorhast, Deine KNX-Installation per Port Forwarding ins Internet zu stellen?

Das wären im Zusammenhang Secure welche, wenn Sie Dir jetzt wichtig sind?

Im Privatbereich (Eigenheim) brauche ich kein Secure, macht die Geräte nur unnötig teurer und deren IBN und Austausch unnötig komplizierter. Die Sicherheit vor unbefugtem Zugriff von außen sollte bereits vorher greifen, z.B. durch die Nutzung von VPN (mit einer Fritzbox + Wireguard dauert das keine 5 Minuten) wenn man die Visu auf dem Smartphone braucht etc...
Grün maskierte Männer, die mit dem Laptop vor dem Haus darauf warten, einen BWM in 2m Höhe abzureißen um sich dort anzudocken und Geräte umzuprogrammieren, sind mir bisher auch nicht untergekommen.

Also im use case Eigenheim von mir klares Contra.

Haben ist. Besser als brauche, das reicht mir als Argumet.
Gruß Florian

Sehe den Nutzen nur im Bereich KNX-RF (und habe es dort nicht, weil gerade da eh keins der Geräte die ich habe Secure kann, und wenn wäre das dann wirklich der Punkt in dem ich die ETS6 mit Secure-Proxy nutzen würde).

Den einzigen Punkt den ich im verkabelten Bereich sehe: IT-Netz kompromittiert. Da dürfte dann aber in dem Moment auch keine ETS offen sein, damit der Key nicht eh offen liegt.

Aus meiner Sicht ist ein Sicherheitsmodul im EFH viel sinnvoller: Es schützt HW-Seitig (also nicht nur durch einen in Software vorliegenden Key) mit physischer(!) Freigabe vor Ort gegen Programmierangriffe durch kompromittierte IT.

Klar, wenn es de facto nichts kostet, dann ist haben besser als brauchen. Die Frage nach dem Nutzen ist, was die "Security" (DS) sichern soll:

1. Es gibt prinzipiell den Denial-of-Service-Angriff -- der geht trotz Data Secure (bspw. rot-schwarz kurzschließen). Wenn der Böse also das Haus anzündet und verhindern will, dass Du die Rollos hochmachst, um den Flammen zu entkommen, kann er das trotzdem.
2. Dann gäbe es noch die gezielte Ansteuerung von Außen: Haustür auf, Rollos hoch, Fenster hoch bis Licht an. Hier kann DS helfen, ist aber kein Garant. Wenn Deine Rollos nach Außenhelligkeit oder nach Ausfall der Wetterstation aufgehen, dann komme ich auch mit einer Taschenlampe oder einem Stein drum herum. Hier braucht es also eine kluge Auslegung der Installation, damit DS greift und nicht billig ausgehebelt werden kann.
3. Dann würde mir noch der Angriff von Innen einfallen: Deine Kinder, Deine Mieter, ein seltsamer Besucher, etc. die Zugang zur KNX-Installation im Haus haben und dort bspw. einen "Rouge Router" ans grüne Kabel hängen. Diesen Angriff könnte man unterbinden; allerdings kann auf diesem Zugriffslevel prinzipiell jedes Gerät auch einfach durch Drücken der Programmier-Taste übernommen werden.
4. Schlussendlich kommt noch der Angriff über Ethernet: Der Angreifer hat erfolgreich Dein Netzwerk gekapert (Wifi aufgebrochen, Firewall geknackt, offener Port ins Internet, Besucher der das Wifi-Passwort am Kühlschrank gefunden hat, klassischer "Rouge Router" am Haus-Netzwerk). Den Würde DS aufhalten, sofern Deine ETS-, HA-, OpenHAB-Installation auch DS nutzen UND selbst auch sicher gegen einen Angriff sind.

Unterm Strich finde ich die Angriffe, die DS wirklich aufhalten oder verlangsamen würde, sind sehr begrenzt und erfordern trotzdem eine durchdachte Sicherheitsarchitektur. Manche Angriffe lassen sich auch ohne DS unterbinden. DS allein bringt Dir im Zweifelsfall also gar nichts.

Port ins WWW freigeben deckt sich mMn nicht mit einem hohen digitalen Sicherheitsbedürfnis. Wer das einfach so tut ist selbst Schuld...

Das kann ich gar nicht unterschreiben. In meinem ersten Bauabschnitt war es +/- Geschäft. Die Schalt- und Jalo-Aktoren waren ein paar Euros teurer, dafür sind die Enertex Dimmsquenzer pro Kanal günstiger als MDT LED Controller. Da der Enertex 5 statt 4 Kanäle hat und wesentlich flexibler ist was die Leistung pro Kanal angeht sind es nur 4 Enertex statt 6 MDT geworden. Also auch weniger Netzteile, weniger Verkabrlung, weniger Platz im Verteiler. Insgesamt gerechnet war ich vllt sogar ein paar Euros günstiger trotz Secure.

Die Frage wäre, was hätte das gleiche (!) Gerät ohne DS gekostet. Das dürfte durchaus relevant sein, was Hardware und Software angeht plus QR-Code etc...

Oben wurden ja schon einige mögliche Gründe für den Einsatz von DS genannt. Als relevant bleibt für mich nur ein Angriff von innen übrig, den kann ich hier ausschließen.

Von außen kommt man nur per VPN rein, sollte heute hoffentlich Standard sein.

Hallo,

ich habe lange überlegt ob ich mich hier überhaupt beteiligen soll - zumal ich nicht ganz verstehe warum das Thema so emotional aufgeladen bei Dir daher kommt?

Ich denke wichtig ist die Risiko-Abwägung:
Wie wichtig ist Sicherheit (Level?) und welche Hürden (Preis, umständliche Programmierung, Archivierung,...) nimmt man dafür in Kauf.

Im folgenden meine private Einschätzung Deiner Argumente auf EFH Ebene:
zu - Sicherheit ist immer relativ (abhängig von der eigenen Risiko-Analyse), dass sich die EU hier (wieder mal einmischt) - Stichwort Cyber Resilience Act​ muss meiner Meinung nach nicht sein.
zu - spätere Aktivierung von DataSecure ja - aber für die zum Teil nervigen Abfragen in den Applikationsprogrammen kann ich pers. darauf verzichten
zu - Feature, den Punkt verstehe ich nicht, bzw. Sicherheit ist für mich kein "Feature" sondern da oder nicht da (je nach level)
zu - mögliche Funktionen, welche technischen Funktionen gehen ohne Sicherheit nicht. Für mich ist Sicherheit keine Funktion (funktionieren tun die Geräte alle
auch ohne Data Secure)
zu - User ärgern. Das passt meiner Meinung nach eher zu Deinen letzten Threads: Provokation - aber das hat meiner Meinung nach nichts im Forum zu suchen. Wir wollen uns "friedlich" über KNX und seine Problemchen/Möglichkeiten austauschen.

Gruß
Franc

Schwierig, wenn die Aktoren in Non Secure Variante schon nicht mehr verfügbar sind bzw. es sie nie Non Secure gegeben hat(Enertex Dimmsequenzer 5-fach).

Wenn du es grob "gleichrechnen" möchtest, kann ich nur mit den ach so günstigen MDT non Secure Aktoren vergleichen:
2x Gira 24-fach Komfort vs. 1x MDT 24fach + 1x MDT16-fach + 4-fach MDT Jalo waren bis auf ein paar Euro +/-0
4X Enertex Dimsequenzer 5-fach waren insgesamt 40€ mehr als 4x LED Controller 4-fach 4/8A
Jetzt kannst du stolz behaupten: Du hast recht! Ich habe THEORETISCH 40€ mehr geblecht. Schon echt heftige Mehrkosten

Praktisch war mein Projekt günstiger als mit MDT non Secure only. Das hat zwar nix mehr mit Secure zu tun, ist aber so. Den alleine wegen der Anzahl der Kanälen hätte ich 5 MDT LED Controller 4-fach 4/8Abenötigt. Das habe ich weiter oben schon ausgeführt...

Jetzt warte ich drauf bis du über Gira herziehst...

Für Dich...
Ich kann es aktuell auch ausschließen. Aber wer weiß schon was morgen oder übermann ist. Das gebrannte Kind scheut das Feuer...

Hallo

Da mein nächstes Projekt ein EFH ist, hatte ich mir heute früh die selbe Frage gestellt.
Diese Frage habe ich bei Copilot eingegeben und bin dann weiter auf folgendes gestoßen.

Was wird ab 2027 Pflicht?

1. Hersteller dürfen ab 2027 nur noch konforme, sichere Geräte verkaufen

Der EU‑Cyber Resilience Act (CRA) schreibt verbindliche Sicherheitsmaßnahmen für alle Produkte mit digitalen Elementen vor – darunter auch KNX‑Geräte.
Hersteller müssen ab 2027 ausschließlich Geräte mit verpflichtender Verschlüsselung und Secure‑by‑Design‑Standards anbieten. [i-magazin.com]
➡️ Alte KNX‑Geräte ohne Secure dürfen dann nicht mehr verkauft werden.



Also es werden in Zukunft nur noch Data Secure Geräte auf dem Markt kommen.
Und dann.... In 1 bis 2 Jahren könnte es passieren, dass die ETS bei neuanlegen eines Projekts ohne DS gar nicht mehr zulässt.
Dann ist diese Diskussion eh hinfällig.

​

wir schreiben über PRIVAT siehe Überschrift

Stimmt - überlesen und in meiner Rückmeldung korrigiert.

Danke!

Keine Ahnung was Du da vergleichst, die Logik erschließt sich mir nicht. Hersteller x ohne Secure mit altem Gerät und Hersteller y mit Secure und neuerem Gerät und dann noch unterschiedlicher Applikation und dann über den Preis sinnieren, ob das nun mit DS zu tun hat oder nicht....für mich Apfel-Birne.

Fakt ist: DS in ein Gerät zu implementieren kostet extra Geld in Form von Entwicklung, Hardware, Software und jemand muss am Ende auch noch den doofen QR-Code auf das Gerät kleben und Support leisten, wenn aufgrund DS beim Kunden Probleme entstehen. Ohne den ganzen Mehraufwand wäre das Gerät 100%ig günstiger (und unkomplizierter), Punkt.

Zum CRA: guter Punkt, dann werden werden wir (wieder mal) dank EU zum "Glück" gezwungen, einfach mehr Geld auszugeben. Bin gespannt, was da mit den ganzen Shellys, Saugrobotern & Co. passieren wird, die über chinesische Server kommunizieren und am Beispiel Saugroboter sogar exakte Kartierungen jedes Zimmers ins Reich der aufgehenden Sonne abliefern (und vielleicht noch mehr).

Da dürfte der Abverkauf ja bald losgehen...ich bin dabei, wenn ich als Privatanwender noch Geräte ohne diesen neumodischen und völlig überflüssigen Schrott günstig kaufen kann

Dies bezweifle ich stark weil dann würde es mega shitstorm geben... Kannst ja nicht alles alte funktionierende einfach entsorgen....

warum solange die verschlüsselt deine Daten dahin senden ist die EU doch glücklich 🎉
​

Auch wieder wahr