Michael Critchfield erklärt, warum ein Fernzugriff wünschenswert ist, welche Fallstricke es gibt und wie man ihn sicher gestalten kann.
KNX Secure, einschließlich IP Secure und Data Secure, bereitet den KNX Standard auf höhere Erwartungen und Vorschriften zur Cybersicherheit vor. KNX Secure unterstützt die sichersten Verschlüsselungsstandards nach ISO 18033-3, wie AES 128 CCM Verschlüsselung, um Angriffe auf die digitale Infrastruktur von Gebäuden effektiv zu verhindern. Mit IP Secure wird die IP-Kommunikation zwischen KNX Secure Geräten sicher gehalten, indem das IP-Protokoll so erweitert wird, dass alle ausgetauschten Daten vollständig verschlüsselt sind. Gleichzeitig schützt es mit Data Secure die Nutzerdaten durch Verschlüsselung und Authentifizierung vor unberechtigtem Zugriff und Manipulation.
KNX Installationen können gegen Angriffe geschützt werden, und heutzutage ist die Auswahl an KNX Secure-fähigen Geräten erheblich gewachsen. In bestehenden KNX Installationen, möglicherweise ohne KNX Secure, aber mit dem Komfort des Fernzugriffs, gibt es jedoch oft ein anderes dringendes Problem.
Fernzugriff
Der Fernzugriff auf Ihre KNX-Installation ist ein wunderbares Konzept, und keine neue Idee. Lange bevor Installationen die Vorteile von KNX IP Secure nutzen konnten, gab es die Forderung, den Zugang zu einer KNX Installation von überall auf der Welt zu ermöglichen – eine großartige Idee, wenn sie richtig gemacht wird.
Es gibt verschiedene Gründe, warum ein Fernzugriff wünschenswert ist. Erstens ist der Wechsel der Jahreszeit normalerweise ein wichtiger Zeitpunkt für Wartungsbesuche, da einige Teile der Anlage in den letzten Monaten nicht mehr in Betrieb waren. Es gibt zwar immer Elemente eines Systems, die eine Inspektion vor Ort erfordern, aber die Möglichkeit, Systeme aus der Ferne zu testen und zu unterstützen, bedeutet mehr Komfort für beide Seiten und geringere Kosten für Besuche vor Ort. Zweitens kann die Fernüberwachung durch den Systemintegrator dazu beitragen, Probleme zu erkennen und sie sogar vorherzusehen, bevor sie zu einem Problem werden. Und drittens können die Nutzer das Haus rechtzeitig für ihre bevorstehende Rückkehr gemütlich machen.
Lassen Sie die Haustür nicht offen
In der Vergangenheit wurde der Fernzugriff in einigen Fällen sozusagen durch das „Öffnen der Vordertür“ implementiert, d. h. durch unautorisierte Portweiterleitung über Port 3671 auf dem Netzwerkrouter – die einfachste Methode und mit geringen bis gar keinen zusätzlichen Kosten.
Es ist unwahrscheinlich, dass die Besitzer eines Netzwerks wissen, dass ihr Netzwerk-Router mit offenem Port 3671 eingerichtet ist. Dies würde zwar dem Besitzer einen Fernzugriff ermöglichen, aber wenn keine zusätzlichen Maßnahmen ergriffen werden, könnte auch jeder andere eindringen, indem er einfach die IP-Adresse der KNX Installation kennt. Wenn also das Netzwerk mit einer KNX Installation gekoppelt ist, können Personen mit schlechten Absichten über den Router Zugang erhalten und möglicherweise die Buskommunikation kontrollieren und verfolgen, es sei denn, KNX IP Secure und Data Secure sind vorhanden.
Die Zeiten haben sich geändert. Wir haben KNX Secure und wir wissen, dass es besser ist, den KNX Port 3671 nicht einfach weiterzuleiten. Zu den Optionen gehören die Aktivierung von KNX Secure, die Einrichtung dedizierter Netzwerke, Standard-Firewall-Protokolle und autorisierter Zugang zu Fernzugriffs-Gateways, die Verwendung von VPNs (Virtual Private Networks) oder sogar die Einrichtung eines BCU (Bus Coupling Unit)-Passworts für Ihre KNX-Installation als letzte Möglichkeit.
Zugegeben, der Aufwand ist im Vorfeld etwas größer, aber Sie werden es Ihnen auf lange Sicht danken.
KNX Sicherheitscheck
Die KNX Association ist ständig in Bewegung, um den KNX Standard zu erweitern und bessere und sicherere Lösungen auf den Markt zu bringen. Im Jahr 2024 haben wir den KNX Sicherheits-Check.
Mit diesem Tool können Sie Ihre eigene aktuelle IP-Adresse auf einen offenen Port 3671 überprüfen. Es dauert nur ein paar Sekunden – und Sie werden wissen, ob Sie sicher sind oder ob Sie jetzt handeln müssen.
Wenn es vom Benutzer ausgelöst wird, sendet das Security Check Tool eine KNXnet/IP Beschreibungsanfrage an den Port 3671 der aktuellen IP-Adresse des Benutzers. Im Idealfall, und in den meisten Fällen, wird die Anfrage vom Router des Benutzers ignoriert (Timeout), was bedeutet, dass keine Verbindung aufgebaut werden kann, keine KNX Installation gefunden wird und der Benutzer sicher zu sein scheint. Im schlimmsten Fall jedoch lässt ein Router, der so konfiguriert ist, dass er den Port 3671 offen hält, die KNXnet/IP Beschreibungsanfrage an die KNX Installation durch, und die IP-Schnittstelle antwortet mit der MAC-Adresse und dem Gerätenamen.
Das Tool richtet keinen Schaden an, aber das Ergebnis informiert den Benutzer darüber, dass Maßnahmen zur Sicherung der KNX-Installation ergriffen werden müssen.
Fazit
Führen Sie den KNX Sicherheitscheck um herauszufinden, ob Ihr Netzwerkrouter den Port 3671 geöffnet hat. Wenn dies der Fall ist, bietet das Security Check Tool, das in mehreren Sprachen verfügbar ist, hilfreiche Informationen darüber, was zu tun ist.
Michael Critchfield ist der ETS Produktmanager bei der KNX Association.
