Auch der Geräte-Hersteller kann das nicht entfernen, siehe Thread mit den offenen Internet Ports und durch BCU Schlüssel unbrauchbar gemachte KNX-Geräte. ein Dienstleister hat die entfernen können.

MDT ignoriert gesetzte BCU-Passwörter.

Ist kein sinnvolles Sicherheitsfeature.

erster und relevanter Weg für mehr Sicherheit.
Denn er kann eben genau den Telegrammverkehr von wichtigen Geräten im Innenbereich außen unterdrücken und die Programmierung von Außen nach innen hin unterdrücken.
Das Risiko ist aber eh nur da wenn man davon ausgeht das Euer haus so interessant für Einbrecher mit Laptop und ETS ist oder Spaßfüchse die mal ein bissel mit Eurem Haus spielen wollen.

Wesentlicher ist das Ausfallrisiko der Inneninstallation durch klimatische Einflüsse auf die Außengeräte und gegen dieses Risiko hilft ebenso ein Linienkoppler.

Wenn die anzuschaffenden Geräte im Außenbereich es unterstützen, dann ist es als Schutz vor den IT-Einbrechern oder nerdy-Spaßfüchsen geeignet.

Es werden nur jene Telegramme verschlüsselt auf den Liniensegmenten bei denen alle mit der GA verbundenen Geräte Secure unterstützen.

MDT Safe Modul wäre eine weitere Stufe um die Programmierung auf/von der Außenlinie zu unterbinden.

Fernzugriff nur über vertrauenswürdige Portale oder eben VPN.
Im IP-Segment gerne auch ergänzend grundsätzlich KNX-Secure verwenden.

Der Linienkoppler, den du schon fast ausschließt, ist wohl die einfachste und effektivste Methode, deinen Bus zu schützen, sowohl vor Einbrechern, als auch vor etwaigen Umwelteinflüssen.

Vielen Dank für die hilfreichen Infos! Ich greif nochmal auf...

BCU
Das bedeutet, dass es nur für die Gira X1/S1/G1, Wetterstationen, etc. relevant ist. Ich stimme zu, dass es kein wirkliches "Sicherheitsfeature" ist, aber es macht aus meiner Sicht dennoch Sinn, zumindest die genannten Komponenten mitzusichern. Stimmt Ihr da zu?
Ich muss nur einen BCU Schlüssel wählen, diesen "backup'n" (Passwortarchiv, etc.) und die ETS zeigt mir dann alle Geräte an, die neue parametriert werden müssen?

Linienkoppler
Ich denke das Risiko ist in meinem Fall extrem niedrig. Aktuell will ich nur die Wetterstation aufs Dach bringen, dort wird vermutlich keiner Hochsteigen, die EIB-Leitung abklemmen und "rumspielen".
Da ich aber früher oder später plane, noch den Garten und Garage zu erweitern, macht es Sinn.
Generell ist der MDT Linienkoppler überschaubar im Preis, allerdings benötige ich noch eine 2. Spannungsversorgung.
Was meint ihr mit klimatischen Einflüssen? Z.B. Bus-Kurzschluss durch Regenwasser?

Erweiterung Safe-Modul
Ist es korrekt, dass meine zwei Linien dann sauber getrennt sind und die Telegramme entsprechend geflitert werden können, aber dennoch die "Außenlinie" für sich selbst "angreifbar" ist? Um das du verhindern müsste das Safe-Modul in die Außenlinie?
Da stell ich mir aber dann die Frage, ob nicht das Safe-Modul alleine aussreicht? Es verbietet ja Umkonfigurationen, etc. Natürlich sind dann die Telegramm "mitlesbar" und der Bus manipulierbar ("Aktorbefehle" schicken)
Das MDT Safe-Modul ist allerdings kein Secure-Gerät. Könnt ihr gute Alternativen empfehlen?

Ja klimatische Einflüsse alles was geeignet ist Plaste und Dichtungen mit der Zeit oder adhoc kaputt zu machen und dann die dahinterliegende Elektronik zu schaden. Das ist weitaus häufiger der Fall als so ein Störenfried mit ETS Laptop.


Die Trennung und nur illegale Programmierung einer Linie bewerkstelligt schon der Linienkoppler. Das Safe Modul verhindert jedwede Programmierung auf/via der Linie wo es montiert ist

​​​​Das mit dem BCU lass sein ob Safe Modul ja nein kommt eben drauf an wie hoch Du die Gefahr von bösen ETS Laptopbesitzern einschätzt.

Mir wäre es zu nervig erst diverse Sicherheitskomponenten zu bearbeiten bevor die eigentliche Änderung eingespielt wird. Der LK macht das alles ohne zusätzliche Aktivitäten.

Ich schließ die Wetterstation am abgedichteten Kabel direkt im Satellitenmast an, mithilfe von Quetschverbindern und nochmal Schraumpfschlauch. Das ganz ist dann mit der Kathrein Wetterschutzkappe halbwegs sicher. Ich hoffe nicht, dass ich Probleme bekomm, aber natürlich weiß man nie

Linienkoppler
D.h. die Programmierung der Linie Innen ist nur von "innen" möglich und die Linie Außen kann aber dennoch von "außen" programmiert werden, also nur die Geräte die Außen hängen? Sonst wäre das Safe Module ja überflüssig...
MDT LK und Spannungsversorgung ist mit ca. 200 € überschaubar.

TKS
Das Gira TKS ist vermutlich von Haus aus sicher genug? Sprich wenn, natürlich wieder Worst Case Szenario, jemand die Außenstation demontieren würde hängt er direkt im TKS-Bus, kann aber ohne "Sys-Prog" z.B. keine Türöffnung anlernen, etc.? Oder ist die ganze TKS unverschlüsselt?

Klingt auf jeden Fall mal nach einem guten Vorgehen!

@Offtopic:
Ich habe vorhin im Zuge des LKs eine weitere Linie für Außen angelegt, folgende Übersicht:
1 Hauptlinie
-- 1.1.X Innen (TP)
-- 1.2.X Außen (TP)
-- 1.0.1 Gira G1 (IP)
Generell konnte ich nicht auf mein G1 zugreifen per ETS. Vor dem Umbau war es ohne PA. Ich dachte das die Konfiguration "irgendwann" mal ging, da GPA eine G1 Temperatur angezeigt hat. Im GPA war allerdings der falsche DP zugeordnet...
Ich habe es gemäß Forum-Themen-Recherche jetzt auf 1.0.1 gehängt (wie Gira Doku auf Hauptlinie). Jetzt passt alles mit den Medientypen und das "Programmierung" wird überhaupt angezeigt, allerdings schlägt es fehl.
Es wird immer vom KNX-IP Router (entspricht LK) gesprochen auf z.B. 1.1.0. Ich habe keinen KNX-IP Router, nur X1 und S1. Können diese die Routing-Aufgabe übernehmen?

So ein Blitz in der Nähe interessiert sich da wenig für und so manche WS rupft es mal bei Wind runter und dann ist da auch die halbe Elektronik blank. Es geht nicht nur um die Klemmstelle der grünen Leitung, das da mal Kondensat rein tropft.

Ja der Linienkoppler kann eben verhindern, das Telegramme die außen nix zu suchen haben da gar nicht erst hingelangen und das man von Außen nicht nach innen programmieren kann aber von innen nach außen. Wenn Du an die Grüne Leitung auf'n Dach ne USB Schnittstelle stöpselst kannst dann aber die WS umprogrammieren. Wenn das auch nicht sein soll, dann das Safe Modul. Das musst dann aber auch erst deaktivieren wenn du von innen nach außen die WS verändern willst.

Die Topologie passt so nicht.
1 ist ein Bereich keine Linie, der Name Hauptlinie passt also nicht.
1.0.x mit 1.0.1 G1 ist eine Hauptlinie.
Die als Medium IP angelegt erfordert dann aber zwei KNX IP Router als Koppler je TP Linie 1.1.x und 1.2.x auf jeweils x=0.

Im üblichen EFH ist gut und günstig die Hauptlinie im Medium TP anzulegen, da die Innengeräte rauf zu packen und als 1.1.x Linie die Außenlinie zu nutzen.

Einen G1 als KNX-IP Gerät mit doch sehr begrenzten Funktionsumfang muss man wollen. Dann muss der aber in einem IP-Bereich und es braucht einen KNX-IP Router auf der Hauptlinie auf 1.0.0 um den G1 zu erreichen. Als Alternative ist der G1 gar nicht in der Topologie zu finden und der ist nur Bildschirm für eine X1 Visu die deutlich mehr Funktionen abbilden kann und Türsprechgegenstelle.

Programmierschloss von Lingg und Janke.

Das kann ich so nicht nachvollziehen. In Zeiten wo Schlüssel aus dem 3D Drucker kommen wäre ich da vorsichtig.
Aktuell verbaue ich öfters Schließzylinder von Simons Voss. Da bin ich sehr zufrieden mit und halte sie für sehr sicher.

Ich halte das Thema Secure im Privatbereich für völlig überbewertet.

Die bösen Hacker und Spielkinder sitzen irgendwo anonym mit einer Tüte Chips im Gamingzimmer und scannen nach offenen Ports, die fahren nicht in der Gegend rum und suchen grüne Leitungen an Häusern. Und wenn man, wie oben schon genannt, einen Zugriff von außen nur über VPN macht (bei einer Fritzbox in 10 Minuten erledigt mitsamt Smartphone), dann ist das nach heutigem Stand sicher. Im Gewerbebau, Hotels und öffentlichen Einrichtungen etc. ist das was anderes, da hat das seine Berechtigung.

Eigene Aussenlinie plus LK, kleine 160mA KNX-SV reicht meist dicke und damit ist auch die galvanische Trennung incl. Rückwirkungsfreiheit gegeben.

Ich würde da, und auch das wurde schon genannt, eher in Richtung Einbruchschutz / Alarmanlage investieren. Die meisten Fälle sind halt immer noch klassisch per Brecheisen etc., und im schlimmsten Fall geht neben den Wertsachen das leicht zu erbeutende KNX-Equipment dann einfach mit in den Sack.

Vielen Dank für die Rückmeldungen 👍
​​
Das ist natürlich korrekt, auch wenn ich das Risiko gering einschätze.

Wie genau meinst du das? Ich habe tatsächliche zwei EIB Leitungen (eine als Backup, die erste mit rot/schwarz als Bus und gelb/weiß VS). Die Gira Wetterstation Plus bietet aber eben nur genau diese vier Anschlüsse.

Ja, die 1.0.X ist die Hauptlinie und 1.X.X der Bereich. Die Bezeichnung ist unglücklich. Hab mich an der Doku zum G1 von Gira orientiert...
Topologie.png
Ohne KNX-IP-Router also keine Verbindung zum G1, zurück zu meiner Frage: Der X1 ersetzt die "Router-Funktion" nicht (nur reines Tunneln)?

Mit dem begrenzten KNX-Funktionsumfang vom G1 ist natürlich zu überlegen ob sich ein KNX-IP-Router wirklich lohnt. Wenn es mir wirklich wichtig wäre, bräuchte ich einen KNX-IP-Router 1.1.0 für "Innen" und einen 1.2.0 für "Außen". Da aber z.B. der G1 nicht mit den Geräten von "Außen" kommunizieren muss, würde auch ein normaler LK reichen auf 1.2.0?
Das wäre dann wie in #13 oder? Der Post wurde nie abschließend beantwortet...

Ich denke das ist heutzutage auch Sicherheitsaspekten auch vollkommen vertretbar. Ob es qualitativ sicherer ist als ein Sicherheitsschließzylinder zu bewerten ist, kann ich nicht beurteilen. Aber wie dreamy1 schon sagt, das ist nicht der klassische Einbruchsweg.

Ja, da hast du recht... Schon gleich garnicht, wenn die "grüne Leitung" auf dem Dach ist und mit Schrumpfschlauch als UV-Schutz noch schwarz ausschaut 😊😉
Man darf es wirklich nicht zu kritisch sehen und den Fokus mehr auf die Rückwirkungsfreiheit bzgl. Umwelteinflüsse legen.

Korrekt der X1 hat IP Interface Funktion dabei.

Du kannst schon mit dem G1 arbeiten dann aber den G1 als Visu-Client für den X1, dann kann er mehr bedienen und taucht gar nicht in der ETS auf.

Egal welche Koppler verbaut sind, reden können die Geräte alle miteinander, die Koppler müssen halt nur zu den Geräten/Topologie passen.

Auch ein RF-Aktor auf der RF-Linie 8.12.x kann mit einem TP-Taster auf einer Linie 3.6.x und natürlich auch mit einem IP-Gerät auf der Linie 5.2.x reden. Alles nur eine Frage der richtigen Einstellungen in den Kopplern.

naja die Zusammenfassung ist korrekt und es findet sich kein Fragezeichen im Text. Da war daher kein Grund noch weiter was zu kommentieren.