Michael Critchfield erklärt, warum Fernzugriff wünschenswert ist, welche Fallstricke es geben kann und wie man ihn sicher gestaltet.
KNX Secure, das sowohl IP Secure als auch Data Secure umfasst, bereitet den KNX Standard auf höhere Erwartungen und Vorschriften zur Cybersicherheit vor. KNX Secure unterstützt die sichersten Verschlüsselungsstandards nach ISO 18033-3, wie z.B. die AES 128 CCM Verschlüsselung, um Angriffe auf die digitale Infrastruktur von Gebäuden effektiv zu verhindern. Durch IP Secure wird die IP-Kommunikation zwischen KNX Secure Geräten sicher, indem das IP-Protokoll so erweitert wird, dass alle ausgetauschten Daten vollständig verschlüsselt werden. Gleichzeitig schützt es mit Data Secure die Nutzerdaten durch Verschlüsselung und Authentifizierung vor unberechtigtem Zugriff und Manipulation.
KNX-Installationen können gegen Angriffe geschützt werden, und heutzutage ist die Auswahl an KNX Secure-fähigen Geräten deutlich gewachsen. In bestehenden KNX Installationen, möglicherweise ohne KNX Secure, aber mit dem Komfort des Fernzugriffs, gibt es jedoch oft ein anderes dringendes Problem.
Fernzugriff
Fernzugriff auf Ihre KNX Installation ist ein wunderbares Konzept und keine neue Idee. Lange bevor Installationen die Vorteile von KNX IP Secure nutzen konnten, gab es die Forderung, den Zugriff auf eine KNX Installation von überall auf der Welt zu ermöglichen - eine großartige Idee, wenn sie richtig gemacht wird.
Es gibt verschiedene Gründe, warum ein Fernzugriff wünschenswert ist. Erstens ist der Wechsel der Jahreszeit normalerweise ein wichtiger Zeitpunkt für die Durchführung von Wartungsbesuchen, da einige Teile des Systems in den letzten Monaten möglicherweise nicht mehr in Betrieb waren. Es gibt zwar immer Elemente eines Systems, die eine Inspektion vor Ort erfordern, aber die Möglichkeit, Systeme aus der Ferne zu testen und zu unterstützen, bedeutet mehr Komfort für beide Seiten und geringere Kosten für Besuche vor Ort. Zweitens kann die Fernüberwachung durch den Systemintegrator dazu beitragen, Probleme zu erkennen und sie sogar vorherzusehen, bevor sie zu einem Problem werden. Und drittens können die Nutzer ihre Wohnung rechtzeitig für ihre bevorstehende Rückkehr komfortabel gestalten.
Lassen Sie die Haustür nicht offen
Historisch gesehen wurde der Fernzugriff in einigen Fällen sozusagen durch das "Öffnen der Vordertür" implementiert, d.h. durch unautorisierte Portweiterleitung über Port 3671 auf dem Netzwerkrouter - der einfachste Ansatz und mit geringen bis keinen zusätzlichen Kosten.
Es ist unwahrscheinlich, dass die Eigentümer eines Netzwerks wissen, dass ihr Netzwerkrouter mit offenem Port 3671 eingerichtet ist. Dies würde zwar dem Eigentümer den Fernzugriff ermöglichen, aber ohne zusätzliche Maßnahmen auch jedem anderen, der die IP-Adresse der KNX-Installation kennt, den Zugang ermöglichen. Wenn also das Netzwerk mit einer KNX Installation gekoppelt ist, könnten Personen mit schlechten Absichten über den Router Zugang erhalten und möglicherweise die Buskommunikation kontrollieren und verfolgen, wenn nicht KNX IP Secure und Data Secure vorhanden sind.
Die Zeiten haben sich geändert. Wir haben KNX Secure und wir wissen, dass es besser ist, den KNX Port 3671 nicht einfach weiterzuleiten. Zu den Optionen gehören die Aktivierung von KNX Secure, die Einrichtung dedizierter Netzwerke, Standard-Firewall-Protokolle und autorisierter Zugang zu Fernzugriffs-Gateways, die Verwendung von VPNs (Virtual Private Networks) oder sogar das Setzen eines BCU (Bus Coupling Unit)-Passworts für Ihre KNX-Installation als letzte Möglichkeit.
Zugegeben, der Aufwand ist im Vorfeld etwas größer, aber Sie werden es Ihnen auf lange Sicht danken.
KNX-Sicherheitscheck
Die KNX Association ist ständig in Bewegung, um den KNX Standard zu erweitern und bessere und sicherere Lösungen auf den Markt zu bringen. Im Jahr 2024 haben wir den KNX Security Check veröffentlicht.
Mit diesem Tool können Sie Ihre eigene aktuelle IP-Adresse auf einen offenen Port 3671 überprüfen. Es dauert nur ein paar Sekunden - und Sie wissen, ob Sie sicher sind oder jetzt handeln müssen.
Wenn der Benutzer dies auslöst, sendet das Sicherheitscheck-Tool eine KNXnet/IP-Beschreibungsanfrage an Port 3671 der aktuellen IP-Adresse des Benutzers. Im Idealfall, und in den meisten Fällen, wird die Anfrage vom Router des Benutzers ignoriert (Timeout), was bedeutet, dass keine Verbindung hergestellt werden kann, keine KNX Installation gefunden wird und der Benutzer sicher zu sein scheint. Im schlimmsten Fall jedoch lässt ein Router, der so konfiguriert ist, dass er den Port 3671 offen hält, die KNXnet/IP Beschreibungsanfrage an die KNX Installation durch, und seine IP-Schnittstelle antwortet mit ihrer MAC-Adresse und dem Gerätenamen.
Das Tool richtet keinen Schaden an, aber das Ergebnis informiert den Benutzer, dass Maßnahmen zur Sicherung der KNX-Installation ergriffen werden müssen.
Abschluss
Lassen Sie den KNX Security Check laufen, um herauszufinden, ob Ihr Netzwerkrouter den Port 3671 geöffnet hat. Wenn dies der Fall ist, bietet das Tool Security Check, das in mehreren Sprachen verfügbar ist, hilfreiche Informationen darüber, was zu tun ist.
Michael Critchfield ist der ETS Produktmanager bei der KNX Association.
