 Das ist Simeon. Er forscht an der Universität Rostock und stellt heute nicht nur seine Forschung vor, sondern die des gesamten Lehrstuhls und spricht über IT-Sicherheit im vernetzten Gebäuden. Was kann man noch retten, wenn die ganzen langlebigen Strukturen grundlegende Sicherheitskonzepte fehlen und erklärt uns hier Gebäudeautomatisierung und deren Schwachstellen und Problemen am Beispiel des Protokolls und des Standards KINX. Herzlich willkommen. Vielen lieben Dank. Schön, dass ihr es hergeschafft habt. Genau. Ich wollte einfach mal ein bisschen einen Vortrag zu dem Thema IT-Sicherheit in vernetzten Gebäuden, vernetzte Gebäude machen, um ein bisschen Aufmerksamkeit auf das Thema zu lenken und einen groben Überblick zu geben. Ich werde mir Mühe geben, das so zu gestalten, dass es einsteigerfreundlich ist, dass es nicht besonders Vorkenntnisse nötig, aber ich hoffe, dass auch der eine oder andere, der sich mit Netzwerken ein bisschen auskennt, hier oder da, noch eine interessante Sache finden wird im Vortrag. Genau. Okay, was werden wir machen? Ich habe gedacht, wir schauen uns mal an, wie funktionieren vernetzte Gebäude, und zwar am Beispiel vom KINX Feldbus. Danach spreche ich ein bisschen darüber, welche Sicherheitsprobleme dort bestehen. Da möchte ich nicht aufhören, sondern ich möchte noch ein bisschen darüber reden. Wenn die Situation so ist, wie sie ist, was können wir denn dann trotzdem noch tun? Und wenn die Zeit reicht, dann komme ich am Ende noch ein bisschen auf Tools für Leute, die Lust bekommen haben, tatsächlich selber mal ein bisschen zu experimentieren und rumzubasseln. Okay, fangen wir doch mal an damit, wie vernetzte Gebäude funktionieren. Ich mache das Ganze am Beispiel des KINX Feldbuses, weil wir da nämlich die Infrastruktur in unserem Institutsgebäude verbaut haben. Was ist denn überhaupt ein Feldbus? Ein Feldbus ist quasi dafür da, dass man mehrere Sensoren mit mehreren Akteuren zusammen verbindet über unterschiedliche Medien. Im KINX Beispiel kann das zum Beispiel ein Zweitrad-Kopfverleitung sein. Es kann über Ethernet oder über Powerline funktionieren. Und die Leute, die genau hingucken, sehen auf dem Foto auch die Funkübertragung. Und jetzt haben wir irgendwie Sensoren, zum Beispiel einen Lichtschalter, ein Blendenschalter und damit können wir unterschiedliche Akteuren steuern, zum Beispiel Lampenbelüftung, Verblendung von den Fenstern. Genau. Und wenn wir jetzt mehrere Teilnehmer haben, die auf dem Bus sprechen wollen, dann haben wir das Problem, dass wir noch entscheiden und irgendwie kontrollieren müssen, wer wann zu wem was sagt. Und dafür brauchen wir dann entsprechend das Protokoll. Und das in Kombination macht dann sozusagen ein Feldbus-System aus. Warum das Ganze? Man verspricht sich einige Vorteile. Zum Beispiel können wir einen größeren Komfort haben. Wenn wir ein großes öffentliches Gebäude nehmen, zum Beispiel ein Institutsgebäude von der Universität. Und man kann jetzt am Abend einfach einen Schalter drücken und alle Lichter gehen aus. Dann brennt nicht die ganze Nacht des Strom. Man kann flexibel die Gebäude umgestalten, im Vergleich zu herkömmlichen Gebäudestrukturen, wo irgendwie vom Lichtschalter ein Klingeltrat zur Klühbühne läuft. Und wenn ich mal mit dem Schalter was anderes schalten möchte, dann muss ich die Mauer aufreißen. Das kann ich jetzt umkonfigurieren, weil ich ein Netzwerk aufbaue. Man verspricht sich Laufkosten-Einsparungen. Ich sage extra Laufkosten, weil die Installationskosten in der Regel natürlich ein Stückchen höher sind, weil man irgendwie besseres Energiemanagement betreiben kann. Und man hat auch ein geringerer Materialaufwand. Das ist vielleicht nicht bei Gebäudensüber wichtig, aber in anderen Fällen zum Beispiel im Auto macht es dann schon einen Unterschied, wenn wir ein paar Kilogramm Kabel sparen, müssen wir die nicht mit uns herfahren. Wir haben höhere Installationskosten auf jeden Fall. Das ganze System wird komplexer. Wie wir sehen werden, haben wir Sicherheitsprobleme, die wir uns einkaufen. Wir haben natürlich, wenn wir Sachen miteinander vernetzen, ein größeres Angriffspotenzial und auch eine größere Reichweite für Angriffe auf uns. Und ganz kurz, warum geht ich über KNX? KNX ist nicht irgendwie was Kleines, was wir in unserem Hinterzimmer haben, sondern es ist der Nachfolger vom Europäischen Installationsbus. Es ist ein offener Standard, 2002 spezifiziert, wurde dann normiert und standardisiert europäisch und international. Das Ganze ist quasi ein Hersteller übergreifendes Konsortium. Wenn jetzt jemand irgendwie Geräte herstellt, dann kann er sich von der KNX-Association für seine Geräte eine Zertifizierung ausstellen lassen. Und dann kann man als Kunde unterschiedliche Hersteller miteinander verbinden und in einem KNX-Netzwerk zusammenstellen. Die Konfiguration des ganzen Netzwerkes muss man initial einmal machen und das passiert mit der Engineering Tools Software, auch von der KNX-Association. Schauen wir uns ein bisschen an, wie KNX funktioniert. Wir haben da zum einen eine physikalische Adressierung, die teilt sich auf in drei Teile. Wir haben einen Bereich, vier Bitlang. Das sind hier die großen Kauenkästen, jetzt einmal eins eingerahmt. Wir haben unterschiedliche Bereiche, z.B. für unterschiedliche Etagen in Gebäuden oder auch wenn man Gebäude miteinander übergreifen und vernetzen möchte. Dann haben wir unterschiedliche Lines, die können wir auch z.B. für eine Etage benutzen. Und da ist es auch vier Bitlang und dann gibt es unterschiedliche Geräte, und zwar Geräte mit einer 8-Bit Adresse, also haben wir 256 Geräte, wir haben maximal pro Line, wir haben maximal 16 Lines pro Bereich und wir haben maximal zwei oder vier Bereiche, genau. Und wir haben dann sozusagen die unterschiedlichen Geräte, die hier schwarz dargestellt über das Kommunikationsmedium miteinander verbunden sind. Diese Kästen mit den LK-Line-Kopplern, die verbinden dann die Linien zusammen, dann gibt es noch Bereichskoppler, die die Bereiche miteinander verbinden. Okay, neben der physikalischen Adressierung, wo jedes Gerät in dieser Punkt schreibweise eine eindeutige Adresse hat, gibt es auch noch die logische Adressierung, die benutzt wird quasi für die Kommunikation. Die teilt sich, es gibt zwei Arten von logischer Adressierung, es gibt eine zwei- und eine dreistufige, und man entscheidet sich einmal pro Projekt, welche man benutzt, und dann hat man eine Hauptgruppe, eventuell eine Nebengruppe und eine Untergruppe, und die schreibweise ist hier dann mit dem Strichstrich. Jetzt packen wir unterschiedliche Geräte in eine Gruppe, zum Beispiel haben wir hier diesen orange im Randeten Lichtschalter, sag ich jetzt mal, der ist in einer Gruppe mit allen anderen Geräten, über denen ihr die ein Strich eins Strich eins seht, und ich sag jetzt mal, das sind alles Lampen. Wenn dieser Lichtschalter, also diese Lampen, alles steuern möchte, dann wird der Lichtschalter ein Telekram auf das Kommunikationsmedium geben, das von allen Linien- und Bereichskopplern entsprechend so weitergeleitet wird, dass alle Endgeräte, die in dieser Gruppe sind, das Telekram erhalten. Okay, es wird nicht so viel technischer als hier, noch ganz kurz ein bisschen so die Paketaufbaustruktur von so einem kann X-Telegram, wir haben ein bisschen Steuerinformation, so ein paar Flex, wir haben dann eine Quelladresse, Source-Adresse, eine Zieladresse, Destination-Adresse, die Destination-Adresse, die kann physikalisch oder logisch angegeben werden, damit man die miteinander unterscheiden kann, gibt es dann auch ein Destination-Adresse-Fleck-Bit, dann haben wir ein bisschen Routenzähler und Längeninformation, Routenzähler, so was wie das Time-to-Lift, man kommt mit sechs Hops in diesem Netzwerk überall hin, also ist es maximal sechs, wenn man diesen Wert auf sieben setzt, dann werden die Pakete einfach nicht verworfen, und dann die Längenangabe, wie viel Nutzdaten kommen in der Payload und am Ende ein bisschen Paritätsüberprüfung, das soll für das Technische schon reichen erst mal. Okay, wenn wir jetzt also ein bisschen herausgefunden haben, wie so ein vernetzter Gebäude funktioniert, dann schauen wir uns doch mal ein bisschen an, welche Sicherheitsprobleme da passieren. Sicherheitsprobleme, erst mal kurz ein Schritt zurück, was meinen wir, wenn wir von Sicherheit reden, es gibt in der IT-Sicherheit, über die wir hier sprechen oder ich spreche, unterschiedliche Schutzziele, nicht über alle will ich reden, aber über Vertraulichkeit und Authentität möchte ich reden. Wenn wir mal gucken, was bei Wikipedia für Vertraulichkeit steht, dann finden wir da, dass es die Eigenschaft einer Nachricht ist, für einen bestimmten Empfängerkreis vorgesehen zu sein. Wie könnte das jetzt auch so ein Feldbus aussehen in der Gebäudeautomation? Man könnte sagen, es ist ein Beispiel, wir haben einen Lichtschalter, der möchte mit einer Lampe sprechen und sagt zu der Lampe, Licht soll angehen, die Lampe muss natürlich verstehen können, dass da ein Klartext steht, gehe jetzt mal an. Aber wenn sich jetzt jemand unbeteiligt ist, einfach an den Bus klemmt, der potentielle lange Leitung hat, man kann sich irgendwo vielleicht dazu klemmen, dann sollte diese Person oder dieses Gerät vielleicht gar nicht in der Lage sein, rauszufinden, was genau für ein Inhalt in dem Telegramm steht. Das könnte zum Beispiel das Schutzzieh für Vertraulichkeit umsetzen, für Authentizität, also die Eigenschaft, die Echtheit über Berufbarkeit und Vertrauenswürdigkeit. Da könnte das vielleicht so aussehen, dass wir einen Lichtschalter haben, den wir vorher konfiguriert haben, mit einer Lampe zu funktionieren und wenn er sagt Licht an, alles klar, der grüne Rahmen soll symbolisieren, der Lichtschalter kann die Lampe dann steuern. Wenn jetzt irgendjemand einen anderen Lichtschalter benutzt oder vielleicht sogar ein Lichtschalter dazu klemmt, dann sollte das vielleicht nicht gehen, deswegen das hier rote Hinterlegte. Bei Lichtschaltern vielleicht nicht das ideale Beispiel, wenn wir jetzt noch irgendwie Zubehör zu unserem KhanX System dazu kaufen und Fingerabdrucksensoren von Herstellern kaufen, dann haben wir sofort das irgendwie nachvollziehbarer, vielleicht okay, wenn ich da mein Fingerabdruck drauf mache, um in die Garage reinzukommen, dann sollte vielleicht auch wirklich nur ich in die Garage reinkommen mit meinem Fingerabdruck. Also sollte man irgendwie verifizieren können, dass der Absender, der es sein soll. Wir haben mal so jetzt irgendwie ein bisschen über Sicherheitsbegriffe geredet. Bei KhanX haben wir de facto keine Verschlüsselung und damit keine Vertraulichkeit. Wir haben keine Autorisierung so richtig, also haben wir keine Authentizität. Das sind auf jeden Fall schon mal Probleme, die es führt dazu, dass jeder auf diesem Bus sprechen kann und jeder kann zuhören. Und jetzt kommt man irgendwann auf die Idee, vielleicht ist es ja ganz praktisch, da noch ein Gateway dazu zu bauen und dann kann man irgendwie von der Ferne was warten und so weiter und dann ist man plötzlich auch nicht mehr irgendwie so ein autarkes Netzwerk. Und dann haben wir eine zunehmende Vernetzung, nicht nur eine Etage von dem Gebäude, sondern ein ganzes Gebäude, dann vielleicht mehrere Gebäude übereinander, vielleicht die Angriffsreichweite und das Schadenspotenzial für einen Angriff wird immer größer und immer größer. Und jetzt haben wir auch noch Systeme, die sich maschinell suchen lassen. Ich weiß nicht, wer solche Suchmaschinen zum Beispiel die Shodan kennt. Damit findet man DDC Controller, die in solchen Gebäudeautomationssystemen verbaut sind. Und wenn wir mal einen bestimmten Typ suchen, dann finden wir auch schnell welche, die irgendwie in Flughäfen zum Beispiel sind. Und dann ist immer so die Frage, okay, wenn ich die da schon finde, komme ich da vielleicht noch irgendwie anders rein. Und ich bin sicher, es gibt Leute, die gut genug sind, Wege zu finden in solche Systeme hinein. Und dann haben wir noch eine andere Situation bei Gebäuden. Wenn man so ein Gebäude baut und das steht da und es hat irgendwie Bedienelemente für die Nutzer, Licht und Klimaanlage und die funktionieren, dann kommt eigentlich keiner auf die Idee, diese Gebäude jemals für Sicherheit zu patchen. Die haben extrem lange Laufzeiten und es wird in der Situation bleiben, in der es installiert ist, sehr häufig, zumindest im großen Stil. Okay, gerade bei den Gateways wollte ich nochmal sagen, wenn wir jetzt Gateways dazu bauen, dann kann man auch sagen, okay, wir bauen da tolle Systeme dazu, das Gateway ist irgendwie abgesichert. Da würde ich gerne auf einen Vortrag von Thomas Roth vom 34 C3 verweisen, der hat seinen Vortrag dort gehalten, Skada Gateways to Shell Hell. Das war so ein bisschen die Inspiration für mich hier diesen Vortrag zu erhalten. Schaut euch an, wenn euch das interessiert, der hat Eindrucksvoll gezeigt, dass diese Gateways eigentlich scheunen Tore sind. Okay, zurück zu KNX, welche Angriffsmöglichkeiten haben wir? Wir haben also irgendwie die Möglichkeit, alles mitzulesen, was da draufläuft, wenn man nicht eine Erweiterung, kann X-Secure benutzt, zu der ich dann gleich nochmal mehr sage. Was ist passiert bei uns am Institut? Wir haben ein neues Gebäude bekommen, da war der Feldbus installiert, mein Chef kommt auf die Idee, ich schau mal hinter den Lichtschalter und guck mal, was da so passiert, nimmt sich zwei Kabel, liest auf den Bus mit, kommt die Firma vorbei, die das Gebäude installiert hat und sagt, der Gewährleistungsanspruch, ich glaube, der ist weg. Die Uni war ein bisschen sauer und wie das immer so ist, mit solchen Fällen, dann kommt eine Abmahnung und dann braucht man viel Gespräch, um darauf hinzukommen, dass man das Ganze irgendwie als Forschung tut, um die Sicherheit zu untersuchen. De facto wurde dann der Zugriff auf den Bus im Gebäude untersagt, der Physikalische. Daraus wurde die nächste Idee, dann nehmen wir einfach eine Kupferspule, halten die unter dem Lichtschalter hin und gucken mal, wann da über das Klingeldrähtchen ein bisschen Spannung läuft und kriegen daraus Nullen und Einzen. Wir kennen den Telegram-Aufbau, wir kennen das Protokoll und konnten die ganze Kommunikation auch noch mitlesen. Man kann natürlich auch sprechen auf dem Bus, man kann irgendwie ungezieht Stören sprechen, das ist irgendwie so die Kategorie Denial of Service, das ist irgendwie immer einfach. Im schlimmsten Fall nehme ich einfach das Kabel, mache einen Kutschluß drauf oder schneide es durch. Es ist jetzt vielleicht nicht sprechen, wenn ich es durchschneide, aber das scheint irgendwie nicht so spannend wie die Art und Weise zu sprechen, wo man dann quasi eine Steuerung übernimmt, eine Fernsteuerung hat. Wenn ich plötzlich Licht, Heizung, Klimanlage und so weiter von öffentlichen Gebäuden in großem Stil fernsteuern kann, dann kann ich vielleicht viel Unfug machen und wer ich das neudig diesen Vortrag gehalten habe, haben die Leute plötzlich komisch die Köpfe verdreht und ich wusste gar nicht, was los ist, keiner hat mir jetzt so richtig zugehört und da hat mein Chef im Hintergrund mal eben kurz den Beamer umgedreht. Um zu signalisieren, das ist echt super einfach und irgendwie überall gegenwärtig. Okay, aber das spannendste, was wir bisher so als Experiment hatten, war dann auch noch den Personenbezug zu zeigen. Da sozusagen links sehen wir unser Institutsgebäude, in der Mitte sehen wir dann tolle Bewegungsmelder und Lampen an den Decken von den Fluren ist ja klar in so einem öffentlichen Gebäude. Man möchte schön über den Flur laufen, ohne dass jeder ständig Licht an und ausschalten muss. Die Bewegungsmelder machen das komfortabel möglich, sind aber halt Supersensoren und Menschen zu tracken. Und wenn wir jetzt getreu der Idee, die David Kriesler in seinem Vortrag am 33 C3 zu das Spiegel Mining Reverse Engineering von Spiegel Online mir vermitteln konnte, einen super Vortrag kann ich sehr empfehlen. Wir haben jetzt irgendwie so ein Konex-Bus, das sind Telegramme drauf, wenn man die mit schneidet, hat man ein Log, das ist irgendwie, das sind Daten, aber welche Informationen kann ich denn da rausziehen und das hängt nicht nur davon ab, was irgendwie in diesen Daten zusammengetragen ist, sondern auch mit welcher Kreativität man da drauf guckt. Wir haben jetzt einfach mal ein Gebäudeplan mit dem, man sieht hier Bürogebäude, die einzelnen Büros von den Mitarbeitern, Hörsäle und wir haben im linken oberen Bereich, wo so viele Querbeiten sind, das sind so die Toilettenräume. Und diese ganzen kleinen roten Kästchen da, das sind Bewegungsmelder mit den Adressen, die netterweise in den Geräten eingeschrieben wurden für den Elektriker zur Installation, sehr einfach. Und unsere Toiletten haben einen kleinen Vorraum mit Waschbecken und jetzt haben wir uns angeguckt, wenn jemand auf der Toilette war und die Bewegungsmelder dort gefeuert haben. Und danach muss er durch den Waschraum, um in den Flur zurückzukommen. Wenn er sich weniger als drei Sekunden in dem Waschraum aufgehalten hat, dann hat da eines vermutlich nicht gemacht, was hier auf dem Camp natürlich alle immer machen, nämlich sich super schön die Hände waschen. Und wenn wir uns jetzt noch angucken, welche Bewegungsmelder triggern eigentlich nach und nach auf dem Flur, dann kommen wir plötzlich in die Situation, dass wir sagen können, hey, der Kollege aus dem Nachbarbüro, dem möchte ich jetzt nicht mehr die Hand schütteln, der scheint sich irgendwie die Hände nicht zu waschen. Das kam natürlich auch nicht so super gut an, wenn so ein Personalort sagt, ja, wir wollen gar keinen Personenbezug, wir wollen gar nicht wissen können, wann welcher Mitarbeiter zur Arbeit kommt und zur Arbeit geht. Aber wir können es ja nicht einfach ignorieren. Die Situation ist so, man kann diese Art von Personenbezug herstellen und damit müssen wir umgehen. Und das bringt mich auch dann sozusagen dem eigentlich spannendsten Teil hoffentlich, des Vortrags, nämlich die Situation ist so, wie sie ist. Wir haben diese Gebäude, sie sind da draußen, sie existieren, wir laufen da rein und raus und wir können das nicht so richtig ändern. Kann mir jetzt natürlich aussuchen, nicht zur Vorlesung zu laufen, aber wenn die Uni mein Arbeit gibt, es wird schon spannender, wenn ich nicht mehr in das Gebäude laufen möchte und die Uni ist jetzt hier nicht das schwarze Schaf, wir sind einfach nur in Rahmen, wo man da anfangen konnte zu experimentieren. Diese Art von Technologie findet sich in allen öffentlichen Gebäuden unterschiedlichster Art. Jetzt wollte man uns angucken, was kann man denn eigentlich mit der Situation anfangen? Wie können wir darauf reagieren? Ein Kollege hat gesagt, okay, lasst uns mal anfangen, irgendwie Bewusstsein für das Risiko zu schaffen, Risiko ein bisschen zu quantifizieren, zu sagen, okay, was ist eigentlich wirklich ein Problem und was ist nicht so richtig ein Problem, wenn ich bei meinen Nachbarkollegen irgendwie das Licht an und ausschalten kann, ja, aber nach zwei Tagen wird das langweilig und hat sich überlegt, wie kann man das quantifizieren? Wir können zum Beispiel Angriffe klassifizieren und sagen, wir schauen uns mal an, wie viel Wissen es für diese Art von Angriff nötig. Braucht man da Spezialwissen? Braucht man nur ein bisschen Grundlagenwissen oder braucht man eigentlich gar kein Wissen so? Ein Kabel nehmen und durchschneiden und plötzlich kann das Gebäude nicht mehr so richtig benutzt werden, da braucht man nicht so richtig einen Angriff. Die weniger wissen, man braucht umso wahrscheinlicherst diese Art von Angriff vermutlich. Man kann sich angucken, von wo kann man den Angriff durchführen? Muss man dafür ihm Gebäude sein? Muss man nur im Umfeld oder in der Nähe des Gebäudes sein? Oder kann ich das von überall sonst wo entfernt machen? Es ist vermutlich auch immer eine gute Idee, sich zu überlegen, was für Schaden tut der potentiell auf. Ist der vielleicht vernachlässigbar? Ist es finanzieller oder sogar wirklich dann Personenschaden? Und man kann sich überlegen beispielsweise, wie sichtbar ist dieser Angriff? Wenn jemand nur mitliest, ja, angenommen, wir haben jetzt irgendwie ein Kraftwerk, eine Aluhütte oder so und der Konkurrent liest auf dem Bussystem dieser Anlagen mit, wie die Heizkurven fahren, dann ist es vielleicht großes Wissen, was viel Wert hat. Das kriegt man aber auf dem Bus erstmal so nicht mit. Wenn man jetzt Angriffe hat, wo man auf dem Bus selber kommuniziert, dann kann das vielleicht im normalen Verkehr untergehen, wenn man die normalen Adressen benutzt, das Ganze normal aussieht, aber vielleicht macht man ja auch recht richtig viel da drauf mit neuen oder unüblichen Adressen, dann kriegt man diesen Angriff vielleicht mit. Einfach, um irgendwie zu sagen, zu quantifizieren, so diese Art von Angriffen gibt es, dass es das könnte als Schadenspotenzial sein, damit man das ein bisschen greifbarer macht und nicht nur so abstrakt ist, ist alles schlecht und man kann angegriffen werden. Die nächste Sache, die der selbe Kollege angefangen hat oder gemacht hat ist, sich zu sagen, lass uns das in irgendeine Zahl bringen, lass uns eine Formel draus machen und hat sich überlegt, lass uns statische und dynamische Faktoren voneinander unterscheiden und angucken. Dann können zum Beispiel, wenn wir so ein Setup haben, Geräte installieren, dann können wir sagen, okay, dieses Gerät X, was ich jetzt hier gerade in dem Netzwerk dazu füge, was für ein Gerät ist, das ist das vielleicht nur eine Spannungsversorgung und kann gar nicht selber auf dem Bus sprechen. Beim Beispiel von KNX sind nämlich die Teilnehmer über den Bus mit Spannung versorgt und da gibt es pro Line, sozusagen mindestens eine Spannungsquelle, die ist vielleicht weniger sicherheitsrelevant als Geräte, die selber sprechen können. Dann ist die Frage, wie physikal zugänglich ist denn das Gerät? Ist das ein Lichtschalter in einer öffentlichen Turnette eines öffentlichen Gebäudes? Da kann eigentlich quasi jeder relativ ungesehen hinlaufen und dran rumarbeiten oder ist es irgendwie ein Gerät, das in einem abgeschlossenen Gebäudebereich im Serverraum irgendwo sicher steht, wo man erst mal nicht hinkommt oder nur ein kleiner Personenkreis dahin kommt. Dann kann man sich auch noch angucken, wie physikal es zugänglich ist, denn das Busmedium. Angenommen, wir haben jetzt irgendwie ein Zugangskontrollsystem, das am Bus hängt, dann wollen wir die Busleitung bestimmt nicht an der Außenwand verlegen, umso leichter machen, bis jemanden, der von außen kommt und damit rum spielen möchte. Und man kann sich angucken, wie viel Reichweite habe ich denn von einem Gerät, von einem Bussegment zu wie viel anderen Geräten kann ich denn eigentlich in diesem Fall kommunizieren. Das kommt ein bisschen drauf an, wie das Netzwerk aufgebaut ist, ob es da Filter gibt oder nicht. Und das kann alles quasi beim Setup, bei der Konfiguration, bei der Installation bedacht werden. Und die Idee ist vielleicht, wenn man das vor Augen hat, bei der Konfiguration zu einer Art Heatmap oder Konfigurationshilfe zu machen, wo dann eine Information kommt. Guck mal, wenn du das Gerät an dieser Stelle dazu fügst, dann hast du das Risiko und so und so viel erhöht. Einfach, um den Leuten, die diese Konfiguration machen, Arbeit abzunehmen, weil die vielleicht nicht an diese Aspekte denken. Dynamische Faktoren können dann natürlich sowas sein, wie viele Telegramme gehen da pro Zeit gerade in diesem Netzwerkssegment durch. Und was für Telegrammtypen sind das die eigentlich da durchgehen? Und da kommen wir eigentlich schon quasi gleich zur nächsten Idee. Der Bus an sich hat quasi das Grundkonzept möglichst wenig Kabel und möglichst viele Geräte da dran, sag ich mal, vereinfacht. Das ist natürlich toll. Wir haben wenig Kabel, kostet nicht so viel, können es günstig aufbauen. Aber die Angriffsreichweite hat sich natürlich sehr erhöht. Wenn da jetzt gar keine Fütterung passiert, dann kommt man quasi von überall, überall hin und kann mit allen anderen Geräten sprechen und Unfuggen machen. Man könnte überlegen in anderen Bereichen, zum Beispiel in der Automobil-Situation, da kommen wir schnell auf die Idee, das ist eine blöde Idee ist, wenn das ABS und das Entertainment System irgendwie gleiche Kommunikationsmedien benutzen irgendwelche Schutzmechanismen. Wir könnten also anfangen, einzelne Zonen zu machen, wie zum Beispiel die Beleuchtungssteuerung und die Klimasteuerung getrennt voneinander zu machen. Dann kann ich vielleicht nicht mehr mit einem Lichtschalter, auf den ich Zugriff habe, dafür sorgen, dass ich mit einer guten Klimaanlage in Gebäude, in Hörsaal zum Beispiel die Luft so absaugen, dass die Teilnehmer keinen Fenster und keine Tür mehr von innen öffnen können, wenn die Türen und Fenster entsprechend geöffnet werden. Das kostet natürlich ein bisschen mehr Kabel, aber wir haben dann potenziell getrennte Bereiche, über die wir mehr Sicherheit, Hoheit bekommen können. Muss man natürlich aufpassen, wenn wir die Bereiche einfach blind zusammenstöpseln, ist das nicht so? Da müssen wir uns ein bisschen Gedanken machen. Eine Sache, die man natürlich machen kann, es filtern und zwar zum Beispiel die Package-Inspection. Wir können also an diesen Broadcast-Übergängen, den Line-Kopplern und Bereichskopplern sagen, wer sagt eigentlich, was zu wem und ist es blausibel, ist der Kontext blausibel, diese Nachricht soll die da gerade durchkommen, wenn nein, dann verwerfen wir sie und wenn ja, dann leiten wir sie weiter. Und hier nochmal rechts oben als kleine, sozusagen Erinnerung, die grundlegende Paketstruktur von so einem KNX Telegramm. Wir können damit ungehin, unblausible Weiterleitungen verhindern. Das schützt aber nicht dafür, dass ich jetzt das spufen kann. Ich kann einfach als Absender, als Source-Adresse irgendetwas eintragen, was üblicherweise dort langläuft und schon habe ich irgendwie den Kontext manipuliert und das funktioniert nur Broadcast übergreifen. Da sind wir dann wieder beim letzten, bei diesem Zone-Konzept, im Zweifel müssen wir die Broadcast-Domänen kleiner machen. Wir können natürlich auch weggehen von der Idee zu sagen, nur was komisch ist, verwerfen wir, wir können sagen, eigentlich können wir auch eine Art wide-listigen Prinzip machen, nur was soll, leiten wir weiter und das, was wir gar nicht kennen, das werden wir einfach ignorieren. Denn potenziell müssen wir bei so einer KNX-Anlage am Anfang eine Projektierung vornehmen und die kennen schon einige wichtige Informationen, eigentlich viele wichtige Informationen. Die kennen schon alle Kommunikationsteilnehmer, die wir am Netz dabei haben wollen. Die weiß schon, wer, welcher dieser Geräte mit welchen anderen Geräten reden können soll. Es ist auch schon klar, mit welchen Kommunikationsobjekten, also was für Datentypen, wie sieht denn die Nachricht aus, die sich gegenseitig austauschen wollen und die kennt sogar logische Positionen im Netz und entsprechende Filterungen könnten dann quasi einfach alles schlucken, was nicht auf unserer Wide-list steht. Das hat die gleichen Vor- und Nachteile, wie eben, wir verhindern potenziell unblausible Weiterleitung, es schützt nicht vor Spoofing und es funktioniert erst mal nur Broadcast übergreifend. Genau und natürlich auch nur in gewissen Rahmen so, wenn jetzt ein üblicher Sender an einen üblichen Empfänger, eine Nachricht vom üblichen Datenformat aber sendet, dann heißt es ja noch lange nicht, dass wir das Datenformat so begrenzt haben bei der Projektierung, dass damit nicht Unfug betrieben werden kann. Wenn ich die Heizung die ganze Zeit an und aus und an und ausschalte, sind das übliche Telegramme, aber potenziell dann irgendwann das Gerät vielleicht trotzdem kaputt. Eine andere Idee, die wir aufgegriffen haben, ist NetFlow-Analyse, also zu sagen, wir schauen in unterschiedlichen Bereichen des Netzwerkes uns mal an, was für Verkehr passiert da, wie verhält sich das, wie viele Telegramme in welcher Zeit, mit welchem Abstand und dazu packen wir in jede Broadcast-Bereich ein Agent. Im NetFlow-Bereich ist es üblicherweise so, dass man diese Teile Sensoren nennt, das habe ich jetzt hier nicht gemacht, weil Sensor ist im Feldbus-Bereich schon den Begriff, den ich eingeführt habe und anders verwende. Also die Agenten, die hier in den Bildern, in die zwei rechten Grünen und die rechten blauen Kästen, also einen Agent pro Broadcast-Domain, die sammeln dann ein bisschen Informationen für irgendein Bereich auf. In dem Broadcast-Domain kriegt man immer alle Telegramme mit, die auf dem Bus liegen und die können dann von Zeit zu Zeit das, was sie herausgefunden haben, vielleicht Statistisch zusammengefasst über das Bus-Medium selber an einen Kollektor, dann ganz oben im Bild weiter leiten. Der hat dann Weltansicht quasi vom Netzwerk und kann gut entscheiden, wenn dann irgendwie plötzlich auftaucht, dass ganz viele Pakete unüblicherweise in dem gewissen Bereich auf dem Bus zu erkennen sind, dann könnte man sogar ein Warnsystem anschließen und sagen, okay, wenn da zu viel Verkehr plötzlich passiert, dann triggern wir einen Alarm zum Beispiel. Das Skalier ist supergut, wir brauchen nur einen Kollektor und dann hier wird es ein Agent-Proportress-Domain. Wir können die bestehende Kommunikationsinfrastruktur benutzen, also in Band unsere Übertragung durchführen. Das können wir dann auch live installieren und es funktioniert auch robust, wenn mal ein Gerät ausfallen sollte, solange es nicht der Agent ist, für den einen Bereich, aber selbst wenn ein Agent ausfällt, dann kann der Rest noch funktionieren und der Kollektor ist dann halt vielleicht ein Single Point of Failure. Wir können aber mit relativ wenig technischen Hardwareaufwand relativ viel vom Netzwerk irgendwie überwachen. Wir haben wieder keinen Schutz vor Lausch angriffen und wir haben ein bisschen das Problem, dass wenn jetzt irgendwie so eine Art Denial of Service durch ganz viel Verkehr auf dem Bus passiert, der zu Überlast führt, dann hat unser Sicherheitssystem ja plötzlich auch noch Telegramme, die auf den Bus packen und potenziell dann ja vielleicht sogar mehr, weil gerade viel los ist. Außerdem hat ein Angriff auf unser System natürlich vielleicht schon Zugriff auf den Bus kann also schon mitlesen, ist dann bestimmt auch daran interessiert, wenn er unsere Sicherheitsanalyse Informationen bekommt. Das ist vielleicht dann ein bisschen kritisch muss man sich überlegen. Und bei der Klassifikation haben wir in der Gebäudautomation das Problem, wir müssen dass seltene Aktionen von Angriffen unterscheiden, dass es nicht unbedingt trivial, weil wenn jetzt quasi nie im Putzraum jemand das Licht angemacht hat, aber heute habe ich Kaffee verschüttet und ich gehe in den Putzraum und holen Lappen und der ist eigentlich nur für die Putzfrau, die irgendwie früh morgens kommt, gedacht, dann ist es ja nicht gleich ein Alarm und wenn wir zu viele falsche positive Alarme schicken, dann wird jedes Warnsystem irgendwann dazu führen, dass die Leute, die dahinter sitzen, keine Aktionen mehr greifen. Wenn wir jetzt irgendwie da zum Beispiel Machine Learning draufschmeißen und sagen, was ist normal und was ist nicht normal, dann haben wir außerdem noch die Situation, dass sich die Nutzung von solchen Gebäuden natürlich laufend ändert. Wenn wir unsere Klassifikation nachlernen lassen, dann öffnen wir gleichzeitig aber also um solche Veränderungen aufgreifen zu können, dann öffnen wir die Tür für etwas komplexere Angriffe, die einfach nach und nach durch ihr Verhalten das Gebäude so umlernen, dass der Angriff dann möglich ist, den sie vorhaben. Und eine neue weitere Idee, die wir jetzt angefangen haben, aufzugreifen. Ein neuer Kollege hat angefangen. Wir wollen mal gucken, ob wir, wenn wir physikalisch die Spannung auf dem Zweitrad zum Leitung angucken, ob man da vielleicht Sachen rauskriegt, wie der Lichtschalter, der mit der Lampe kommuniziert hat, hat eigentlich immer so über 2 Meter Kabel kommuniziert. Da sah dann der Spannungsverlauf so aus, wenn da jetzt plötzlich jemand aus 50 Meter Entfernung mit einem Lichtschalter auf diese Lampe spricht, sieht dann der Spannungsverlauf vielleicht ein kleines bisschen anders aus. Wir sehen hier oben rechts eine 0 und eine 1 auf dem Bus zum Beispiel. Also die 0, wo der Spannungsverlauf einknickt und die 1 rechts dann der Teil, wo es fast konstant bleibt. Wir versprechen uns davon Schutz vor dem Dazuglemm, vielleicht und sehr wahrscheinlich ist es möglich, dass wir Geräte Fingerabdrücke erzeugen können, so wie man das aus dem RF Bereich vielleicht schon kennt. Vermutlich sind wir sehr anfällig gegenüber elektromagnetischen Störungen. Müssen wir mal schauen. Es wird auch sehr wahrscheinlich eine sehr aufwendige individuell zu konfigurierende Installation, Lösung sein, die pro Installation Aufwand mit sich bringt und auch jedes Mal, wenn sich irgendwie in einem Gebäude was ändert, wenn sich Verkabelungen unkonfigurierend ändert und dafür ist, ja sozusagen auch ein Teil davon ist ja auch, warum wir überhaupt solche Systeme überhaupt einsetzen, damit man Konfigurationen leicht machen kann und da verlieren wir dann vielleicht ein kleines bisschen was. Wir haben ein ganz großes Problem bei unseren ganzen tollen Ideen und zwar Testdaten. Wer gibt uns denn jetzt Daten von Bussen, die angegriffen wurden? Wer weiß überhaupt, dass er angegriffen wurde und selbst, wenn man angegriffen wurde, das sind hochsensibler Daten. Man hat als Organisation, als Institution, auch als Privatperson, vielleicht Image und Reputationen, die man schützen möchte. Man will gar kein Risiko eingeben. Warum soll ich meine, meine Intimendaten irgendwie jemanden andern geben? Ich erinnere wieder an den Vortrag Reverse Engineering Spiegel online. Wenn ich jemanden Daten gebe, weiß ich ja gar nicht, was er da raus holt, wie viel Kreativität er mitbringt und was er da tolles rausfindet. Vielleicht weiß er dann, wie oft ich die Hände, was schon, das will ich ja gar nicht. Wir wollen aber trotzdem, also obwohl wir keine realen Testdaten haben, wollen wir trotzdem unsere Ansätze irgendwie bewerten, können experimentieren, können und haben gesagt, wir brauchen irgendwie so eine Art Testdatensatzumfeld. Und da haben wir dann halt einfach versucht, selbst was zu erstellen und der QR-Code führt euch auf die Seite, wenn irgendjemand in diesem Umfeld aktiv ist oder einfach Lust hat, rumzuspielen, fühlt euch eingeladen, ladet euch die Sachen runter, die sind Creative Commons lizenziert, ihr könnt da reingucken, wie so ein Telekram-Lock aussieht, wenn jemand die Möglichkeit hat, andere Protokolle, das gleiche Protokoll-Daten dazu zu tun, sehr, sehr, sehr gerne. Wie haben wir das gemacht? Wir haben reale Daten in unserem Gebäude aufgezeichnet, zu einer Zeit, wo wir das noch durften. Haben nur einen bestimmten Bereich des Fluges dann sozusagen aufgezeichnet mit Leuten, die alle eingewilligt haben und haben diesen angriffsfreien Busverkehr. Wir nehmen an, erst angriffsfrei, weil wir nichts gefunden haben, auch in länger zurückliebenden Daten, die darauf hinführen, hindeutend, dass irgendwie dann Angriff wäre. Wir schauen mal an, was wir Telekramme sind, da in der Zeit passiert. Klassifizieren die, die möglichen Telekrammen und Klassifizieren die, die Erkramme, die sozusagen Telekramme meine ich Entschuldigung, die wir aufgezeichnet haben und bringen die in eine zeitliche Ordnung. Also, und dann haben wir einen Original Telekram Stream und durch das entfernen und der Zufügen von Telekrammen oder in Kombination das Verändern von Telekrammen und leicht Veränderten hinzufügen, haben wir dann einen manipulierten Telekram Stream, der zwar künstlich erstellt ist, aber hoffentlich realitätsnah ist. Da können wir genauer hingucken und dann stellen wir fest, es gibt irgendwie so zeitliche Muster, zum Beispiel in so einem Office-Gebäude, da gibt es einen Wochentags-Rhythmus. Ja, Montags bis Freitags sind viele Leute da, werden viele Bewegungsmelder getriggert, Samstag und Sonntag nicht so. Morgens bis Abends, viel, nachts eher wenig. Man kann auch saisonale Trends daraus erkennen. Also, wir können an den Daten von dem Bus sehen, ob es da gerade draußen kalt oder warm ist. Natürlich, wenn es kalt ist, macht die Heizung mehr Alarm. Es gibt andere interessante Muster zum Beispiel Telekramme, die einfach immer hart genau auf die selbe Zeit wiederkehren. Das ist dann wahrscheinlich ein maschinell induziertes Muster und nicht eines von Nutzer induziert, wie das, wovon ich gerade gesprochen habe. Und es gibt vielleicht diese Art von Muster, wo man sagt, wenn man dieses Telekramm sieht, dann sieht man danach auch immer jenes und solches und ein weiteres. Okay, in dem künstlichen Test, also diese Art von Muster müssen wir natürlich bedenken, wenn wir realitätsnah Angriffs-Szenarien simulieren wollen. Und was haben wir in unserem Tester-Ansatz den jetzt, wenn ihr dem QR-Code folgt, finden werdet, für Angriffe integriert. Wir haben Parameter manipuliert, zum Beispiel den Hop-Count, erzählt, wie lange das Paket noch weitergeleitet wird, bevor es verworfen wird. Wir haben unbekannte Absenderadressen hinzugefügt. Wir haben Telekramme zeitlich verschoben, auch mal eine Stunde zurück um Timing-Angriffe oder irgendwie wie man in den Mittel-Angriffe mit Latentsen zu simulieren. Wir haben Replay-Angriffe genommen. Wir haben Negationsangriffe in den, in den Ansatz integriert also, der Kollege schaltet Leben an das Licht an. Und immer, wenn ich auf dem Bus sehe, dass die Lampe X angeschaltet wird, schicke ich direkt danach ein Telegramm, was genau dieselbe Lampe wieder ausschaltet. Das ist so eine Art gezieltes Dinal-of-Service, ja. Auf dem Bus kann immer noch normal kommuniziert werden, aber der Kollege kann die Lampe nicht anschalten. Und der wird vielleicht, wenn er nicht auf den Bus guckt, keine Ahnung haben, warum nicht. Und natürlich haben wir ein paar Telegramme entfernt und auch zu simulieren, dass man einfach für sie kalte Schärme-Netzwerke umgeht. Das soll jetzt gar nichts heißen, irgendwie hier die Leute, die solche Fettbusse gebaut haben, die haben da ganz viel Mist verzapft. Es ist nämlich ziemlich schwierig, Sicherheit jetzt auch nachzurüsten, so. Man kann jetzt, es ist zu einfach zu sagen, ja, okay, warum, warum fixe das nicht einfach? Da sind viele Probleme, die nicht ganz trivial sind. Zum einen ist natürlich Sicherheit und Freiheit immer eine komplexe Güterabwägung, aber wir müssen uns auch fragen, wie viel Geld sind wir bereit, in die Hand zu nehmen, dafür, dass mein Kollege mir nicht nebenan die Licht ausschalten kann. Wir haben eine Komplexitätsteigerung von solchen Systemen immer mehr vernetzt, ein Gateway dazu packen, andere Systeme dazu packen. Die Realität ist, wir haben gut dokumentierte Schaltschränke. Die Theorie ist, wir haben gut dokumentierte Schaltschränke. Die Realität ist, na ja, da hat mal jemand hier noch was verändert, wollte es gleich noch dokumentieren, ist dann krank geworden und so weiter und so fort. Wir haben so einen Dokumentenerusion und der Status wie das Geburt eigentlich, das weiß keiner so richtig, 100%ig, also als potenzielle Situation, sehr wahrscheinliche Situation. Selbst wenn jetzt all diese Geräte irgendwie Schlüsselmaterial hätten, müsste man das immer wieder verteilen, müsste man das vielleicht bewoken und wie geht es dann los? Geht jemand rum und geht zu jedem einzelnen Gerät? Wenn die Geräte so klein und schwach sind, dass hier irgendwie nicht Krypto können, müssen wir die größer machen, mehr Ressourcen dazu packen, so ein KNX-Dichtschalter kostet allerdings jetzt schon die 100 Euro. Wenn wir ein IDS nehmen oder so, haben das Personenbezugsproblem, man kann diese Technologien eben auch missbrauchen. Ich habe den Adressraum noch vergessen. Die Adressen sind so klein, selbst wenn es verschlüsselt wäre, wir können es einfach durchprobieren, Blutforzen, bis wir die richtigen Adressen haben. Und bei der Klassifikation haben wir das Problem, was es normal in einem Umfeld, wo sich die Normalität vielleicht die ganze Zeit ändert, wo wir aber auch nicht einfach beliebig viele false positives in den Kauf nehmen können. Wenn wir Reaktionen nach, wenn wir auf die Veränderung reagieren, indem wir Nachländensysteme nehmen, habe ich schon gesagt, dann kann ein Angreifer einfach schleichende Veränderungen machen. Okay, es ist trotzdem wichtig, dass wir das Problem bewusst sein schaffen. Nicht jeder ist IT-Experte. Und wenn wir solche Sachen machen, wie öffentliche Gebäude ausschreiben, dann sollte meiner Meinung nach grundlegende IT-Sicherheitsmerkmale in der Ausschreibung schon als Punkt auftauchen. Und die Hersteller sollten vielleicht in die Verantwortung gezogen werden, dass sie, wenn sie Systeme als sicher verkaufen, diese auch entsprechend so gestalten. Und wenn sie das nicht geschafft haben, dann nachzurüsten, irgendwie in der Form von Patching-Mechanismus, mir ist nicht bekannt, wie das funktionieren soll. Im KNX-System, ich habe das vorhin etwas ausgelassen, gibt es das KNX Secure, das ist eine Erweiterung zum ursprünglichen Protokoll, wo dann Verschlüsselung auftaucht. Als das Gebäude bei uns gebaut wurde, gab es so gut wie keine solche Geräte, wenn man jetzt also das Gebäude benutzen möchte über ein paar Jahre und dann kommt irgendwann die Geräte dazu. Wer bezahlte dann die Umbau-Nachrüstaktion? Alles völlig ungeklärt passiert für einen Zweifel einfach nicht. Genau, und dann kommt vielleicht die Frage auf, finden sich solche problematischen Situationen auch in anderen Gebäuden, Kraftwerken, Krankenhäuser, Fabriken, Häfen, Boote, Autos. Wir haben Kollegen in Norwegen, die genau ähnliche Forschung machen, kritische Infrastruktur, die bauen selbstfahrende Boote und haben gedacht, wir fangen mal früh an und holen uns Experten ins Boot, die drauf schauen, bevor wir das System gebaut haben, damit Sachen richtig gehen. So, ich glaube, ich habe noch ein bisschen Zeit, dann ganz kurz noch ein bisschen für die Leute, die Lust haben, selber mit kein X rumzuspielen. Geräte kaufen ist teuer, vielleicht kann man das nicht so super gut lesen. Das weiß ich nicht so genau. Im Zweifel, schaut ihr auf media.ccc, da könnt ihr die Links alle auch noch mal dann in den Slides sehen. Es gibt kein X Virtual, da kann man sich selber Geräte zusammenklicken virtuell. Die sehen dann zum Beispiel so aus. Links oben ist ein Lichtschalter und rechts oben, das sind dann entsprechende Lampen und Dimmer. Da muss man sich die teuren Geräte kaufen und sich ins Zimmer stellen. Und die kann man dann entsprechend mit der Engineering Tooling Software konfigurieren. Ich habe keine Ahnung, wie gut ihr das jetzt lesen könnt, ob das zu klein ist. Es ist ein Screenshot von dem Bus Monitor. Also mit dem Engineering Tooling Software kann man auch einfach gucken, welche Telegramme über das Bus, über den Bus laufen. Man kann sehen, wie sie konfiguriert werden, welche physikalischen Adressen, logischen Adressen mit wem sprechen. Es gibt noch ein anderes Tool, NetNode. Das lässt, damit kann man zum Beispiel Telegramma aufzeichnen und zusammenklicken und dann auch los schicken. Das kriegt man auch kostenlos. Man braucht zwar eine Lizenz, die kriegt man aber für eine einfache Registrierung. Und all die anderen Tools sind Sachen, die ich hier verlinkt habe. Bei den Gateways vielleicht noch die Sache uns ist, bei unseren Arbeiten aufgefallen, nicht alle Gateways können alle Telegramme auf oder haben per se erstmal alle Telegramme mitgeschnitten, sondern die irgendwie an ihnen nicht vorbei gelaufen sind, sondern manchmal nur die, die an sie adressiert waren. Aber wenn man jetzt so ein Full Take, wenn man alles mitnehmen will, ist das vielleicht eh nicht so praktisch. Inzwischen benutzen wir immer den USB Stick Gateway von Weinzel und klemmt den an den Arduino Raspberry Pi, meine ich, Entschuldigung. Und damit haben wir auch zum Beispiel die Agenten und Kollektoren von einem NetFlow Experiment gemacht. Ich möchte ganz viel Danke sagen bei meinen Kollegen Thomas Mund, Johannes Golls, Johann Bauer, Andreas Dersteg, Maximilian Jung, Martin Peters und anderen ehemaligen, anderen und ehemaligen Mitarbeitern am Lehrstil für Informations- und Kommunikationsdienste der Uni Rostock. Die Tools, die ich sonst noch benutzt habe, Public Domain Vectors, ist genau das, was man braucht. Die kleinen Icons, die ihr im Vortrag gefunden habt, die durfte ich lizenzfrei hier verwenden. WGPD hat mir auch mir geholfen und zum Abschluss, worüber haben wir geredet? Wir haben gesagt, wie funktionieren vernetzte Gebäude? Wir haben herausgefunden, so Feldbusse, da gibt es Sensoren, die über Medien, Feldbus-Medium mit Aktoren kommunizieren. Wir haben uns angeguckt, wie so eine Adressierung bei KNX aussieht, wie so ein Telekom aussieht. Wir haben danach darüber gesprochen, welche Sicherheitsprobleme gibt es? Es gibt de facto keine Verschlüsselung, wenn man nicht die Erweiterung hat, die noch nicht so richtig überall angekommen ist. Bei uns im Gebäude ist es zum Beispiel noch nicht der Fall. Wir haben keine Identitätsprüfung, wer das spricht, eine zunehmende Vernetzung heißt, wir haben ein größeres Angriffsfeld. Wir haben unfassbar lange Laufzeiten im Zweifel. Wir haben Personenbezug von Daten und dabei wollten wir nicht stehenbleiben. Wir haben danach zum Schluss noch geguckt, wie können wir mit der Situation umgehen? Erst mal das Risiko darstellen, Bewusstsein schaffen, dann einfache Konzepte, Zonenkonzepte, Filterung. Dann haben wir über NetFlow gesprochen, ein paar Geräte dazutun, um über statistische Auswertung die Gesamtsituation ein bisschen zu kontrollieren. Vielleicht ist sogar was möglich über physikalischen Zukunft. Da wäre potenziell sogar der Gedanke, ob man rauskriegt, ob da jemand mitlöst, um endlich auch diesen einfach nur zuhören, irgendwas entgegenzustellen. Und wir haben einen Testeransatz, damit wir anfangen können, damit richtig zu experimentieren. Damit komme ich zu meinem Ende und ich sehe gerade nicht, ob wir noch Zeit für Fragen haben, aber falls ja, dann sehr, sehr gerne. Ansonsten bin ich auch noch hier ansprechbar. Vielen Dank. Dankeschön. Simon. Wenn es Fragen gibt, wir haben zwei Mikrofonengel im Raum, stellt euch doch in die Gänge, dann können entsprechend die Fragen entgegengenommen werden. Wir scheinen auch keinem Internet zu haben aktuell. Ansonsten könnt ihr ja auch jederzeit gerne noch an uns herantreten. Eine E-Mail-Adresse steht da, findet die Slides und kommuniziert gerne mit uns. Wir sind daran interessiert, falls jemand Assoziation Gedanken hat. Findet man dich noch auf der Konferenz? Wie bitte? Findet man dich noch auf der Konferenz für Fragen? Bis heute Abend. Ja, dann muss ich leider abreißen. Wir haben eine Frage läuft. Bitte schön. Vor euch meintest du, dass wir genau die Luft-Schnittstelle nicht gesehen haben. Habt ihr auch so weiterverbreitete Sachen wie das Phillips-Hue-Gedöns getestet? Wir haben dann nur kein X. Wir haben auch andere Sachen ein bisschen angeguckt. Ich habe jetzt über kein X gesprochen, weil das der Teil ist, mit dem ich mich noch am meisten selber mit beschäftigt habe. Wir haben ein paar studentische Arbeiten zu Randthemen gehabt. Und wenn dich das interessiert, dann würde ich vorschlagen. Wir tauschen einfach Kontakt aus, dann vermittel ich dich an die Person, die da mit Phillips-Hue-Sachen gemacht hat. Die kann dir mehr sagen, als ich vermutlich. Vielen Dank dafür. Noch eine Frage, bitte. Wie funktioniert das mit dem K-N-X Secure hier drüben? Wie funktioniert das mit dem K-N-X Secure? Also, wie haben die die Vor- und Nachteile dieser Lösungsansätze quasi abgewogen? Ja, im Wesentlichen kommt Verschlüsselung dazu. Das heißt, aber du brauchst neue Geräte. Und mit neuen Geräten meine ich jetzt nicht nur irgendwie die Koppler, sondern da muss der Lichtschalter ausgetauscht werden. Da muss die Lampe ausgetauscht werden. Da muss eigentlich alles, was verschlüsselt kommunizieren, möchte ausgetauscht werden. Und jetzt musst du erst mal jemanden finden, den du davon überzeugen kannst, das dann im Gebäude, wo das Licht an und ausgeht, wie es soll. Jemand viel Geld in die Hand nimmt, um nachhinein solche Installationen zu aktualisieren. Und selbst wenn das der Fall war, dann ist noch die Frage, wie gut ist die Krypto? Wie gut ist das? Und ist es nicht vielleicht zwei Wochen später oder nach dem nächsten Congress schon wieder alles kaputt? Weil irgendjemand da genauer hingeguckt hat. Und das größte Problem ist eigentlich die Verfügbarkeit. Wenn du so ein Gebäude baust, als zum Beispiel Universität, ja, und ich bitte, das ist jetzt hin, nicht das schwarze Schaf, das ist nur ein Beispiel. Dann guckst du natürlich, was ist der Stand, was machen andere Leute, die Menschen, die dafür verantwortlich waren, die waren erst ziemlich sauer, als wir irgendwie gezeigt haben, dass es da Probleme gibt. Inzwischen sind die quasi unsere Freunde und versuchen mit uns zusammen Aufmerksamkeit für das Thema, auch bei Kollegen von sich zu finden, um zu sagen, das sind Probleme, die müssen wir angehen. Und ja, wenn du dann einfach keinen K&K-Secure-Produkt kaufen kannst, weil das nur ein Teil der Geräte gibt, die das schon unterstützt, dann wirst du es nicht kaufen und dann wirst du es nicht installieren und dann bist du in der Situation in der wir jetzt sind. Vielen Dank für deinen Vortrag. Vielen Dank für die Antworten. Gebt ihm einen freundlichen Applaus dafür, dass er uns einen schönen Vortrag hier gehalten hat. Bitte. Dankeschön.