Planung einer neuen Anlage

[Eduard76]

Hallo Ihr Alarmexperten,

ich plane aktuell eine Alarmanlage anzuschaffen und befinde mich gerad bei der grundsätzlichen Auswahl.
Dabei möchte ich erstmal mit der Integration von Rauchmeldern anfangen und dann eigentlich "nur" mit ein paar Bewegungsmeldern arbeiten.
(Start: Zentrale, 7xRM; Danach: Keypad, 3-4 BWM)
Aussenhautschutz (inkl. Glasbruch) ist m.M.n. zu aufwendig weil:
UG: 2x Tür; 5x Fenster; 4xKellerschacht
EG: 1 Haustür; 8xFestverglasung; 4xGlastüren; 3xFenster
OG: 4xGlastüren; 6xFenster; 4xDachfenster
Evtl. in einigen Jahren mit anzubinden: Poolhaus

Dabei sind mir folgende Anlagen aufgefallen, die aber grundsätzlich in zwei technische Richtungen gehen. (Technischer Zugriff "geöffnet / geschlossen")

1) Lupusec XT2 (scheint mir besser konfigurierbar für die Zukunft)
2) Abus Secvest 2Way (Evtl. "stabiler" weil abgeschlossenens System)

Wie bewertet Ihr die "Möglichkeit" eine Anlage wie die Lupusec durch Netzwerk-Zugriff von "aussen" zu hacken oder mache ich mir hier zu viele Sorgen?
Wenn ich Einbrecher wäre, würde ich über Mitarbeiter an solche Hersteller-Firmen gehen, denn die wissen wohin die Anlagen installiert sind und haben beim Thema Netzwerk-Zugriff u.U. Hintertürchen eingebaut.
In Zeiten von NSA sollte man zumindest darüber nachdenken. :-)

Vielen Dank für eure Ratschläge
Eduard

[evertech]

Ich würde nie eine Alarmanlage an ein Netzwerk anschließen.

Den solange die Firmware des Herstellers nicht Open-Source ist besteht immer ein begründeter Verdacht eines Masterkeys.
---
..und wenn auch wirklich keiner vorhanden sein sollte besteht immer noch die Möglichkeit
eines unberechtigten Fremdzugriffes. Kein System ist unknackbar.
Daher sollte eine Alarmanlage ein eigenständiges System ohne jegliche Anbindung an andere Systeme bleiben.
--

[Alarmservice-Hamburg]

(27-12-2013 17:53)evertech schrieb:  ...
Daher sollte eine Alarmanlage ein eigenständiges System ohne jegliche Anbindung an andere Systeme bleiben.
--

Und wie stellst Du Dir dann die Fernwartung vor?

Du kannst ja gerne mal versuchen, Dich auf meine Alarmanlage aufzuschalten. Fang an.

Du brauchst ja nur die IP-Adresse, den Port, das Gerätekennwort, die Schlüsselnummer, den AES-Schlüssel und musst mich vorher um Erlaubnis und Servicefreigabe bitten

[evertech]

Man in the middle und Wireshark sind jetzt mal nur der Anfang

... tiefer werde ich jetzt nicht greifen

Ich seh den Admin schon den Zeigefinger heben und ausklecksen.
Aber ich wollte nicht das jemand der Meinung ist er ist absolut saved.

[Alarmservice-Hamburg]

(27-12-2013 19:03)evertech schrieb:  Man in the middle und Wireshark sind jetzt mal nur der Anfang

Das alles nützt Dir nichts und Du musst hier niemandem Angst machen. Ohne bewusste Einwilligung des Kunden ist rein hardwaremäßig kein Fernzugriff möglich. Das Übertragungsgerät reagiert einfach nicht auf Deine Wünsche

Wer allerdings alle Zugriffe erlaubt, keine verschlüsselte Übertragung einschaltet bzw. einschalten kann und sonst auch weiter keine Sperren zur Verfügung hat, dem kann es schon passieren, dass ihm seine Anlage, sein moderner Kühlschrank oder Fernseher ferndeaktiviert wird.

Aber hier im Forum sind ja sogar viele der Meinung, man müsste unbedingt unverschlüsselten Zugang über irgendein Smartphone auf eine Alarmanlage haben.

[timbaum]

Also mal ehrlich.

Auf 100000 Benutzer von Brechstange oder Schraubendreher, kommt einer der weiß wie man einen Computer knackt und dieser eine wird das nur machen, wenn da bei einem Juwelier 1,5 Mille zu holen sind.

Ich denke hier sollte man die Kirche im Dorf lassen.
Die Tasache das ein System geknackt werden könnte, spielt bei den hier besprochenen Anlagen sicher keine Rolle.

Eher muss man sich Gedanken machen, ob die Terassentür oder die Fenster mechanisch entsprechend sicher sind.

Sorry, bin da eher von der realitischen Sorte.

Gruß Tim

[5624]

Ich lasse mittlerweile alle EMAs so bauen, dass die eine Netzwerkanbindung haben. Zum einen für die Übertragungen zur NSL, aber auch für Fernzugriff.

Wenn man die Anlage stumpf ins Internet stellt, kann es einen Angriff geben, aber wer das tut, ist auch nicht ganz klar im Kopf. Zwischen Anlage und Internet immer einen Router mit Paketfilter (landläufig Firewall genannt) und es sollte nur eine ausgehende Kommunikation möglich sein, also von der Anlage ins Internet, niemals Internet in Richtung Anlage.

Wenn man unbedingt von unterwegs auf die Anlage zugreifen will, dann nur per VPN.

Selbstverständlich sollten zu allererst die gängigen Sachen durchgekaut werden: Benutzername und Passwort ändern.

[evertech]

Mit steigender Anbindung ans Netz wird das Angriffsziel sicher nicht der Konsument sondern auch der Errichter sein,
und genau da wird sich zeigen wie dieser mit den Daten von seinen Kunden umgeht.
Ob hier schon entsprechende Sicherheitsvorkehrungen bei allen Firmen getroffen sind mag ich bezweifeln.
Viele Unternehmen haben ja nicht einmal Firmen und Privatnetz getrennt. Von einer Firewall. u.s.w. wie
hier schon erwähnt mag ich gar nicht reden.

Wie timbaum schon sagte:
===
Sorry, bin da eher von der realitischen Sorte.
===

PS:
Ich weis, das ich hiermit wieder so manchen etwas aufgewühlt habe.
Nur sollte sich jeder Unternehmer immer wieder sagen;
Wo ich bin ist Vorne. Aber es ist möglich jederzeit überholt zu werden.

[Blacky]

Hallo,

wenn der Fernzugriff auf die Alarmanlage direkt und noch dazu nicht einmal verschlüsselt erfolgt (wie das von einigen Herstellern angeboten wird), dann ist das Tor zum heimischen Netzwerk tatsächlich ziemlich offen. Über geeignete Tools (Wireshark) könnte man dann IP und Port ausspähen und durch diesen Eingang in das Netzwerk eindringen. Hier hätte ich nicht nur Bedenken sondern würde das strikt unterlassen.

Bei der LUPUSEC erfolgt der Fernzugriff auf die Anlage nicht direkt sondern mittels App über einen Dyn-DNS-Dienst, den die Herstellerfirma LUPUS anbietet. Jetzt kann man natürlich sagen, wenn dort ein verkappter NSA-Mitarbeiter sitzt und alles mitprotokolliert, dann ist ein Fremdzugriff auf meine Anlage natürlich auch möglich. Ok, aber irgendwo sollte man die Kirche auch im Dorf lassen. Ich gehe mal davon aus, dass die Sicherheitsvorkehrungen bei der Firma entsprechend den gesetzlichen Bestimmungen sind und solche Angriffe durch internes Sicherheitsmanagement weitestgehend verhindert werden. Zugegeben: es ist und bleibt natürlich ein Unsicherheitsfaktor, weil man nicht in die Firma reinblicken kann.
Aber was kann passieren: ein Unbefugter kann sich illegal in den DNS-Server einloggen und von dort aus weiter auf meine XT2. Er muss allerdings die Passwörter vorher ausgespäht haben (siehe unten). Er kann dann meine Anlage unscharf setzen und in mein somit ungeschütztes Haus einbrechen. Aber wirklich: ich bin kein Juwelier, habe weder eine Münzsammlung noch Goldbarren im Keller und auch keinen Bentley in der Garage. Ein Mensch mit hinreichend hoher Verbrechermentalität und vor allem dazu ausreichenden IP-Kenntnissen sucht sich ein anderes Ziel und für einen solchen Schutz dagegen muss man weitaus mehr investieren als in eine Mittelklasse-Alarmanlage. Wir wollen uns nur gegen die immer mehr zunehmende Beschaffungskriminalität wappnen und dazu halten wir die getroffenen Vorkehrungen auch bezüglich des Preis-/Leistungsverhältnisses für angemessen.

Aber es gilt immer: wer natürlich Passwörter mehr oder weniger offen rumliegen lässt oder lesbar im Handy abspeichert, der hat natürlich ein hohes Risiko. Das gilt aber nicht nur für den Netzwerk-Zugriff im Speziellen sondern auch für den telefonischen Zugriff auf seine Anlage im Allgemeinen. Ich habe schon gehört, dass manch einer die Telefon-Nummer seiner Anlage in "Kontakte" unter "Alarmanlage" abgespeichert hat . Wenn dann das Handy mal abhanden kommt/verloren geht und der Finder/Dieb auch noch die Wohnadresse auslesen kann!
Da muss man nichts mehr dazu sagen .

In diesem Sinne: guten Rutsch ins neue Jahr und immer ein gut gesichertes Haus/Wohnung!

Blacky

[Alarmservice-Hamburg]

Ist schon reichlich OT hier.

Aber ich schrieb es schon mal. Bei einer vernünftigen Anlage ist kein Fernzugriff unerlaubt möglich. Wenn der Kunde den Zugriff nicht freigibt, macht einfach die Hardware dicht. Und was nützen IP-Adresse und Port, wenn ich nicht Schlüssel, Schlüsselnummer und Gerätepasswort habe? Und letztendlich ist der Zugriff nur von einer freigegebenen IP-Adresse möglich. zusätzlich ändern sich Schlüssel und IP-Adresse auch noch mindestens einmal täglich. Wer das vorher alles knacken will, der muss wohl schon einen Keller wie bei Dagobert erwarten - und wird selbst dann versagen.

Wie Tim schon schrieb, würde ich mir mehr Gedanken um eine ordentliche mechanische Grundsicherung und eine vernünftige Alarmierung im Eindringfall machen.

---

(27-12-2013 16:28)Eduard76 schrieb:  Hallo Ihr Alarmexperten,

ich plane aktuell eine Alarmanlage anzuschaffen und befinde mich gerad bei der grundsätzlichen Auswahl.

Hol´ Dir einen Errichter aus Deiner Nähe ins Haus und lass Dich vernünftig beraten.