Der System-Sicherheitsschlüssel

  • Stand: Dienstag, 07 Januar 2014
  • Artikel:
Die Sache mit dem System-Sicherheitsschlüssel ist eine Geschichte voller Missverständnisse...so, oder so ähnlich könnte man das Thema umschreiben, schaut man sich die zahlreichen Fragen im Forum an. Dieser Artikel soll mal die häufigsten Fragen dazu gesammelt beantworten und ein wenig Licht in die Sache bringen.
Doch zunächst einmal soll geklärt werden, wozu der System-Sicherheitsschlüssel überhaupt da ist, und wann man ihn setzen sollte. Einige Komponenten des HomeMatic- System unterstützen eine gesicherte Übertragung der Daten - das sind speziell solche, die auch in sicherheitsrelevanten Bereichen zum Einsatz kommen, z.b. Tür- Fensterkontakte oder die KeyMatic. Als Grundlage dieser Verschlüsselung dient ein symmetrisches Kryptoverfahren names AES. Bei einer gesicherten Verbindung wird die Authentifikation zwischen Sender und Empfänger mit Hilfe von AES verschlüsselt und mit dem System-Sicherheitsschlüssel signiert. Damit erkennt der Empfänger dann, ob der Sender berechtigt war, diesen Befehl abzusetzen.
Für eine verschlüsselte Übertragung (und Einsatz von AES) ist die Vergabe eines eigenen, indivduellen System-Sicherheitsschlüssels unbedingt anzuraten(!) - warum?

Zwar besitzen alle HomeMatic-Komponenten, die eine gesicherte Übertragung unterstützen, bereits einen voreingestellten System-Sicherheitsschlüssel, dieser kann (mittlerweile) aber als unsicher und knackbar angesehen werden (siehe Video des 30c3).
Nachfolgend ein paar Antworten zu den meist gestellten Fragen:
FrageAntwort
Hat ein Schlüssel Einfluss auf die Sender-Geschwindigkeit bzw. Verarbeitung? Nein. Aber wenn ein HomeMatic Gerät „gesichert“ kommuniziert, werden mehr Pakete übertragen. Das führt zu geringfügigen Verzögerungen und belastet batterie-betriebenen Geräte. Die Einstellung, „standard“ oder „gesichert“ zu übertragen, ist unabhängig von einem vergebenen Sicherheitsschlüssel.
Kann man einen Schlüssel auch im Nachhinein setzen, ohne das man alle Aktoren neu anlernen bzw. Konfigurationsdaten übertragen muss? Ja. Im Anschluss müssen aber die geänderten Konfigurationsdaten an die Aktoren übertragen werden, was je nach Einbausituation sehr aufwendig sein kann. Man sollte den Schlüssel also so früh wie möglich setzen. Ein erneutes Anlernen der Geräte ist nicht notwendig.
Hat der Schlüssel Einfluss auf die AES-Verschlüsselung (KeyMatic mit/ohne Schlüssel genau sicher)? Ja. Aus dem System- Sicherheitsschlüssel wird der AES Schlüssel generiert, mit dem die Authentifizierung abläuft.
Was passiert, wenn man den Schlüssel vergisst? Dazu ein Auszug aus dem Handbuch (WebUI, S. 32, 7.1.11):
Notieren Sie sich Ihren System-Sicherheitsschlüssel und bewahren Sie diesen an einem sicheren Ort auf. Aus Sicherheitsgründen besteht keine Möglichkeit den System-Sicherheitsschlüssel zurückzusetzen oder zu umgehen. Das Setzen des System-Sicherheitsschlüssels wirkt sich auf alle im System installierten Geräte aus.

Es gibt wirklich keine Möglichkeit, den System-Sicherheitsschlüssel in einzelnen Geräten zurückzusetzen. Falls noch alle Geräte angelernt sind, kann man diese in den Werkszustand setzen. Das Setzen in den Werkszustand ist wichtig, da sonst der Sicherheitsschlüssel im Gerät nicht gelöscht wird. Sind alle Geräte abgelernt, kann man seine Zentrale in den Werkszustand setzen (Systemreset). Dann ist auch der Sicherheitsschlüssel weg.
Was passiert, wenn die Zentrale ausgetauscht wird, die dann noch keinen Schlüssel hat? Man sollte immer ein funktionsfähiges Backup bei der Hand haben. Darin ist auch der System-Sicherheitsschlüssel enthalten.

ACHTUNG: Zum Einspielen eines solchen Backups muss der System-Sicherheitsschlüssel eingegeben werden. Das „Vergessen“ des Schlüssels ist an dieser Stelle „tödlich“.
Kann man den Schlüssel im Nachhinein noch ändern bzw. einen neuen vergeben? Was passiert dann mit den Geräten? Ja. Es stehen dann aber Konfigurationsdaten für jede Komponente zur Übertragung an.
Kann man den Schlüssel wieder entfernen? Wenn ja, wie? Ja, z.B. durch Systemreset. Vorher sollte man jedoch dringend alle HomeMatic Geräte in den Werkszustand setzen. Das Setzen in den Werkszustand ist wichtig, da sonst der Sicherheitsschlüssel im Gerät nicht gelöscht wird. Sind alle Geräte abgelernt, kann man seine Zentrale in den Werkszustand setzen (Systemreset). Dann ist auch der Sicherheitsschlüssel weg.
Folgende Dinge sind zu beachten, wenn man für ein bereits bestehendes System nachträglich ein System-Sicherheitsschlüssel vergeben möchte:

  • Stellt sicher, das für kein Geräte mehr Konfigurationsdaten zur Übertragung ausstehen. Ggf. die entsprechenden Konfigurationstaster solange betätigen, bis die Servicemeldungen erlöschen.
  • Erstellt ein Backup Eurer Konfiguration und stellt sicher, dass diese im Notfall auch funktioniert (vergebt einen eindeutigen Namen).
  • Stellt sicher, dass alle batteriebetriebenen Komponenten erreichbar sind, um den Konfigurationstaster drücken zu können.
  • Lest die roten Sicherheitshinweise im WebUI unter »Einstellungen > Systemsteuerung > Sicherheit« neben dem Punkt »Sicherheitsschlüssel«
  • Der Sicherheitsschlüssel wird unter Einstellungen > Systemsteuerung > Sicherheit vergeben. Wählt ein Passwort mit Sonderzeichen - vermeidet aber das Kaufmännische Und-Zeichen (&). Dies hat früher zu Problemen geführt.
  • Nach Vergabe des Schlüssels sind die Konfigurationstaster der gelisteten Geräte zu drücken, bis die entsprechenden Servicemeldungen wieder verschwinden.
  • Erstellt im Anschluss am Besten ein weiteres Backup.

Einen eigenen Kommentar verfassen

Du musst auf dieser Seite angemeldet sein, um einen Kommentar für diesen Artikel verfassen zu können.
Soll es schnell gehen? Dann melde Dich jetzt einfach über Dein soziales Netzwerk an:

Kommentare // TecBase

Sebastian Strzelecki

Sebastian Strzelecki

27. Juli, 2016 |

Hi!

Ich habe mich mit FileZIlla per SSH auf der CCU2 angemeldet und den /www/ heruntergeladen, um das potthässliche WebUI Interface...

HomeMatic-INSIDE

HomeMatic-INSIDE

04. April, 2016 |

Vielen Dank für das Lob ;-) Wenn noch etwas fehlen sollte, einfach melden...LG, kaju