Viele EIB/KNX-Installationen werden heute über eine IP-Schnittstelle, einen IP-Router oder ein sonstiges IP-Gateway (Homeserver, Wiregate) mit dem lokalen Netzwerk verbunden.
Das funktioniert meistens sehr leicht und durch die Integration ergeben sich viele neue Nutzungsmöglichkeiten. Jedoch sollte man dabei den Sicherheitsaspekt nicht aus den Augen verlieren! Der Bus selbst bietet keine Sicherheitsmerkmale wie Authentifizierung oder Verschlüsselung. Das ist zu einem gewissen Maß noch verständlich (auch wenn heutzutage imho nicht mehr zeitgemäß) weil man physischen Zugriff zum Bus brauch (grünes Kabel). Mit dem diesem Zugriff kann man eine Menge machen, von einfachen Lese/Schreibbefehlen auf dem Bus mal abgesehen, läßt sich bei bekannter Physikalischer Adresse auch jedes Gerät am Bus neu progammieren. Oder eben auch mit falschen Daten füttern, was im einfachsten Fall zu Funktionsausfällen, in schlimmsten Fällen sogar zu defekten führen kann.
Bei der Verbindungen des KNX/EIB an das lokale Netzwerk trägt man alle diese Unsicherheiten mit in das Netz: Jeder kann i.d.R. ohne Authentifizierung eine Verbindung mit der IP-Schnittstelle herstellen oder oder über Multicast Befehle über einen IP-Router senden. Benutzbare Netzwerkanschlüsse sind bereits deutlich häufiger anzutreffen als zugängliche Busankoppler…
Die Web-Oberflächen vieler Visu-Systeme (genannt sei hier der prominenteste Kandidat Gira Homeserver) arbeiten zudem meist ohne jegliche Verschlüsselung und übertragen dadurch auch noch Benutzername und Passwort im Klartext über die Leitung.
Auch im lokalen Netzwerk mag man über diese mangelnde Sicherheit noch hinwegsehen, aber heutzutage hat fast jeder (warum sollte man auch sonst ein lokales Netzwerk haben) dieses auch per WLAN zugänglich und mit dem Internet verbunden. Daraus ergeben gänzliche neue Gefahrenquellen. Selbst der derzeit sicherste WLAN-Standard „WPA2“ ist nicht unknackbar und in den seltensten Fällen würde man einen Einruch ins WLAN überhaupt mitbekommen. Noch viel schlimmer verhält es sich mit Zugriffen über das Internet, wenn man z.B. seine Visualisierung aus dem Internet erreichbar macht, indem man einfach Port 80 auf seinem DSL-Router auf den Homeserver (o.ä. Geräte) umleitet. Die Eingabe des Benutzernamens und des Paßwortes könnte an vielen Stellen im Netzwerk (Internetcafe, Starbucks-WLAN oder auch vom Kollegen im Büro) auf der Leitung mitgeschnitten und dann selbst benutzt werden. Beim Homeserver kommt noch erschwerend hinzu, dass Benutzername und Passwort sogar im Klartext in der Adresszeile zu sehen sind, so dass man sogar aus Proxy-Logs oder im Cache ganz einfach ein Login rekonstruieren kann.
Auch der Viren/Trojanerbefall bei anschließender Benutzung von Keyloggern ist nicht zu unterschätzen (wobei diese meist mit einem anderen Fokus eingesetzt werden).
Die Empfehlung lautet daher: Einsatz einer eigenen Demilitarisierten Zone (DMZ) für die EIB/KNX-IP-Kopplung.
Entweder der (DSL/Kabel-)Router bzw. die Firewall bringt dafür ein eigenes Interface mit oder man stellt zwischen sein reguläres Netzwerk und die KNX/EIB-IP-Umgebung eine zusätzliche Firewall bzw. einen Router mit Firewall Funktionalität. Mit einfachsten Routern (zwei Ethernet-Interfaces reichen, OpenWRT macht es leicht) und ein paar Regeln läßt sich die Sicherheit drastisch erhöhen. Im Idealfall benutzt man für den Fernzugriff ein VPN, wie es das Wiregate zum Beispiel von Hause mitbringt (OpenVPN). Wem ein VPN-Client zu unhandlich ist oder dieser vom Endgerät nicht möglich ist (Smartphones, Tablets) dem sein mindestens ein SSL-Tunnel ans Herz gelegt, für bequeme Bastler (oder wenn die Infrastruktur schon vorhanden ist) auch gern mit Client-Zertifikat und zertifikats-basierter Authentifizierung.
Ein sehr interessanter Artikel zum Thema WLAN-Sicherheit hier:
http://www.zdnet.de/news/41557001/studie-wlan-nutzer-ueberschaetzen-ihre-sicherheit.htm
