Sicherheitsstufe "Unsicher" bei mehreren Geräten

Hallo zusammen,

bei vielen meiner über homee verbundenen Geräte (u.a. Fibaro Rollershutter 3, Fibaro Single Switch, MCO Home Raumthermostat) liegt die Sicherheitsstufe bei „Unsicher“. Auch mehrmaliges inkludieren und exkludieren mit unterschiedlicher Geschwindigkeit beim Drücken der Tasten oder verschiedenen Abständen zum homee brachten keinen Erfolg bei der Erhöhung der Sicherheitsstufe, obwohl laut Meldung beim Einbinden eine höhere Stufe möglich wäre.

Jetzt mache ich mir natürlich Gedanken über die Sicherheit der Geräte und eventueller Sicherheitslücken. Wie seht ihr das? Kann ich die Geräte trotzdem bedenkenlos verwenden oder was könnte passieren? Wie geht ihr bei euch mit der Thematik um? Oder kennt ihr Lösungsmöglichkeiten zur Erhöhung der Sicherheitsstufen?

Vielen Dank vorab für die Einschätzung.

Zwave:
Gen5 oder gen7 Würfel ?

Ich denk den Gen7, davor gab es keine Sicherheitsstufen.

1 „Gefällt mir“

Secure oder unsecure. Dabei geht es um die Verschlüsselung der Kommunikation zwischen dem Gateway und den Geräten. Aber auch die Kommunikation der Geräte untereinander. Das kann man bei homee aber vernachlässigen, da homee ja keine Assoziationen kennt.
Dabei sollte man zwischen Secure S0 und Secure S2 unterscheiden.
S0 sollte wenn möglich vermieden werden, da es einen hohen traffic verursacht. Und zu unstabilen Z-Wave Mesh führen kann. Dann lieber unsecure.
S2 kommt vor allem bei den neueren Geräten zum Einsatz. und wäre dann die erste Wahl. Bestimmte Geräte wie z.B. Schlösser z.B. lassen sich nur secure inkludieren.

Eine Verschlüsselung bei sicherheitsrelevanten Geräten wie Schlösser und Sirenen finde ich ja sinnvoll und zum Teil wird es ja bereits erzwungen. Bei Up-Modulen oder Plugs kann man sich jetzt streiten oben es zwingend notwendig ist. Wenn dann nur S2.

Der Z-Wave Gen7 unterstüzt grundsätzlich Secure S2, jetzt kommt es noch darauf an, ob das Gerät richtig erkannt wird und ob das Gerät Secure S2 kann (viele ältere Geräte können dies nicht oder werden diesbezüglich nicht mehr unterstützt.)

Meine Erfahrung, und die Betonung liegt auf „meine“, beim Umziehen von Gen5 auf Gen7 bleiben die Geräte auf S0, obwohl S2 möglichen wäre. Neuanlernenals S2 funktioniert nur, wenn der Gen5 beim Anlernen der Geräte am Gen7 nicht aktiv ist (=abgenommmen).

1 „Gefällt mir“

Richtig.
Und ich habe die besten Erfahrungen damit gemacht, die Gerät in unmittelbarer Nähe zum 7er Würfel anzulernen.
Am ‚entfernten‘ Einbauort über das Mesh angelernt kommt oft die Sicherheitsmeldung.

2 „Gefällt mir“

Secure S2 geht aber nicht immer auch wenn es angezeigt wird. Bei den Neo Plugs wird die Möglichkeit auch angezeigt… Es steht aber nirgends die Pin die man eingeben muss.

Bei manchen Geräten ist NUR ein QR Code und/oder die ewig lange Pin auf der Verpackung vermerkt und nicht auf dem Gerät. Bestes Beispiel die Fibaro Steckdosen. Verpackung weg: Kein PIN mehr. Verpackung vorhanden? Welche Verpackung gehört nun zu welcher Steckdose? Meines Erachtens ist dies Suboptimal von Z.Wave gelöst: Im Anlernprozess könnte ja auch die PIN vom Gerät automatisch übermittelt werden … Es ist ein minimales Security-Issue, aber die Gefahr das jemand bei einem Anlernprozess mit sniffert ist meines Erachtens äußert gering.

2 „Gefällt mir“

Super, vielen Dank Euch für die bisherigen Antworten :+1:

Ist ein Gen7 Würfel.

Also S0 vermeiden und lieber im Modus „unsicher“ nutzen. Was wäre durch den Betrieb im „unsicher“-Modus als Sicherheitslücke schlimmstenfalls möglich? Zugriff von außen auf die Geräte oder den Homee?

Dann wird es S2 Unauthentifiziert verbunden sein, da braucht es dann keine Pin oder QR-Code.

1 „Gefällt mir“

Die Security Issues welche eigentlich mit S0 immer hervorgehoben werden beziehen sich auf das sniffern des Keys während ein Gerät in das Netz eingebunden wird. Nur hier an der Stelle kann der Key mitgelesen werden.
Jedoch kann ein Gerät welches zwar S2 beherrscht, ( weil z.B. der User nicht schnell genug oder warum auch immer) auch beim Pairing wieder automatisch auf S0 zurückfallen. Das bekommt der User vielleicht sogar gar nicht mit und schon ist es vorbei mit der viel beschriebenen Sicherheit von S2. ( Es wird ja wieder S0 verwendet)
Ich persönlich sehe das Sicherheitsrisiko bei S0 nicht besonders hoch an… Wenn ich paranoia wäre, dann hätte ich keine Türschloß´welches man steuern könnte …

2 „Gefällt mir“