Wer so bescheuert ist, das man über KNX wirklich einbrechen könnte, dem hilft auch die beste Verschlüsselungstechnik 0,0nix - es wäre wieder mal der Faktor Mensch.
Und wie sicher, die ach so sichere IT-Technik ist, ist ja auch hinlänglich bekannt.

Mal angenommen, das System wurde von Leuten errichtet, die wissen was sie tun, hast Du max. diese Etage lahmgelegt.
Bei grösseren Hotels der jüngeren Jahre, ist es nur dein eigenes Zimmer.

Natürlich gebe ich Dir dahingehend Recht - hat der menschliche Faktor Mist gebaut, würde er das auch hinsichtlich "sicherer" Technik machen.

Der unbedarfte Kunde hat ganz andere, realistischere u. existenzbedrohlichere Szenarien als ausgerechnet seine Hausautomation - trotz Verschlüsselung und pipapo werden sensible Daten überall rumverstreut, eingegeben u. weitergeleitet.

Und es gibt wesentlich einfachere, unauffälligere Methoden als einen Kleincomputer irgendwo zu installieren, um viel grössere Effekte zu erzielen.

In 15 Jahren gibts wieder die D-Mark ?
Spaß bei Seite.

Klar, hier wird ja auch immer bekräftigt, man soll den BWM außen nicht an KNX anbinden. Aber die Internetanbindung der Visu ist natürlich ganz wichtig, weil ich möchte unbedingt Unterwegs das Licht einschalten um meine Frau zu ärgern. Das braucht kein Mensch und das ist auch mit Sicherheit oft sehr unsicher umgesetzt. Da sollte man die Kunden darauf hinweisen, dass es eine Schwachstelle ist und nicht die unnötigen Vorteile in den Vordergrund stellen. Ein Smart-Home soll doch das Leben erleichtern und ist nicht dazu da, den Kontrolltick zu befriedigen ob auch wirklich alle Fenster geschlossen sind und jedes Licht ausgeschalten ist.
Das macht es viel gefährlicher, da man ja von überall drauf zugreifen kann.

Es gibt auch vermehrt Geräte, die über IP an KNX angebunden sind obwohl es gar nicht nötig wäre. Da sollte man auch gut überlegen inwieweit es überhaupt nötig ist dieses Netzwerk mit dem Netzwerk, das für den Internetzugang benützt wird, zu verbinden.

Auf der Straße sterben viel mehr Menschen als im Luftverkehr, wir brauchen uns also über die Sicherheit der Flugzeuge überhaupt keine Gedanken machen.

So in etwa klingt das. Man kann doch nicht das eine klein reden nur weil andere Bedrohungen größer sind.
Allerdings gebe ich dir recht, die Gefahr ist gar nicht nur, dass man vielleicht irgendwie an die KNX Leitung kommt, sondern viel mehr, dass man über die IT Netze in den KNX Bus kommt, das geht dann nicht nur mit Equipment aus China, sondern das geht sogar aus China.

Man kann diskutieren, erklären, absichern - und dann kommt der Mensch
Türe öffnen über KNX

Merkt man was?

Ist das Tür öffnen über TKS sicherer? Der Bus ist neben der Haustür.

Sicher ist nur der Tot.
Alles ist zu knacken und immer nur eine Frage des Aufwandes und der Kosten.
Zudem muss es schnell gehen.

Türe über KNX zu öffnen: macht doch Sinn und wem's zu unsicher ist, der soll sich noch Türkontakte zur Überwachung installieren. Wem dies immer noch nicht reicht, soll sich nen Wachhund vor die Türe stellen

Gefühlt 50 % der deutschen Haustüren kriegt man mit einem Siedle-Schlüssel und einer Büroklammer als Kurzschlussbrücke auf - vollkommen spurenfrei und in ca. 60 Sekunden.

Bei den TüKo-Bussystemen beruht die "Sicherheit" im zweifelsfall darauf dass die Protokolle nicht öffentlich sind und sich noch niemand mit einem mittelprächtig ausgestatteten Elektronik-Hobbyraum ernsthaft mit diesen TüKo-Bussen beschäftigt hat. Die Leute die hier im Forum proprietäre Heizungs- oder Photovoltaik-Protokolle auseinanderdividieren würden das wahrscheinlich auch mit den (üblicherweise RS 485-Derivaten bei den) TüKo-Bussen hinkriegen.

Back2Topic:

Instabus / EIB / KNX (nachstehend KNX) hatte bislang nie den Anspruch, "sicher" (im Sinne von Security) zu sein. Wer Zugriff auf den Bus (egal ob über TP oder über IP) hat ist da Gott und kann machen was er will. Die Definition von KNX geht zurück bis 1990. Internet war damals Thema von Science Fiction-Romanen, IP war was für Cracks, Standortvernetzungen liefen über ISDN und in den Firmen war ein 80486 mit einer 40 MB-Platte DER (i.d.R. Novell-) Server für X User. Achja, Netzwerke gab es auch schon, in der mittleren Datentechnik meistens Twinax, ansonsten 10 Base 2 oder Token Ring, seltener ArcNET.

KNX war damals State of the Art, heute würde man sicher vieles anders machen, andererseits hat der gute alte KNX ein paar Features von denen heute noch einige andere Gebäudeautomationssysteme träumen:

• Zentrale Konfiguration über ETS
• Eine Zertifizierung die die Kompatibilität der Geräte sicherstellt
• Abwärtskompatibilität - mit der ETS5 kommt man immer noch und problemlos an eine Anlage ran die vor 20 Jahren errichtet wurde - und die KNX Association wacht mit Adleraugen darüber dass das auch in Zukunft so bleibt

Das Alles mag für den typischen Forenuser dessen Wahrnehmungshorizont sein Traumhaus ist nicht wirklich spannend sein, für einen Planer / Systemintegrator oder einen Bauherren der gewerbliche Gebäude hochziehen lässt sind das durchaus Argumente - zumal gute Planer / Systemintegratoren um die Nicht-Sicherheit von KNX wissen und beim Systemdesign Massnahmen ergreifen dass der KNX doch einigermassen sicher wird.

All das was diese Superhacker da heute mit KNX abziehen lässt sich mit relativ einfachen Massnahmen weitestgehend in den Griff kriegen - und das nicht erst seit heute.

Ansonsten beweisen diese Superhacker - im Chor mit ihren Claqueuren aus der "IT-Fachpresse" - bestenfalls dass man mit einem Panzer auch über eine Telefonzelle drüberfahren kann. Dass die Werbenutten der "IT-Fachpresse" auf KNX nicht gut zu sprechen sind ist klar, die KNX-Hersteller schalten keine Inserate bei denen, die vermarkten auf einer anderen Schiene, im Gegensatz z.B. zu den Zigbee- und Z-Wave-Klitschen die wiederum in der Elektrobranche keinen Fuss auf den Boden kriegen - aber für deren ach so sichere Funkprotokolle es mittlerweile auch diverse Angriffsvektoren gibt - warum die aber nicht in vergleichbar epischer Breite in der Fachpresse ausgewalzt werden kann sich jeder mal selbst überlegen.

Und dann sollte man auch mal sehen dass diese Supersecurityspezialisten die da alle paar Wochen mit Unterstützung der IT-Fachpresse doch immerhin den Nachweis führen dass ein System welches quasi keine Sicherheitsmechanismen hat dann doch völlig unerwartet unsicher nach allen möglichen Aspekten der modernen Security ist ganz uneigennützig nebenher auch noch Schulungen anbieten https://www.antago.info/akademie/schulungen/

Solange hier im Forum aber (wegen der "Kosten" oder der "Kompliziertheit") rumgenölt wird wenn man z.B. empfiehlt, KNX im Aussenbereich in einer eigenen Linie (mit Filtertabellen usw.) zu isolieren oder wenn man darauf hinweist dass es nicht wirklich clever ist, den KNX oder die Visu per Portforwarding für die ganze Welt aufzumachen solange brauchen wir hier doch nicht über Sicherheit oder Unsicherheit von KNX zu diskutieren. Kein System ist sicher wenn ein Angreifer direkt darauf zugreifen kann PUNKT.

"Sicherer" KNX wird kommen, auf der Light + Building 2016 wird die ETS das können, so mit Zertifikaten und TLS und allem anderen Schnickschnack aus der grossen Crypto-Grabbelkiste. Meine Einschätzung dazu: Es wird dann noch zig Jahre dauern bis man alle Funktionen mit Komponenten abdecken kann die das können und selbst wenn es kostenneutral für alle Funktionen die Geräte gibt werden das die wenigsten User aktivieren weil es ach so kompliziert ist. Genau diese Mechanismen gibt es heute schon für Netzwerke (LAN, WLAN, WAN) - und effektiv genutzt werden sie vielleicht in 1 % der Installationen, meistens bei richtig grossen Buden oder Firmen die wirklich derartige Absicherungen brauchen, da gibt es dann auch eine eigene Abteilung mit qualifizierten Leuten die sich den ganzen Tag um nix anderes kümmern und die das Thema von A-Z im Griff haben. Alle Anderen kaufen sich eine Flasche Schlangenöl (AKA "Virenscanner") und halten das für "Security". Naja, man kann auch einen Spoiler an einen Trabbi schrauben, wenns gefällt oder gefühlt hilft ...

Bei dem Thema Sicherheit geht es immer um Risiko Abschätzung. Wie hoch ist das Risiko, dass jemand versucht mein Bus System zu hacken? Welchen Vorteil hätte er davon bzw. welchen Gewinn(Geld) könnte er damit erwirtschaften? Das Risiko halte ich im Bereich Einfamilienhaus für sehr gering. Solange der Stein im Garten oder der mitgebrachte Schraubenzieher günstiger und schneller ist, wird mit sicherheit darauf zurückgegriffen werden.
Wenn ich natürlich eine Villa habe und mein Tresor sich per KNX öffnen lässt, dann fällt die Risiko Einschätzung anders aus.

Und was wollen die Leute in China mit meinem Bus anstellen? Mir das Licht an und aus machen und die Rolladen hoch und runter fahren? Das ist natürlich Lustig, aber ich bezweifle, dass sich dafür jemand die Mühe macht.

Habt Ihr mal den Text gelesen: " die Experten Dominik Schneider und Wojtek Przibylla vom IT-Sicherheitsunternehmen ERNW"

Mich würde da vielmehr stören, wenn ich da lesen würde, daß Hinz & Kunz das System KNX mal eben in 2 Minuten durch die geschlossene Tür knackt.

Aber hier braucht es schon etwas Ahnung, zu wissen, daß ich einen Raspberry kaufen muß, mich mit Linux mehr als nur etwas auskennen muß und dann noch
die Strukturen von KNX kenne, ganz zu schweigen davon, zu erkennen, welches Gerät an welcher Außenwand KNX fähig ist.
Und dann muß ich noch Glück haben, daß der Hauseigner nur 1 Linie in seinem System am Laufen hat.... und, und, und....

Derjenige, der sowas kann und weiß, der braucht doch nicht einbrechen ! Der sollte genug verdienen und auch bekommen, oder sich dann gleich auf Online-Banking knacken spezialisieren.

Gruß
Andreas

Ich finde das ja mal eine interessante, informative Plattform. Vielleicht sollte Ich da auch mal so einen "Sicherheit" Artikel schreibe. ich finde es nämlich ungeheuerlich dass heutige Kühlschränke nicht mit biometrischen-zertifikatgesichertem-Sicherheitsschloss versehen sind, denn bei den heutigen Modellen genügt ein physischer Zugang um die Lebensmittel mit Rattengift zu vergiften. Von der Waschmaschine über die man die Kleidung mit Anthrax verseuchen könnte will Ich gar nicht mal sprechen.

Aber im Ernst, beim Thema Visu per Internet find Ich es schon ein starkes Stück dass einige Visus da immer noch erhobenen Hauptes auf HTTPS verzichten.

Und was machst du wenn einer der Experten ne Anleitung schreibt mit der das auch Hinz & Kunz schafft?

Den Artikel sollte man meiner Meinung als konstruktive Kritik sehen und nicht als Blödsinn abstempeln bzw. sich darüber lustig zu machen.

Naja. Bullshit bleibt Bullshit, auch wenn er von Experten kommt die sich eine Pfründe sichern wollen.

Die Anleitung gibt es im Prinzip auch schon, die verwenden mit ziemlicher Sicherheit alle einfach geradeaus den EibD vom Kögler und der ist ganz ordentlich dokumentiert.

Haus ist da doch langweilig. Das Auto sollten die sich mal angucken. Das ist der gefährliche Kram der Firmware per Bluetooth etc. von außen ermöglicht. Seit Michael Hastings "Unfall" sicher der größere Schrecken.

Deswegen seh ich die Gafahr auch nicht dabei, dass jemand die Tür öffnen kann, weil wie du auch sagst, das geht viel einfacher. Allerdings nicht unbedingt so geräuschlos.
Der KNX Bus ist nur angreifbar, wenn man drauf kommt und wenn das übers Internet geht, dann ist es eben nicht ausgeschlossen, dass es irgend jemand ausnutzt. In China oder sonst wo wird es natürlich keiner genau auf dein Haus abgesehen haben, aber wenn man damit tausende Haushalte oder gar Frimen lahmlegen kann, könnte es schon sein, dass sich jemand die Mühe macht.
Oder das naheliegendere, ein Junge aus der Nachbarschaft, der sich einen Spaß erlauben will.
Ich sehe keinen Nutzen darin, dass ich von überall auf das SmartHome zugreifen kann.

Dann nenne ich das Anstiftung zu Einbruch und Sachbeschädigung.

Klar hast Du recht, das ist nicht wirklich lustig, aber solange sich die Kollegen Einbrecher bevorzugt noch mit Schraubendreher Zugang zu Häusern verschaffen,
weil es eben schnell gehen muß, so lange mache ich mir weniger Sorgen um Ganoven, die mit Laptop und viel Wissen bewaffnet, mein Anwesen plündern könnten.

Gruß
Andreas