Liebe Kollegen,
immer wieder führe ich die gleichen Diskussionen, nämlich darüber, ob die KNX-Installation sicher ist. Der Gedankengang, dass es ausreicht, ein VPN (virtuelles privates Netzwerk) zu haben, ist leider nicht ganz korrekt. Auch der Glaube, dass dank des VPNs der Port 3671 von der IP-Schnittstelle nicht im Netz ist bzw. aus dem Netz erreichbar ist, kann trügerisch sein.
Denn was passiert, wenn plötzlich ein anderes Gerät im vermeintlich sicheren Netzwerk ein »Loch« in der Firewall macht und diese dann nicht mehr den vollen Schutz gewährleistet?
Ich schreibe schon seit einigen Jahren darüber, dass es beim Port 3671 zu Problemen kommen kann. (https://i-magazin.com/cyberangriffe-auf-knx-systeme/) – schon bevor es die ersten Hacking-Angriffe gab.
Was kann man also machen, damit die Anlage sicher ist?
Allem voran ist es wichtig, den Bau-Schlüssel zu vergeben. Dies ist der der BCU-Schlüssel, den man benötigt, um das jeweilige Gerät zu programmieren, oder auslesen zu können. Aber es gibt noch weitere Möglichkeiten, um die Sicherheit der Anlage zu gewährleisten: Mit einem Programmierschloss wird verhindert, dass Telegramme blockiert werden, die für die Programmierungen verantwortlich sind. Diese Programmierschlösser können über eine Gruppenadresse aktiviert und deaktiviert werden. Manche Hersteller haben dieses Schloss als KNX-Secure-Bauteil – damit ist das Deaktivieren und Aktivieren auch komplett sicher.
Wenn wir schon dabei sind, es gibt schon sehr viele KNX-Secure-Geräte von den Herstellern, die man auf jeden Fall auch aktivieren sollte. Ein Mischbetrieb von KNX-Secure und Unsecure-KNX-Geräten ist kein Problem. Was heute nicht KNX-Secure ist, kann schon morgen durch Austausch von einem Bauteil Secure werden. Deswegen sollte man die KNX-Secure-Funktionalität aktivieren.
Weiters ist es wichtig, den Fremdzugriff nur zeitlich begrenzt und mittels VPN bzw. Secure Remote-Zugriffslösungen abzusichern.
Was bereits im Grundkurs schon ein großes Thema ist, sind die Bereichskoppler, Linienkoppler und das Aktivieren der Filtertabellen. Diese sollen nicht auf Weiterleiten geschaltet sein, sondern müssen als letzter Schritt beim Kunden auf Filtern eingestellt sein.
Vor allem bei dem Thema Linien, wo Dritte leichten Zugriff auf die Linien bekommen, sollten eigene Linien bzw. Bereiche errichtet werden.
Leider lese ich auch immer wieder von Experten, die nur nachplaudern und sich nicht komplett mit Weitblick mit diesen Themen befassen. Deswegen ist Weiterbildung das Wichtigste, um am Stand der Technik zu bleiben. Nur so könnt ihr auch aktuelle Erkenntnisse zeitnah erfahren. Zertifizierte Schulungsstätten können euch hierbei unterstützen und Support anbieten. Schon ein eintägiger KNX-Auffrischungskurs reicht, um up to date zu bleiben.
Die Short facts zusammengefasst
1.) Projektpasswort
2.) BCU-Schlüssel (BAU-Schlüssel)
3.) KNX-Programmierschloss
4.) KNX-Secure-Funktionalität aktivieren
5.) Zugriff nur über VPN oder Remote Access-Lösungen
6.) Port 3671 nicht vom Internet erreichbar machen
7.) Filtertabellen in Bereichs-/Linienkopplern aktivieren
8.) laufende Schulungen im Bereich KNX besuchen (z.B. www.KNX-Training.at)
9.) und meinen Blog unter www.e-necker.at abonnieren 😉
Euer Mario Pascal Necker
Mario Pascal Necker ist allgemein beeideter und gerichtlich zertifizierter Sachverständiger für Gebäudeautomatisierung und Gebäudetechnik EIB\KNX EU-Sachverständiger für KNX gemäß EN17024
Mobil: 01 2531767
E-Mail: mpn@e-necker.at
www.e-necker.at
www.knx-training.at