22. Nov 2021
Nachdem die KNX Association jahrelang davor gewarnt hat, Netzwerkports offen zu lassen, hat sie kürzlich bekannt gegeben, dass es Berichte über gehackte Systeme gibt. Auch wenn alle modernen Projekte sicher eingerichtet wurden, gibt es immer noch unzählige ältere Projekte, die möglicherweise auf weniger sichere Weise installiert wurden. Daher müssen wir alle etwas tun, um dafür zu sorgen, dass wir sowohl die KNX-Endbenutzer als auch den Ruf der Branche schützen.
Die gute Nachricht ist, dass es unzählige Möglichkeiten gibt, eine KNX-Installation sicher zu machen und dennoch für Benutzer und für Wartungsaufgaben den Fernzugriff zu ermöglichen. Es ist sogar möglich, das System innerhalb des eigenen Anwesens zu sperren, was beweist, dass KNX eines der sichersten Systeme auf dem Markt ist.
Bevor wir uns die Möglichkeiten zur Sicherung eines KNX-Systems ansehen, wollen wir uns uns kurz die Probleme anschauen, damit wir alle auf dem gleichen Stand sind.
Ungesicherte KNX-Systeme
Angenommen, Sie nutzen die Standardports (3671) oder die Multicast-Adresse (224.0.23.12) an einer IP-Schnittstelle oder einem Router, können Sie die gleichen Ports in der Firewall öffnen und das KNX-System wird auf diese Weise sofort von außen zugänglich. Ohne zusätzlichen Schutz, wie z. B. dass nur Verbindungen von einer bestimmten IP-Adresse akzeptiert werden, kann jeder mit grundlegenden Hacker-Tools die offene Verbindung finden und möglicherweise Zugang zum KNX-System erhalten. Wenn diese Verbindungsmethode aus irgendeinem Grund die einzig mögliche Option ist, hilft sogar schon der einfache Wechsel von den Standardports. Diese Verbindungsmethode sollte jedoch nach Möglichkeit vermieden werden - zumal es viel bessere Möglichkeiten für den Fernzugriff gibt.
VPN-Zugang
Eine seit langem bewährte Methode für den sicheren Fernzugriff ist die Einrichtung eines VPN (Virtual Private Network) als sicheren Tunnel in das System. Sobald Sie sich authentifiziert haben, um eine Verbindung herzustellen, sind Sie effektiv lokal im Gebäude und können alle erforderlichen Änderungen vornehmen oder Apps oder Visualisierungen steuern.
Eine Möglichkeit zum Einrichten eines VPN besteht darin, einen Netzwerkrouter mit einem integrierten VPN-Server zu verwenden. Bei den meisten Installationen, bei denen hausintern mehrere Systeme installiert sind, beispielsweise AV, CCTV und KNX, ist es wahrscheinlicher, dass das Netzwerk komplett verwaltet werden und der Router die VPN-Verbindung herstellen kann. Bei kleineren Installationen oder wenn der Hausbesitzer nicht bereit ist, einen besseren Router als das Standardgerät des Internetdienstanbieters zu installieren, wird eine andere Lösung benötigt.
In diesem Fall ist es möglich, im Haus einen separaten VPN-Server zu installieren. Ein gutes Beispiel dafür ist der Gira X1, der über einen integrierten OpenVPN-Server verfügt. Die Installation ist recht einfach, wobei die einzige größere Schwierigkeit darin besteht, dass am Router einige Ports geöffnet werden müssen. Im Gegensatz zum direkten Öffnen von Ports zu einer KNX-Schnittstelle oder einem Router benötigt der X1 jedoch Anmeldeinformationen, um einen unbefugten Zugriff zu verhindern. Über den X1 und den OpenVPN-Server ist es möglich, nicht nur den Fernzugriff für die X1-App zuzulassen, sondern auch auf Geräte im restlichen Netzwerk zuzugreifen, z.B. auf das KNX-System oder eine CCTV-Kamera.
Cloud- oder objektbasierter Fernzugriff
Es wird von vielen Herstellern unterstützt und funktioniert ähnlich wie ein VPN, aber anstatt eines Tunnels werden ein lokales Gerät und eine sichere Website genutzt, um den gesamten Datenverkehr in und aus der Installation zu verschlüsseln. Weil das Gerät die erste Verbindung aus dem Gebäude heraus herstellt, entsteht ein sicherer Pfad. Dies bedeutet, dass keine Konfiguration im Netzwerkrouter erforderlich ist. Durch das Ausführen einer Anwendung auf einem Remote-Computer oder mittels Anmeldung über die sichere Website kann man auf die Netzwerkgeräte innerhalb des Hauses zugreifen.
Dafür gibt es verschiedene Anwendungen:
Gira S1 - ein dediziertes Gerät für den Fernzugriff. Es wird in ETS konfiguriert und stellt nach der Einrichtung eine sichere ausgehende Verbindung zum Gira-Portal her. Es kann nicht nur für E-Mail-Benachrichtigungen und Fernprogrammierung verwendet werden, vielmehr kann es auch in die Visualisierungslösungen Gira X1 und Gira HomeServer integriert werden, sodass die Endanwender leicht und sicher eine Verbindung mit ihrer Installation herstellen können.
Jung IP Interface - mit dem Erwerb einer Lizenz können Jung IP-Schnittstellen schnell für den Fernzugriff von Programmiergeräten am KNX-Bus konfiguriert werden. Es wird über ein ETS-Plugin und mit der Option des Fernzugriffs für den Hausbesitzer konfiguriert. Dies ist eine großartige Möglichkeit für die Fernwartung des Systems, insbesondere wenn kein separater KNX-Server verwendet wird.
Basalte Core Mini - verlagert die Fernverbindung von einem eigenständigen Busgerät, denn das Basalte Core mini verfügt über diese Funktionalität. Zusammen mit den Basalte Live Cloud-Services bietet dies eine sichere Fernverbindung für die Programmierung und Benutzersteuerung. Und wenn Sie eine lokale IP-Schnittstelle haben, kann es auch zum Programmieren von KNX-Geräten eingesetzt werden.
Dies sind nur einige Beispiele. Die meisten KNX-Hersteller bieten jetzt eine Methode an, um ihre Produkte und das weitere KNX-System sicher mit der Außenwelt zu verbinden.
KNX Secure
Die vorgenannten sicheren Verbindungsmethoden sind gut etabliert und werden seit vielen Jahren genutzt, um den Schutz von Projekten zu gewährleisten. Aber es gibt einen weiteren Weg. KNX Secure bietet zwei weitere Methoden, um ein Projekt zu sichern, und da alle Hersteller diese Verfahren unterstützen, wird es schnell zum De-facto-Ansatz. Darüber hinaus bietet es die Möglichkeit, mehrere Sicherheitsebenen zu implementieren, wodurch ein Hacken von KNX nahezu unmöglich wird.
KNX Data Secure
Die erste ist KNX Data Secure, mit der Geräteobjekte eine Sicherheitsebene erhalten. Mithilfe von branchenüblichen Sicherheitsalgorithmen werden die Anwendungsdaten anhand von Schlüsseln in einem KNX-Telegramm codiert, die von den Geräten gemeinsam genutzt werden. Es ist ein großartiges Werkzeug, um wichtige Daten auf dem KNX-Bus zu sichern und zu verschlüsseln, aber auch, um den gesamten Bus unlesbar zu machen, sofern man nicht das Projekt mit den Schlüsseln hat.
KNX IP Secure
Die andere Methode ist KNX IP Secure. Bei diesem Ansatz wird das vorhandene KNX IP-Telegrammwiederum nach einem branchenüblichen Ansatz in eine Sicherheitsdecke gepackt. Die primäre Anwendung besteht darin, die Kommunikation zwischen zwei oder mehr IP-Routern zu verschlüsseln, die zum Erstellen eines IP-Backbones genutzt werden. KNX IP Secure kann auch genutzt werden, um den Datenverkehr von ETS oder externen Systemen zu einem IP-Router oder einer IP-Schnittstelle zu verschlüsseln, wodurch die gesamte IP-Kommunikation sicher wird.
Fazit
Es könnte so einfach sein, ein sicheres Gerät für den Fernzugriff hinzuzufügen oder von Grund auf ein System zu entwerfen, das die Vorteile mehrerer Sicherheitsebenen nutzt. So oder so, wenn Sie die Sicherheit als Schlüsselkomponente in das System integrieren, sorgen Sie dafür, dass Ihre Kunden, Ihr Unternehmen und der Ruf des KNX-Systems geschützt sind. Es ist außerdem eine großartige Gelegenheit, alte Projekte zu überarbeiten und nicht nur die Sicherheit, sondern auch den Rest des Systems zu aktualisieren. Dadurch wird sichergestellt, dass auch ältere Projekte geschützt werden, und es ist eine großartige Gelegenheit, wieder mit alten Kunden in Kontakt zu treten.
Bei so vielen Möglichkeiten, ein KNX-Projekt abzusichern, gibt es tatsächlich keine Entschuldigung dafür, die KNX-Projekte Angriffen auszusetzen, seien es vergangene, gegenwärtige oder zukünftige. Wenn wir alle mithelfen und für unsere Kunden das Richtige tun, dann sind wir auch als Branche geschützt.
Mark Warburton ist Direktor von Ivory Egg (UK) Ltd, einem Anbieter von führenden KNX-Produkten und Anbieter von KNX-Schulungskursen.