Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik

Moin zusammen

Ich bin Sicherheitstester und habe bald einen Kundenauftrag zur Überprüfung der digitalen und physischen Resilienz eines Gebäudes.
Verbaut bei dem Kunden ist eine Hiplex 8400H.

Zu einen wird ein Netzwerkzugang gestellt, als wäre man im Hausnetzwerk. In den Datenblättern der Hiplex fand ich dazu, dass diese "fernparametrierbar mit der Paramet-
riersoftware hipas" sei. Hipas scheint von Telenot sehr gut aus der Öffentlichkeit ferngehalten zu werden. Auch nach längerer Suche konnte ich diese nicht online finden. Beziehungsweise lediglich zu Preisen, welche der Kunde nicht mittragen würde "um mal was auszuprobieren". Leider habe ich auch keinen Telenot-Errichter im Bekanntenkreis und muss daher hier nachfragen.
Wenn eine Person mit der Hipas Software Zugriff auf das Netzwerk hat, in welcher die Hiplex erreichbar ist, wäre es dieser Person möglich die parametrisierung der Hiplex anzupassen? Oder sind hier weitere Autorisierungs-Schritte wie die Angabe eines Errichter-Kennworts nötig? Ich möchte explizit nicht fragen wie dieser Zugriff möglich ist, sondern lediglich ob.

Basierend auf den Bauplänen welche wir erhalten haben, ist es wahrscheinlich, dass ich physischer Zugriff auf die Hiplex erlangen kann ohne, dass ein Alarm ausgelöst wird.
Soweit ich es aus den Datenblättern entnehmen kann, existiert ein Tamper-Schutz in Form eines Öffnungssensors an der Hiplex selbst. Wäre einer Person die das Ziel der Manipulation der Anlage hat, durch den physischen Zugriff irgendetwas möglich was die Alarmfunktion beeinträchtigen könnte? Nach meiner Einschätzung ist die Hiplex "auf dem Papier" gut abgesichert, habe hierfür jedoch eben keine Erfahrungswerte mit Telenot.

Ich möchte hier explizit nicht nach dem wie fragen. Es geht mir primär darum eine Risikoeinschätzung für den Kunden zu geben, was einer eindringenden Person möglich wäre.

Vielen Dank und liebe Grüße.

Das kommt auf die vergebene Berechtigung des Nutzers an, wie bei fast jeder mir bekannten EMA.

Um einen verändernden Zugriff auf die Anlage aus der Ferne zu bekommen, benötigt man folgende Voraussetzungen:

- Alle Bereiche der EMA müssen unscharf sein
- Die EMZ muss am Netzwerk hängen (ist nicht notwendig, da die Übertragungseinheit ein separates Teil der EMA ist und einen eigenen Netzwerkzugang benötigt)
- In der Parametrierung ist der hipas-Zugang per Netzwerk hinterlegt (muss explizit angelegt werden, ist kein Standard)
- Es darf keine Cloudanbindung der EMA aktiv sein
- Man benötigt die Parametrierungsdatei oder die AES-Schlüssel aus dieser
- Man benötigt das hipas-Kennwort
- Man benötigt eine aktive Servicefreigabe, die durch den Betreibercode legitimiert werden muss

Also viele Voraussetzungen sind notwendig.

Bei physikalischem Zugang ist es etwas einfacher

- Alle Bereiche der EMA müssen unscharf sein
- Man benötigt physikalischen Zugang ins Innere der Anlage, welches einen Sabotagealarm auslöst, der entsprechend örtlich und fern signalisiert werden sollte
- Man benötigt das hipas-Kennwort
- Man benötigt eine aktive Servicefreigabe, die durch den Betreibercode legitimiert werden muss

Also eine scharfe Anlage kann man nicht parametrisch verändern.

Physikalischer Zugang zur EMZ ohne Alarmauslösung ist aber auch wild. Ein BWM an der EMZ, nach Möglichkeit dauerscharf, sollte selbstverständlich sein. Würde ich im Gewerbe definitiv nur mit Zentralenumschrank machen, wenn BWM aus irgendwelchen Gründen unmöglich wäre. Wenn du wirklich ohne Alarm trotz Scharfschaltung zur EMZ kommen kannst, sollte sich dein Kunde dringend mit seinem Errichter in Kontakt setzen oder falls die Planung nicht auf Kundenwunsch so war sondern vom Errichter als Empfehlung abgegeben wurde, nen anderen Errichter suchen.

Was der MadSec hier anfragt, ist gelinde gesagt Außergewöhnlich. Ich will ihm jetzt mal nichts böses unterstellen, aber hier liest ja Gott und die Welt mit. Der Beitrag von 5624 hat eigentlich schon mal geklärt, dass das Unterfangen fast nicht möglich ist (das hast Du sehr gut aufgelistet). Die Aussage von MadSec, dass Bauseits eine Manipulation möglich erscheint, dahinter stelle ich jetzt mal ein ganz großes Fragezeichen.
Mein Bauchgefühl sagt mir, dass man auf diesen Thread nicht weiter eingehen sollte. Sorry MadSec, aber bist Du vom Fach, wirst Du das verstehen.

Ich meine mich schwach zu erinnern, das die Sicherheitstester früher mal Gutachter hießen und keiner den ich kennenlernen durfte, würde hier Dank umfangreicher Ausbildung solche Fragen stellen.

Auch ich stelle mir die Frage, was das für ein "Sicherheitstester" (Safety/Penetration/Security-Tester/Analyst) ist, der sich für seine Vorbereitung der Kenntnisse eines Forums bedient

Warum wohl findet man in jedermann zugänglichen Quellen eben keine detaillierten Auskünfte/Angaben

Sorry, aber m. E. ist hier schon zuviel geschrieben worden, auch wenn man es möglicherweise aus anderen (zugänglichen) Quellen hätte zusammentragen können.

Meine Signatur beinhaltet alles, was der Fragesteller tun muss. Dann mal los

Sorry Leute, wenn ihr nichts sinnvolles beizutragen habt, tragt doch einfach nichts bei.
Kein Wunder, dass man in Deutschland bei dieser ganzen Bedenkenträgerei nichts mehr gebacken bekommt. Security by Obscurity, was ihr hier in Perfektion betreibt, kann man auch Insecure by design nennen.

Ich hab genug davon, lebt wohl.

Sinnlos ist hier nur der 1. Beitrag und Deiner.
Ich kann Deine Meinung über diesen Thread leider nicht nachvollziehen.

Vielen dank 5624! Das hilft enorm weiter und beantwortet meine Frage vollkommen.
Es muss nicht weiter darauf eingegangen werden.
Auch teile ich das Gefühl, dass Security by Obscurity hier vollkommen gelebt wird.

@hjl1234:
Gutachter heißen vermutlich noch immer Gutachter und Sicherheitstester im Sinne von Penetrationtests heißen weiterhin Sicherheitstester bzw. Penetrationtester. Ich bin explizit kein Gutachter o.ä.

@Martina:
Zu der Frage nach der Vorbereitung aus einem Forum: Nicht jeder Kunde ist bereit die Vorbereitung eines Projektes in Form von Herstellerschulung o.ä. zu zahlen. Tagesatz/sätze + Reise + Kurskosten dafür, dass das ich Wissen in einem Projekt pro Jahr nutze, lohnt sich nicht.
Sehr gerne sogar bereite ich mich in fast allen anderen Bereichen Selbstständig, basierend auf Dokumentation etc. vor. Jedoch ist es gerade bei EMAs eben nicht ausreichend öffentlich zugänglich.
Der verweis auf deine Signatur passt gut. Denn im Grunde ist es genau das, was unsere Branchen verbindet. Nur, dass der grundlegende Ansatz ein gänzlich anderer ist. Security by Obscurity, in dem Fall durch das Vorenthalten von Informationen, ist etwas was nicht verhindert, dass Schwachstellen vorhanden sind, sondern lediglich wie schnell sie gefunden und behoben werden können. Wenn die Dokumentation alleine genug ist, dass dadurch die Schutzwirkung beeinträchtigt wird, ist es nicht der Zugang zur Dokumentation die das Problem ist.
Personen deren Interesse gross genug ist entsprechende Anlagen zu überwinden haben eben Wege um Zugriff auf die entsprechenden Dokumente zu bekommen. Ist eine Anlage hingegen im Kern sicher gestaltet, so wie der Prozess den 5624 beschreibt, hat das Veröffentlichen der Dokumentation doch eher zusätzliche abschreckende Wirkung, oder nicht?
Warum also die Dokumente nicht öffentlich zugänglich sind ist exakt die Frage, die ich mir auch schon gestellt habe. Insbesondere da ich euch dann vermutlich nicht hier mit sonderbaren Anfragen auf den Geist gehen würde

Moin zusammen!

Naja, wirklich "sinnlos" finde ich bislang keinen der Beiträge hier.
'Merkwürdig' finde ich allerdings den Ansatz von MadSec, sich in einem (also unserem) Forum nach Grundlagen für seinen Auftrag zu erkundigen. Ich schiebe das vorerst mal auf eine gewisse 'Verzweifelung', die sich eingestellt haben mag, weil er nirgendwo sonst entsprechende Informationen beschaffen kann/ konnte (falsch gegoogelt?).

Aus dieser Sicht wäre diese Anfrage in einem Forum zwar also durchaus 'legitim' (falls ihm die Antworten dann weiterhelfen sollten), aber (für mich) noch immer 'merkwürdig'.
Denn wenn ich einen bestimmten Auftrag bekomme (bzw. mich um einen solchen 'bewerbe'), sollte ich mir doch zuallererst die Frage stellen, ob ich diesen bei einer Auftragserteilung auch überhaupt ausführen kann.

Wenn ich also u.a. eine Hiplex 'prüfen' soll, brauche ich auch das Wissen und techn. Ausrüstung (wie z.B. die passende Parametrier-Software) über eben diese Anlage.
Habe ich irgendetwas davon nicht, muss ich mir entweder einen Hiplex-Errichter extern dazukaufen oder den Auftrag leider sausen lassen, um mich beim Kunden nicht 'komplett zum Löffel zu machen'.
Aber vielleicht ist das ja sogar Teil des Plans und ein 'Nicht-Telenot-Facherrichter' soll das System angreifen - wer weiß es schon außer MadSec?!

Immerhin macht sich der Kunde Gedanken über seine (elektronische) Sicherheit und hat dafür sogar ein gewisses Budget eingeplant - das ist ja schon mal super.
Wenn dieses Budget dann allerdings so klein ist, dass es nicht mal zum Erwerb der Software oder für den Einsatz eines externen Errichters reichen sollte, dann ist/sind in meinen Augen das Budget, die Aufgabenstellung und/oder die Prioritäten falsch gesetzt.
Denn als zahlender Kunde hätte ich auch den Anspruch an den Auftragnehmer, dass der dann auch weiß, um welche evtl. vorhandenen Schwachstellen des zu prüfenden Systems er sich am zielführendsten 'kümmern' sollte.

Dank der fundierten und sehr schön dargestellten Auflistung von 5624 hat MadSec ja nun auch einen Eindruck davon bekommen, dass wir uns bei einer Hiplex definitiv nicht mehr in der 'Baumarktschiene' befinden.
Gut, man kann als 'ungeschickter' Errichter selbst eine Hiplex anfällig für Angriffe von extern machen, aber das wäre für mich dann auch schon nahezu Vorsatz (und Blasphemie).

@MadSec:
100%ige Sicherheit gibt es nicht und jedes System ist angreifbar, es ist alles nur eine Frage des Aufwandes...

Errichter können lediglich dafür sorgen, dass die Systeme ihre Möglichkeiten voll ausspielen können, und hoffen, dass uns der Kunde dabei keinen Strich durch Rechnung macht, indem er irgendwelche Posten aus einer Projektierung wieder herausstreicht.
Das ist in meinen Augen der einzige Grund, warum eine (gute) Anlage in ihren technischen Möglichkeiten 'ausgebremst' werden darf (das ist dann zwar noch immer schice, aber wenigstens ist der Errichter mit entsprechender Doku aus seiner Haftung für eine Fehlprojektierung raus)..

Das größte Risiko für die Funktionsfähigkeit einer (sauber projektierten und errichteten!) ernstgemeinten Einbruchmeldeanlage ist und bleibt der Nutzer (wie oben schon erwähnt: 123456 als Passwort oder auch Phishing von Zugangsdaten usw.).
Wenn dein Kunde sicherstellen kann (besser 'könnte'), dass ein Nutzer-Versagen nicht vorkommen kann (erfahrungsgemäß ein nicht erreichbarer Zustand), dann könnt ihr euch sinnvoll über die technische Absicherung einer Hiplex gegen Angriffe (von extern) unterhalten.

Eine EMA ist immer ein komplexes Zusammenspiel aus einem 'vernünftigen' Sicherheitskonzept inkl. einer Zutrittsplanung (wer darf wann wohin und warum?), der (hoffentlich sinnvoll) installierten EM-Technik, der Kundentechnik, die dann z.B. die Energieversorgung und die Verbindung zur Außenwelt bereitstellt, eine fehlerfrei 'funktionierende' NSL bzw. AEZ mit dahintergeschaltetem 'zurechnungsfähigem' Interventionsdienstleister und den Nutzern, die im Nullkommanichts alles andere (teure) Vorgenannte folgenschwer 'torpedieren' können, indem sie z.B. 'Vergessen haben' scharfzuschalten, als sie Feierabend gemacht haben.

Bei solchen Fällen kann die NSL dann zwar noch eingreifen, indem sie einen 'Verantwortlichen' informiert, dass die EMA z.B. um 22.00 Uhr noch immer im Zustand 'unscharf' ist, aber bis dann wirklich ein Schlüsselträger die Scharfschaltung nachgeholt hat, hast du halt eine riesengroße Sicherheitslücke.
Nachgelagert muss der Kunde auch Prozesse etabliert haben, die sicherstellen, dass evtl. 'Verstöße' hinterher auch aufgearbeitet werden und Verbesserungen nach sich ziehen.
Und unter all dem steht dann noch Martinas Signatur.

Ich wünsche dir viel Erfolg in deinem Berufsfeld (dessen Dasein ich begrüße, wenn ich auch die Umsetzung nicht immer nachvollziehen kann).

Viele Grüße
Olli

---------
Nachtrag: Die letzte Rückmeldung von MadSec hatte ich beim Verfassen noch nicht gesehen.

(07-02-2026 10:45)5624 schrieb: [ -> ]Security by Obscurity, was ihr hier in Perfektion betreibt, kann man auch Insecure by design nennen.

Danke! Danke Danke!
Wo kann man hier diese Belohnungpunkte vergeben?

So, dann mache ich mich hier auch mal wieder unbeliebt....

1. Ich finde die Nachfrage von MadSec hier absolut legitim.
Die ganze Branche basiert darauf, alle technischen Informationen rigoros auf einen exklusiven Errichterkreis zu beschränken. Angeblich, damit die bösen Jungs nicht an die Informationen herankommen. Ich denke eher, das hat was mit Markt- und Preiskontrolle zu tun. Ich habe es schon an anderer Stelle geschrieben: Das ist alles nur Dampfmaschinentechnik. Wenn der Hobbybastler die Doku in die Finger kriegen würde, müsste er nicht mehr den teuren Errichter rufen.
Die wirklich bösen Jungs haben sich übrigen längst alle Infos besorgt. Entweder per Einbruchdiebstahl oder Bestechung. Deswegen ist diese ganze VdS-Anlage-WhooHoo-Heimlichtuerei auch IMO völlig kontraproduktiv.

Also das Security Assessment (zwangsläufig) vom Errichter machen lassen? Das ist nix anderes als den Bock zum Gärtner zu machen. Man braucht jemanden, der kritisch, unabhängig und vor allem nicht betriebsblind draufschaut.

2. Wie sieht denn der grundsätzliche Sicherheitsansatz in der heute üblichen Einbruchmeldetechnik aus?
Wer aus der IT-Sicherheit kommt ist es gewohnt so zu denken: "Wenn ich irgendwo auch nur die kleinste Lücke habe, dann wird es irgendwo auf der Welt jemanden geben, der dieses Lücke (automatisiert und über das Internet) ausnutzt. Es ist folglich keine noch so kleine Lücke tolerabel."
Die Einbruchmeldetechnik denkt (aus unterschiedlichsten Gründen) eher so: "Was für ein Angreifer könnte es auf genau mich abgesehen haben? Welches Know-How und welche Ausstattung bringt dieser Angreifer mit? Und nur genau gegen diesen Angreifer muss ich mich schützen. Alle Sicherheitslücken, die für diesen Angreifer zu anspruchsvoll sind, sind akzeptabel."

Und nun zu MadSecs eigentlicher Fragestellung nach mögliches Angriffsvektoren auf die Telenot Hiplex 8400H...

3. Angriff auf die Zentrale im Rahmen des Systemdesigns
5624 hat es schon ausführlich geschrieben.
Zusätzlich gibt es by design noch die Möglichkeit, die Zentrale ohne Passwörter (z.B. vergessen) wieder zugänglich zu machen und auf die Parametrierung zuzugreifen (physikalischer Zugriff erforderlich). Es werden dabei aber die bisher in der Anlage gespeicherten PINs und Schlüssel gelöscht. Mit etwas entsprechendem Social Engineering aber durchaus eine mögliche Schwachstelle.

4. Angriff auf die Zentrale unter Ausnutzung von Softwarefehlern. Also genau das was man gemeinhin Hacken oder Cracken nennt.
(Mein ganz persönlicher Eindruck und meine Einschätzung!)
Die Branche ist umsatzmäßig zu klein, als dass sich die Hersteller große Entwicklungsabteilungen leisten könnten. Etwas gemein formuliert: Das sind alles nur kleine Bastelbuden.
Telenot gehört da IMO schon zu den besseren, aber trotzdem haben die jetzt fast 10 Jahre gebraucht, um entwicklungstechnisch Stück für Stück die Hiplex-Features zu veröffentlichen, die der Vorgänger schon lange hatte. Daran merkt man: Da sitzen eigentlich viel zu wenige Leute!
Und was für Leute sitzen da? (Achtung! Ganz persönliche Spekulation!!!)
Ich habe in den letzten paar Jahren mit einer ganzen Reihe von Firmware-Bugs gerade in der Hiplex zu tun gehabt. Und die meisten dieser Bugs hatten ganz ganz typische Handschrift, die man kennt, wenn man lange genug in der Embedded-Systems-Entwicklung gearbeitet hat. Das Problem ist nämlich, dass der typische "Software-Engineer" viel zu wenig Ahnung von Transistoren und Strom und Spannung hat. Deswegen sitzen da dann eher Schaltungsentwickler, die "auch" ein bisschen Software können. Denen fehlt aber dafür dann das Fachknowhow auf den höheren Abstraktionsebenen, bzw. Software-Layer. Und die produzieren dann sehr oft genau diese Art von Bugs, wie sie mir schön öfter begegnet sind.

Fazit dieser zwei Aspekte: Ich denke, die Wahrscheinlichkeit ist extrem hoch, dass sich in der Hiplex auf der digitalen Ebene ganze Reihe von Sicherheitslücken finden lassen, wenn sich da ein Spezialist mal richtig mit beschäftigt und die Kiste auf links krempelt.

Deswegen... Wichtigste Sicherheitsmaßnahme, wenn es drauf ankommt: AIRGAP!

5. Angriff auf die Gesamtanlage (Peripherie und Leitungsnetz).
Das hängt sehr mit Punkt 2 oben zusammen. Ich mach's mal kurz und ohne Details.
Gib mir ein paar Tage Zeit, um mir ein paar Hilfsgeräte zu basteln.
Dann brauche ich 15 Minuten ungestört physikalischen Zugriff auf das Leitungsnetz oder die Peripherie jeder beliebigen nach VdS-C errichteten Telenot Hiplex Anlage. Also ein bisschen Social Engineering, unter Vorwand oder als Handwerker ins Gebäude einschleichen oder so.
Danach habe ich alles, was an dem Strang (konventionell, Bus-1 oder com2bus egal) dranhängt lahm gelegt und räume heute Nacht ungestört den Tresor leer.

Das Problem ist hier das Systemdesign der Telenot hiplex. Gegen vorbereitende Manipulation durch Innentäter ist die Anlage nur sehr rudimentär geschützt. Im Grunde beschränkt sich das auf Angreifer, die so dusselig sind, einfach den Deckel aufzuschrauben.

@MadSec Ich hoffe, das hilft Dir ein wenig weiter.

@Rest So, Ihr dürft mich jetzt steinigen. JEHOVA!

Wer hat hier Jehova gesagt

PS.
Das alles bedeutet natürlich nicht, dass die Anlage jetzt kompletter Mist ist. Für 99,8 % aller Fälle stellt die Anlage ja einen wirksamen Schutz gegen die in Frage kommenden Angreifer dar. Vor allem kommt man dann ja auch an den Punkt, wo der Angreifer am Ende einfach den Weg des geringsten Widerstandes wählt. Wenn ich als Mafia-Boss jetzt 10 IT-Spezialisten mit dem Hacken der Software beauftragen müsste tun's stattdessen vielleicht auch einfach 4 Schlägertypen, die sich um den Wachdienst kümmern.

Ich denke aber, dass es immer sinnvoll ist, sich bewusst zu machen, wo die Grenzen liegen. Wenn ich mir ein Angreiferszenario wie bei "Stuxnet" vorstelle, dann ist eine Hiplex wahrscheinlich komplett nutzlos.

(07-02-2026 14:48)Fraggel schrieb: [ -> ]Die ganze Branche basiert darauf, alle technischen Informationen rigoros auf einen exklusiven Errichterkreis zu beschränken. Angeblich, damit die bösen Jungs nicht an die Informationen herankommen. Ich denke eher, das hat was mit Markt- und Preiskontrolle zu tun.

Gegenfrage: Welche Branche macht das nicht? Guck dich doch mal in deinem Haushalt um, welcher Hersteller rückt Unterlagen raus? Heizung, Haushaltsgeräte, Auto usw. wirst du keine Unterlagen bekommen, das wir alles nur dem Kundendienst bzw. Fachfirmen bereitgestellt.

Der einfachste Angriffsweg ist vermutlich immer der Faktor Mensch.

(07-02-2026 15:17)Feuermelder schrieb: [ -> ]Gegenfrage: Welche Branche macht das nicht? Guck dich doch mal in deinem Haushalt um, welcher Hersteller rückt Unterlagen raus? Heizung, Haushaltsgeräte, Auto usw. wirst du keine Unterlagen bekommen, das wir alles nur dem Kundendienst bzw. Fachfirmen bereitgestellt.

Nee, tatsächlich habe ich da eher ganz unterschiedliche Erfahrungen gemacht:
- Liebherr (Kühlschrank) - Katastrophe, nur über Fachhandel.
- Bosch Hausgeräte - Alles easy zu haben für 5€ Schutzgebühr.
- Volkswagen - Der Zugang zum ERWIN (Dokumentationsportal für Fachwerkstätten) hat mich vor Jahren auch als Privatkunde einmalig 10 € gekostet. Seitdem habe ich zu meinem Sharan ausnahmslos alles, was man nur haben kann.

Im Sicherheitsbereich ist mir dormakaba kürzlich auch extrem positiv aufgefallen. Alles frei zum Download verfügbar. Auch die Konfigurationssoftware.

Bin auch schon Jahrzente im offensiven Sicherheitsbereich und auch kein Freund von Security by Obscurity (im schlimmster Form ist die Obscurity die einzige Maßnahme). Gute Sicherheitssysteme dürfen gerne auch offen im Sinne transparent sein: siehe kryptographische Algorithmen und deren Implementierungen (neben anderen Maximen: KISS, Mehrstufigkeit, Prinzip der geringsten Berechtigung, (...)). Auch die Offenheit von Quellcode schafft vertrauen ("... given enough eyeballs all bugs are shallow ..." - auch nicht perse, aber es kann vertrauen schaffen).

Mir ist ein System lieber, was durch Personen wie MadSec (und weiteren: Köpfen, TTPs) durch und durch betrachtet wurde und kontinuierlich betrachtet wird. Eine sichere Architektur darf offen gelegt werden: Security by Design, Security by Default.

Auch über soetwas hier (https://x41-dsec.de/lab/blog/telenot-com...e-keygen/) darf man sich im Grunde freuen, wenn der Hersteller damit offen umgeht, schnell und offen handelt und kontinuierlich verbessert (auch das schafft Vertrauen).

---

Link oben leider kaputt (sorry), bei Interesse: https://x41-dsec.de/lab/blog/telenot-com...re-keygen/

(07-02-2026 13:25)Ollik schrieb: [ -> ]Ich schiebe das vorerst mal auf eine gewisse 'Verzweifelung' [...] weil er nirgendwo sonst entsprechende Informationen beschaffen kann/ konnte (falsch gegoogelt?).

Genau das ist der Fall. Sehr wahrscheinlich inklusive des falschen Googlens
Ich/Wir können Dinge hacken und kreative Angriffe finden.
Wir sind keine Gutachter oder wollen gar eine parametrisierung "ordentlich" überprüfen. Es geht in diesem Projekt vielmehr um eine Physische und digitale Sicherheitsprüfung in der Breite.

Eine Überprüfung der Anlagenkonfiguration selbst ist auch explizit ausgenommen im Auftrag. Das ist auch nichts was ich bzw. wir machen wollen. Safety-Technik aller Art wird von uns höchstens in einer reinen Test-Umgebung betrachtet.

Normalerweise sind unsere Prüfobjekte eher Firmengebäude und Technik. Auf Netzwerk-Ebene kommen wir zum Glück langsam auf dem Stand an, dass ein Airgap-ed Haustechnik-Netzwerk die Norm wird. Mindestens jedoch als logisch isoliertes Netzwerk. Diskussionen darüber inwiefern ein Risiko bestehen könnte, wenn jemand physischen Zugriff auf die EMA hat gibt es de facto nicht, da diese in der Regel im gesicherten Bereich liegt, auf den ausser den Technikern niemand Zugriff haben sollte.
In diesem Fall handelt es sich zwar auch um einen Firmenauftrag, jedoch ist das Prüfobjekt ein Privathaus ohne Netzwerktrennung oder Airgap.

Das höchste der Gefühle an Interaktion mit Sicherheitstechnik in "normalen" Fällen ist die Manipulation von extern erreichbaren Elementen wie Kartenlesern o.ä. als Teil der Zutrittssicherung oder eben dem digitalen Weg.

Auch in diesem Fall geht es bei dem physischen Zutritt lediglich um eine "Ersteinschätzung", ob man mit klassischen Mitteln wie Latch-Bypasses oder ähnlichen "billigen" Angriffen shon vorbei kommt und eben darum, dass aufgestellte Sicherheitskonzeot an sich zu "challengen". Der Grösste Teil der Projektzeit ist jedoch für die digitale Komponente und Heimautomatisierungen vorgesehen.

Bei dem vorliegenden Fall fiel erst nach Auftragsannahme bei der Durchsicht der Baupläne auf, dass der physische Zugriff auf die EMA tatsächlich auf einfachstem Wege möglich seien könnte. Für den Fall, dass sich das vor Ort bestätigt, wollte ich "mal eben" in Erfahrung bringen was dadurch möglich wäre, um den Kunden auf dieses potenzielle Risiko hinzuweisen. Unwissend, in welches Rabbithole ich mich damit begebe.

(07-02-2026 13:25)Ollik schrieb: [ -> ]100%ige Sicherheit gibt es nicht und jedes System ist angreifbar, es ist alles nur eine Frage des Aufwandes...

Deshalb ging es mir auch genau um diese Unterscheidung im Aufwand.
In der Risikobewertung für den Kunden ist für mich relevant ob ich mir "für 300€ das Kabel mit Software bestellen kann und damit Konfigurierenden Zugriff habe" oder ob es eben noch weitere Faktoren gibt (wie von 5624 dargelegt) die genau das Verhindern.

Vielen Dank Olli für die ausführliche Antwort!

@Fraggel: Vielen Dank auch dir für die ausführlichen Informationen und das Eingehen auf den Thread!

(07-02-2026 14:48)Fraggel schrieb: [ -> ]4. Angriff auf die Zentrale unter Ausnutzung von Softwarefehlern.

Das ist tatsächlich eigentlich eher unser Hauptbereich und der Grund warum genau in diesem Kundensetup plötzlich meine Arbeit in den Bereich der EMA reinreicht.
Nach dem oberflächlichen Betrachten der BuildSec App und CompasX User wäre es mit sicherheit interessant hier Sicherheitsforschung zu betreiben. "Leider" erlaubt die deutsche Gesetzgebung dies, ohne exploizitem Einverständnis von Telenot, nur im Rahmen des eigenen Netzwerks, also nichts was über Hixserver läuft.
In DE ist man als Sicherheitsforscher da also sehr darauf angewiesen, dass der Hersteller ein Interesse an der Absicherung der eigenen Produkte hat und einen "sicheren Rahmen" im rechtlichen Sinne bereitstellen.

Damit bewegen wir uns jedoch schon weiter vom eigentlichen Thread weg.
Vielen Dank für die Einblicke und Einschätzungen, das war eine sehr großer Hilfe!

Vielen Dank für die Einblicke in die Hintergründe, MadSec.

Viele Grüße
Olli

(07-02-2026 16:24)demarque schrieb: [ -> ]Auch über soetwas hier ( https://x41-dsec.de/lab/blog/telenot-com...re-keygen/ ) darf man sich im Grunde freuen, wenn der Hersteller damit offen umgeht, schnell und offen handelt und kontinuierlich verbessert (auch das schafft Vertrauen).

Vielen Dank! Den Vorfall hatte ich tatsächlich gar nicht auf dem Schirm.
Das bestätigt auch noch einmal wieder meinen oben beschriebenen persönlichen Eindruck...

(07-02-2026 14:48)Fraggel schrieb: [ -> ]Etwas gemein formuliert: Das sind alles nur kleine Bastelbuden.

Ich stimme Dir zu, dass es löblich ist, wenn Telenot damit transparent umgeht und das Problem aus der Welt schafft. Aber trotzdem darf man über die Frage nachdenken, wie sowas überhaupt passieren kann.

Das was der zuständige compasX-Entwickler bei Telenot da laut der Analyse von D-Sec gemacht hat ist grob fahrlässig und eigentlich ein No-Go! Das war auch vor 25 Jahren schon Grundlagenwissen, wenn man sich nur ein ganz kleines Bisschen mit Softwareentwicklung und Kryptographie auskennt. (Ich will nicht sagen, dass ich eine gute Lösung aus dem Ärmel schütteln könnte. Aber bei "Schlüsselgenerator", "timestamp" und "rand()" muss einem klar sein, dass das bestenfalls Hingefrickelt ist und keinesfalls in den Markt darf.)

Wie kann sowas dann passieren?
a) Die Entwicklung weiß, dass das Mist ist, hat aber keine Zeit es richtig zu machen. Es wird schnell was zusammengehackt um um den Code zum Laufen zu bringen. Man hofft, später Zeit zu finden, einen richtigen Keyggenerator zu implementieren. Leider ist es dazu nicht gekommen und die Software kommt trotzdem so auf den Markt.
b) Die bei Telenot denken sich: "Ach ist doch egal. Das muss nicht 100% sicher sein. Wird schon nix passieren."
c) Denen war das überhaupt nicht klar. Die haben tatsächlich gedacht, das wäre so in Ordnung.

Ich weiß nicht wie Ihr das seht... Aber bei den Anspruch, den Telenot so an sich selbst hat, dann finde keine dieser drei Möglichkeiten wirklich beruhigend.

---

EDIT. Kurze Hintergrundinfo, für alle, die in dieser Thematik nicht so drinstecken, warum das so "dämlich" war, was Telenot da gemacht hat:

Inhalt der allerersten Unterrichtsstunde im Fach 'Krypto':
"Alles steht und fällt damit, das man Zufallszahlen nimmt, die auch wirklich vollkommen zufällig sind. In der Praxis ist das durchaus eine Herausforderung."

Inhalt der naja... vierten Unterrichtsstunde 'Programmieren in C':
"Die Funktion rand() erzeugt KEINE echten Zufallszahlen."

---

Noch ein EDIT. Der verunglückte Satz oben sollte eigentlich lauten:
Aber bei den Anspruch, den Telenot an sich selbst hat, finde ich keine dieser drei Möglichkeiten wirklich beruhigend.

Spinnen wir den Gedanken mal weiter:
Was ist, wenn die gleichen Leute auch den Code für den hixserver und das Kommunikationsprotokoll zur Anlage geschrieben haben?