Viele haben noch Bedenken sich für ein Smart Home zu entscheiden. Angst vor Sicherheitslücken und das heikle Thema Datenschutz, ist oftmals der Grund. Ganz so falsch liegen sie nicht: Technisch versierte Einbrecher könnten sich theoretisch in KNX-Systeme einschleusen und somit die Alarmanlagen und Türschlösser manipulieren. Vor allem durch neue Medien wie LAN und WLAN, also Geräten mit Internetzugang (IoT – Internet of Things), steigt das Sicherheitsrisiko in einem Smart Home. Aber ist es wirklich so einfach ein KNX-Bussystem zu hacken?
Wichtig ist vor allem die Verschlüsselung des KNX-Protokolls, des Internetzugangs und der Netzwerke. Auch der physische Zugang zu dem grünen KNX-Kabel muss außerhalb der Hacker-Reichweite liegen! Wir haben für euch einige Sicherheitsmaßnahmen zusammengestellt, die einfach umzusetzen sind und euer KNX-System schützen.
Sicherheitsmaßnahmen um das KNX-System vor unbefugtem Zugriff zu schützen
1. KNX-Protokoll mit Mechanismen verschlüsseln
- Data Security
- IP Secure
2. Physische Zugänge zum KNX-Kabel verhindern
- Für Geräte im Außenbereich ein eigenen KNX-Linie einrichten
- Sicherheitsrelevante Funktionen nicht über KNX schalten (beispielsweise die Haustür)
3. Internetzugang und Netzwerke verschlüsseln
- WLAN so sicher wie möglich machen
- Unterschiedliche Netzwerke (Haussteuerung / Surfen) trennen,
sog. VLANs einrichten (Erklärung zu VLANs weiter unten)
1. KNX-Protokoll verschlüsseln
KNX reagierte bereits auf die Sicherheitslücken ihres Systems im April 2015 und entwickelte zwei neue Sicherheitskonzepte: KNX Data Security und KNX IP Secure. Durch diese Sicherheitsprotokolle werden alle Datenpakete verschlüsselt gesendet und der Datenaustausch kann nicht mitgelesen bzw. manipuliert werden. Diese beiden Mechanismen ermöglichen den Aufbau eines gesicherten Kommunikationskanals.
Somit wird folgendes sichergestellt:
Datenintegrität
Unbefugter Zugriff wird verhindert. Manipulierte Meldungen von außerhalb können nicht mehr eingespeist werden. Ein Authentifikationscode wird an jede Meldung gehängt. Anhand dieses Codes lässt sich sicherstellen, dass die Meldung nicht verändert wurde und auch vom richtigen Kommunikationspartner gesendet wurde.
„Freshness“
Meldungen können nicht aufgezeichnet werden und zu einem späteren Zeitpunkt wieder abgespielt werden. Bei KNX Data Security übernimmt diese Aufgabe eine Sequenznummer, bei KNX IP Secure eine Sequenzidentifikation.
Vertraulichkeit
Ein Algorithmus (mittels einem symmetrischen Schlüssel) sichert den Netzwerkverkehr. Der Schlüssel wird vom Sender und Empfänger zur Verifikation und Entschlüsselung der Meldungen verwendet.
Weitere Informationen zu den KNX Secure Konzepten findet ihr im Positionspapier von KNX
2. Physische Zugänge zum KNX-Kabel verhindern
Haben Einbrecher einen unbeschränkten physikalischen Zugang zum grünen KNX-Kabel, können KNX-Telegramme abgegriffen werden. Mit einer speziellen Software könnte dann herausgefunden werden, welche Telegramme für welche Aktivitäten zuständig sind. Es könnten auch Telegramme abgefangen werden und zu einem anderen Zeitpunkt 1:1 wieder eingespielt werden (z.B. der Bewohner öffnet die Haustür).
Um dies zu verhindern, ist es nötig, technische Geräte außerhalb des Hauses nicht mit dem Bussystem im Inneren des Hauses zu verbinden. Nur so macht ihr es den potentiellen Einbrechern unmöglich in das intelligente Sicherungssystem einzugreifen. Zusätzlich sollten Geräte verriegelt werden und mit einem Linienkoppler der Verkehr begrenzt werden. Das bedeutet, die Geräte im Außenbereich können keine Telegramme zu anderen Geräten im Inneren des Hauses senden.
Wichtig für die Montage von Leitungen und Geräten:
KNX-Kabel
Hacker brauchen das grüne KNX-Kabel um sich mit dem Haus zu verbinden. Das Kabel sollte deshalb nicht zugänglich sein (dies ist v.a. auch für Unterverteilungen zu beachten, welche schnell vergessen werden)
Binäreingänge oder Tasterschnittstellen
Wenn konventionelle Geräte an nicht-überwachten öffentlichen Bereichen von Gebäuden genutzt werden, können geschützte Binäreingänge oder Tasterschnittstellen verwendet werden, um den Zugang zum KNX-Bus zu erschweren
Geräte außerhalb der Reichweite
Die KNX-Geräte im Außenbereich sollten am besten so hoch wie möglich installiert werden (Wetterstation, Windsensoren auf dem Dach)
Diebstahlschutzeinrichtungen
Angebotene Diebstahlschutzeinrichtungen von Applikationen und KNX-Komponenten sollten verwendet werden (Sicherung durch extra Schrauben, Spezialwerkzeug, etc.)
3. Internetzugang und Netzwerke verschlüsseln
Diese Maßnahme ist eigentlich selbstverständlich, denn nicht nur Einbrecher wollen euer WLAN hacken: Installiert euch eine gute Firewall! Falls ihr von unterwegs keinen Zugriff auf eure KNX-Funktionen benötigt, dann wird das KNX-System sowieso vom Internet abgekoppelt. Das wäre die sicherste Möglichkeit euch vor unbefugtem Zugriff zu schützen.
Wenn von extern doch ein Zugriff via Internet stattfinden soll, empfiehlt KNX folgendes:
VPN
Der Zugang zu KNX-Anlagen sollte über VPN Verbindungen aufgebaut werden. Dazu braucht ihr einen Router oder Server der VPN-fähig ist
Herstellerspezifische Lösungen
Man kann herstellerspezifische Lösungen verwenden (Apps/Visualisierungen, die einen Zugang über http mit anbieten)
ETS-Inside
KNX und das IoT (Internet of Things) – die Integration von KNX Web Services: Die neue KNX-Softwarevision „ETS Inside“ (ab Januar 2017) unterstützt das neue KNX Secure Konzept und wird einen standardisierten Zugang zu KNX Installationen über das das Internet anbieten.
Hohe Netzwerksicherheit
Für die Gebäudeautomation sollte ein getrenntes WLAN oder LAN Netzwerk mit eigenem Router verwendet werden. Nichtsdestotrotz müssen die üblichen Sicherheitsmechanismen für IP-Netzwerke angewandt werden.
Das bedeutet:
Netzwerk-Zugangsschutz und Passwörter
MAC-Filter anwenden und überall starke Passwörter verwenden
SSID ändern
Ändere die voreingestellten SSIDs deiner Access Points (SSID ist der Name, unter dem ein drahtloser Access Point sichtbar ist, meistens Hersteller und Typbezeichnung)
IP-Adresse ändern
Keine voreingestellten IP-Adresse für den KNX IP Multicast nutzen (voreingestellt: 224.0.23.12)
Netzwerkkonfiguration und weitere Schutzmaßnahmen
Optimiere stetig deine Netzwerkkonfiguration (Managed Switches, VLANs, Access Points) und nutze weitere Schutzmaßnahmen wie E-Mail-Filter und Anti-Viren-Schutz
Mit V-LANs (Virtual Local Area Networks) werden bestehende einzelne Netzwerke in mehrere logische Netzwerke unterteilt. Die Kommunikation der Netzwerke (VLANs) ist nur über einen Router möglich, der an die VLANs angeschlossen ist. Damit trennt ihr das Surfen im Internet von der Steuerung der Sicherheitsfunktionen wie eurer Haustür.
Wie kann ein Smart Home den Einbruchschutz verbessern?
- Anwesenheitssimulation: Das Smart Home zeichnet die Aktivitäten der Bewohner über einen bestimmten Zeitraum hinweg (z.B. eine Woche) auf. Ist die Simulation dann aktiviert, werden diese Vorgänge automatisch abgespielt. Dadurch entsteht der Eindruck, die Personen wären anwesend.
- Zustandsüberwachung: Durch Fensterkontakte, Erschütterungssensoren, Überflutungssensoren und Kameras, können exakte Daten zum Einbruch geliefert werden.
- Frühzeitige Detektion von Gefahren: Via App kann das Smart Home auch aus der Ferne kontrolliert werden. Auf einen Blick kann der Zustand des Fensters oder des Herdes abgerufen werden.
- Abschreckung: Bewegungsmelder, die das Licht im Garten einschalten sind nicht neu. Auch für Einbrecher nicht. Das Einschalten der Innenbeleuchtung jedoch schon. Als würde ein Bewohner auf den unerwünschten Gast im Garten reagieren, geht z.B. das Licht im Schlafzimmer an. Zusätzlich können die Gartenlautsprecher einen Ton abspielen, um die Einbrecher zu vertreiben.
Fazit
Das sind viele Möglichkeiten, die zum Schutz eures KNX-Systems beitragen können. Einige Maßnahmen sind schnell und einfach umzusetzen, andere brauchen ein gewisses Fachwissen oder auch einen Netzwerkexperten, um richtig und effizient das KNX-System vor unbefugtem Zugriff zu schützen.
Klar ist jedenfalls: KNX-Systeme sind nicht einfach zu hacken, wenn man einige Sicherheitsvorkehrungen trifft!
Ihr habt Fragen?
Schreibt uns einfach eine E-Mail oder hinterlasst ein Kommentar!
