Wie sicher ist Ihr Smart Home?
Die Verbindung zu über 20.000 Smart Homes mit Loxone Miniservern, dem Gira X1, HomeServern und einer Vielfalt von KNX IP Interfaces gibt uns die einzigartige Möglichkeit, zusammen mit unseren Usern eine tiefgehende und umfangreiche Recherche zu betreiben. So haben wir herausgefunden, wie sie die mobile Smart Home App unterwegs nutzen, wie Systemintegratoren die Häuser Ihrer Kunden aus der Ferne programmieren und wie Smart Home-Besitzer unseren Sprachsteuerungs-Service verwenden.
Wenn Sie eine App für die Fernsteuerung Ihres Smart Homes nutzen, Ihr Systemintegrator Ihr Zuhause aus der Ferne wartet oder Sie unser Cloud Produkt nutzen, haben Sie wahrscheinlich eine Portweiterleitung eingerichtet.
Was ist eine Portweiterleitung?
Die Portweiterleitung ist eine Technik, mit der ein Gateway oder ein ähnliches Gerät die gesamte eingehende Kommunikation von einem bestimmten Port zu einem ausgewählten anderen Port auf jedem internen Netzwerkknoten überträgt. Portweiterleitung erlaubt einem externen Quell-Netzwerk oder System, sich mit einem internen Quellport zu verbinden, der sich für gewöhnlich mit dem Internet und einem internen privaten LAN verbindet. Portweiterleitung ist auch als “Port-Mapping”, “Tunneling” oder “Punch-Through” bekannt.
Wie hoch ist das Risiko?
Es gibt komplexe Techniken, um alle Ports auf einer zugewiesenen IP-Adresse zu scannen - darüber kann herausgefunden werden, wo der genaue Service sitzt. Über das Netzwerk können Ihre Ports markiert und ihr Status gecheckt werden, was Hackern theoretisch den Versuch und auch den Aufbau einer Verbindung mit Ihrem Smart Home Gateway ermöglicht.
Jedoch gibt es beim Gira X1, Gira Homeserver und Loxone Miniserver immer noch eine Authentifizierung in Form von Username und Passwort, die für die Verbindung mit dem Gateway des Zuhauses benötigt werden. Aus Sicherheitssicht ist es somit schwerer anzugreifen als Ihre E-Mail Adresse oder Social Media Account.
Auf der anderen Seite setzen sich die meisten User mit einem KNX IP Interface, die Portweiterleitung verwenden - viele von ihnen greifen auf das Netzwerk von außen in der gleichen Weise zu - einem großen Sicherheitsrisiko aus. Da es vom Gateway aus keine zusätzliche Authentifizierungsmethode gibt, kann die Verbindung zum Gateway sofort hergestellt werden, sobald der offene Port gescannt ist.
Worauf hat ein Hacker Zugriff, wenn er eine Verbindung zum Smart Home aufbaut?
Nun, das hängt von der Art Ihres Smart Home Gateways ab. Aber in jedem Fall bedeutet es eine Menge Arbeit und wenig Ausbeute für den Hacker, so dass diese Vorkommnisse höchst selten sind.
Ganz allgemein gesprochen: Wenn keine sensiblen Geräte dem Angriff ausgesetzt sind (wir empfehlen eindringlich, keine Schlösser, Alarmanlagen, Türen- oder Fensteröffner usw. mit dem Smart Home Gateway zu verbinden), ist das Schlimmste, was passieren kann, dass der Hacker das Licht an- und ausschaltet oder die Jalousien hoch- und runterfährt.
Mit dem Gira X1 und Gira Homeserver (wenn KNX IP-Ports nicht weitergeleitet werden), ist dies definitiv das Schlimmste, was passieren kann.
Wenn die Verbindung beim Loxone Miniserver einmal mit dem richtigen Usernamen und Passwort eingerichtet ist, ist Ihr Loxone Config auch frei zugänglich. Die Loxone Config ermöglicht den Zugang zur Rekonfigurierung Ihres Smart Homes - in der Theorie bedeutet dies, dass Ihre Konfigurierung beschädigt und Ihre Smart Home Funktionen zerstört werden können. Es ist daher sehr wichtig, dass sich Username und Passwort in der Loxone App vom Admin Benutzerkonto unterscheiden.
Die Exponierung von KNX IP Interface Usern ist die sensibelste. Hat der Hacker einmal eine Verbindung aufgebaut, können nicht nur die Devices gesteuert, sondern auch mit etwas mehr Aufwand das ganze Smart Home so konfiguriert werden, dass es nicht mehr funktioniert.
Wie kann ich Portweiterleitung vermeiden?
In den meisten Fällen gibt es Lösungen, die die Vermeidung von Portweiterleitung ermöglichen, aber sie hängen davon ab, was Sie erreichen wollen. Also davon, ob es sich um den Aufbau einer sicheren Fernsteuerung von einer App aus handelt, Sie unsere Sprachsteuerung verwenden, oder Smart Homes für Kunden aus der Ferne auf sichere Weise programmieren wollen.
Portweiterleitung bei Sprachsteuerung vermeiden
Sie können Portweiterleitung bei der Nutzung unseres Produkts für die Sprachsteuerung vermeiden, indem Sie entweder unsere 1Home Box direkt bestellen oder selbst bauen (DIY). Die 1Home Box ermöglicht eine zugewiesene verschlüsselte Verbindung zwischen einem Smart Home und dem 1Home Cloud-System. Es ist nur über Devices zugänglich, die ein individuelles 1Home Zertifikat installiert haben.
Portweiterleitung bei Fernsteuerung und Programmierung vermeiden
VPN
Die gängigste Technik zur Vermeidung von Portweiterleitung, um Fernsteuerung und Programmierung abzusichern.
Was ist ein VPN und wie funktioniert es?
Die gängigste Implementierung einer VPN Lösung nutzt Passwort-geschützte Zertifikate, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt werden. Ein Kunde braucht zunächst ein Zertifikat (das er bekommt oder erstellt), welches dann auf seinem lokalen Rechner oder Telefon installiert wird. Wenn die Verbindung mit dem konfigurierten VPN-Server hergestellt ist, muss das Zertifikat im “Handshake”-Prozess präsentiert werden. Basierend auf der definierten VPN-Server-Konfiguration bekommt der Kunde mit dem vorgezeigten Zertifikat Zugang zum entsprechenden Teil des zugrunde liegenden Netzwerks.
Wie nutzt man ein VPN?
Als Smart Home Besitzer haben Sie eine App auf Ihrem Smartphone installiert (wie die App “OpenVPN Connect”). Wenn Sie die sichere Verbindung nutzen möchten, öffnen Sie die App und stellen das VPN an. Danach fahren Sie fort, das Zuhause mit Ihrer App wie gewöhnlich zu steuern.
Der gleiche Prozess erwartet einen Systemintegrator, der das Zuhause aus der Ferne sicher programmieren möchte. Der einzige Unterschied besteht darin, dass man als Systemintegrator in den meisten Fällen die App auf dem Computer verwendet. Öffnen Sie einfach die App, stellen den VPN an und fahren Sie mit der Programmierung des Zuhauses über die ausgewählte Software fort (Loxone Config, KNX, ETS, Gira Experte oder Gira Project Assistant).
Die sichere Fernsteuerung und Programmierung mit 1Home
Im Vergleich zu einem VPN - der normalerweise eine Verbindung zu Ihrem Router herstellt und damit den Zugang zu allen Geräten im Netzwerk ermöglicht - ist die 1Home Lösung nur Ihren ganz persönlichen Smart Home Devices gewidmet.
Viele Systemintegratoren sagen, dass eine VPN-Verbindung zu viel Verantwortung für sie bedeutet, da sie den Zugang zu einem kompletten Netzwerk weder wollen noch brauchen. Gleichzeitig teilen viele User dieses Gefühl und wollen nicht ihr gesamtes Netzwerk an den Systemintegrator ausliefern.
Wir adressieren dieses Problem mit einer Lösung, die auf Sicherheitsschlüsseln basiert und über die 1Home Box läuft.
Die 1Home Box öffnet eine verschlüsselte Verbindung zwischen dem Smart Home Server des Kunden und dem 1Home Cloud-System. Danach gibt es zwei Lösungen für die Sicherung einer Verbindung zwischen der App des Kunden oder dem Programmierungstool des Installateurs und dem Cloud System. Mit dem HTTPS- (und HTTP-, falls die App des Kunden beide unterstützt) Protokoll kann die Kommunikation durch eine 12-stellige Sicherheitskennung geschützt werden. Für UDP und TCP haben wir eine modifizierte VPN-ähnliche Lösung implementiert.
Nun zum Aufbau der sicheren Verbindung zu einem Smart Home Gateway: Kunden können auch eine individuelle Fernsteuerung zu anderen Devices in ihrem Smart Home erstellen, die Verbindungen mit HTTP, HTTPS, TCP oder UDP unterstützt. Auf diese Weise können sie auch sicher auf Security-Kameras, Gegensprechanlagen, Netzwerk Router und viele weitere Smart Home Devices zugreifen, die dann sicher aus der Ferne gesteuert werden können.
Gira S1 (funktioniert nicht mit Loxone Miniserver)
Gira S1 war eine der ersten Lösungen auf dem Markt für dieses Problem. Es ist unserem Fernzugriff- und Verwaltungsprodukt sehr ähnlich - allerdings eingeschlossen im Gira Ökosystem - und funktioniert nur mit dem Gira X1 oder dem Gira Homeserver. Es ist auch kompatibel mit KNX IP Interfaces, aber nur zur Programmierung des Zuhauses (über KNX ETS). Gleichzeitig ermöglicht die Schnittstelle S1 die sichere Nutzung Ihrer mobilen App, allerdings nur mit Ihrem Smart Home Gateway. Andere Devices wie Kameras, Gegensprechanlagen, Netzwerk Router etc. müssen aus der Ferne über das webbasierte Portal “Secure Device Access” gesteuert werden (https://securedeviceaccess.net/).
Das Sicherheitsmodul S1 erlaubt Smart Home Besitzern, ihr Zuhause auf sichere Weise aus der Ferne zu steuern und ermächtigt gleichzeitig einen Systemintegrator, ohne Besuch vor Ort auf sichere Weise zu programmieren.
Was vor der Einrichtung einer Portweiterleitung beachtet werden sollte
Hier noch einmal die wichtigsten Punkte, die Ihnen Sicherheit verschaffen und gleichzeitig verhindern, dass Sie Ihr Smart Home überfrachten.
- Bewerten Sie Ihr Risiko. Wenn es um das Thema Sicherheit geht, ist eine wichtige Frage, die wir uns stellen sollten: Warum sollte sich jemand mit meinem Zuhause verbinden wollen? Diese Frage wird sehr unterschiedlich beantwortet - je nachdem, ob Sie Ingenieur sind oder eine hohe militärische Führungskraft.
- Gefährden Sie keine sensiblen Geräte. Schlösser, Alarmanlagen, Türen, Fenster, Garagentore (u.ä.) sollten nicht mit Ihrem Smart Home Server verbunden sein, wenn Sie Portweiterleitung benutzen.
- Lassen Sie keine Ports auf dem KNX IP Interface geöffnet. Wie bereits erwähnt, bedeutet der Mangel an Authentifizierung ein großes Sicherheitsrisiko. Wir empfehlen keine Portweiterleitung für das KNX IP Interface. Wenn Sie wissen, was Sie tun und trotzdem weitermachen wollen - richten Sie es für einen kurzen Test ein und schließen es dann wieder. Stellen Sie außerdem sicher, dass Sie beim Gira X1 oder Gira Homeserver keine offenen Ports auf den zugehörigen IP interfaces haben (IP Interfaces sind ein Teil des Gira X1 und Gira Homeservers).
- Wenn Sie den Loxone Miniserver, Gira X1 oder Homeserver verwenden, erstellen Sie ein starkes Passwort und lassen Sie es auf keinen Fall im voreingestellten Modus. Das Passwort sollte lang sein (mindestens 12 Zeichen) und Klein- sowie Großbuchstaben, Zahlen und Sonderzeichen enthalten. Wenn Sie einen Loxone Miniserver verwenden - stellen Sie sicher, dass Ihr Miniserver-Passwort nicht mit Ihrem Loxone Config-Passwort übereinstimmt.
Haben Sie irgendwelche Bedenken zu Ihrer persönlichen Smart Home Konfigurierung oder möchten Sie uns Feedback geben?
Teilen Sie es uns mit! Wir helfen gerne und freuen uns auf eine Diskussion darüber,, wie dieses wichtige Thema am besten angegangen werden kann, um für ein wenig inneren Frieden zu sorgen - in einer Welt, die mit jeder Minute stärker vernetzt ist.