Geheimfunker
Der EnOcean-Funkstandard auf dem Prüfstand
Der EnOcean-Funkstandard findet immer mehr Unterstützer. Neben den Anbietern der ersten Stunde wie PEHA, Thermokon und Eltako bieten seit einiger Zeit bekannte Marken wie Jung, Gira, General Electric, Osram, Somfy und Viessmann entsprechende Produkte an.
Strahlungsprobleme kann man beim EnOcean-Funk praktisch ausschließen. Ein EnOcean-Lichtschalter sendet nur dann, wenn er betätigt wird. Im Gegensatz dazu senden DECT-Telefone, WLAN-Geräte und Handys kontinuierlich - letztere sogar oft gleichzeitig auf WLAN, GSM und Bluetooth.Das ECOLOG-Institut für sozial-ökologische Forschung und Bildung GmbH in Hannover hat in einer Studie Erstaunliches festgestellt: Die EnOcean-Funkschalter emittieren 100-mal weniger intensive Hochfrequenzfelder als konventionelle Lichtschalter (die Hochfrequenzfelder letzterer entstehen durch die charakteristische Funkenbildung beim Schaltvorgang). Auf dem Gebiet niederfrequenter elektromagnetischer Emissionen liefern EnOcean-Produkte generell überhaupt keinen Beitrag aufgrund der Vermeidung von Kabeln von und zu den Sensoren und Tastern (www.enocean.com/de/umweltvertraeglichkeit/ ).
Bisher werden die Funktelegramme zwischen EnOcean-Aktoren und -Sensoren unverschlüsselt übertragen. Mit geeignetem Spezialgerät, Fachkenntnis und krimineller Energie wäre es möglich, EnOcean-Funktelegramme mitzuschreiben, zu analysieren und für eigene Zwecke zu missbrauchen. Ob so etwas jemals passiert ist, ist nicht bekannt.Basierend auf der bidirektionalen Dolphin-Architektur von EnOcean, stellt die BSC-Computer GmbH aus Allendorf nun eine Verschlüsselung für die Funksignale vor. Damit erfüllt die batterie- und kabellose EnOcean-Technologie nun alle sicherheitsrelevanten Anforderungen für ihre Automationsprojekte.
EnOcean jetzt auch verschlüsselt
EnOcean hat im Jahr 2010 die Dolphin-Systemarchitektur eingeführt, welche die Zwei-Wege-Kommunikation unter anderem für energieautarke bidirektionale Sensorsysteme unterstützt. Ab Mitte 2012 werden die bereits implementierten, grundlegenden Sicherheitsmaßnahmen nun durch die beiden Mechanismen "Rolling Code" und "Encryption" für ein weitreichendes Sicherheitsniveau ergänzt.
Der EnOcean-Funkstandard (ISO/IEC 14543-3-10) enthält bereits die folgenden grundlegenden Sicherheitsmaßnahmen:Prüfsumme (Integrität) - Schutz gegen ÜbertragungsfehlerFür Integrität sorgen heißt sicherstellen, dass die Telegrammdaten während der Übertragung nicht verändert wurden. Als einfache Sicherheitsmaßnahme wird hierzu jeder Nachricht eine Prüfsumme - die sogenannte Checksum - angehängt. Diese bietet zwar keinen hinreichenden Schutz vor krimineller Energie, verhindert aber einfach und effektiv einen unbeabsichtigten Übertragungsfehler.Eindeutige Sender-ID (Authentifikation) - Schutz gegen DuplikateDie Authentifizierung dient dazu, die Sicherheit zu geben, dass der Funk-Kommunikationspartner auch wirklich derjenige ist, für den er sich ausgibt. Dazu muss die Identität der kommunizierenden Partner überprüft werden. Jeder EnOcean-Funksender besitzt eine unterschiedliche 32 Bit lange Identifikationsnummer (ID), die vom Hersteller fest in das Modul eingebrannt wurde und vom Anwender weder geändert noch kopiert werden kann. Über vier Milliarden unterschiedliche IDs gewährleisten, dass praktisch alle Funksender eindeutige IDs besitzen und sich so keine unbefugten Teilnehmer oder im einfachsten Fall ungewollte Duplikate in das Netz einschleichen.
Schutz vor Angreifern
Zu den genannten, im EnOcean-Standard integrierten Sicherheitskonzepten bietet EnOcean Dolphin ab Mitte 2012 weitere die Sicherheit erhöhende Funktionen an:Rolling Code (Aktualität) - Schutz gegen WiederholungsangriffeEin EnOcean-Sensor oder -Aktor führt einen Zähler für ein- und ausgehende Datenpakete und stellt so die Aktualität sicher. Dadurch können sogenannte "Replay Attacks" abgewehrt werden, bei denen ein Lauscher die Übertragung abhört und sie zu einem späteren Zeitpunkt wiederholt, um den Empfänger etwa zum "Aufschließen" zu bewegen.
Als sich ständig ändernder Sicherheitsmechanismus wird ein mit jedem Telegramm hochgezählter 16-Bit-Rolling-Code (RC) erzeugt. Telegramm-Header, -daten und ein aktueller Rolling Code werden verwendet, um einen 32-Bit-Authentifizierungscode (MAC = Message Authentification Code) zu berechnen.Dies geschieht über den AES-Verschlüsselungs-Algorithmus (Advanced Encryption Standard) und einen 128-Bit-Schlüssel. Wahlweise wird der Rolling Code zusammen mit dem MAC oder, falls Energie kritisch ist, nur der MAC dem Telegramm hinzugefügt. Eine erfolgreiche Verifikation des erwarteten RC und ein korrekter MAC validieren das Telegramm.Encryption (Datenverschlüsselung) - Schutz gegen LauschangriffeBei der Geheimhaltung kommt es darauf an, zu verhindern, dass Dritte die übertragenen Daten abhören und missbrauchen können. Die Daten werden dabei vom Sender verschlüsselt und vom entsprechenden Empfänger wieder entschlüsselt. Für die Verschlüsselung dieser Daten kommt wahlweise der ARC4-Algorithmus (ARC4 = Alleged Ron's Code 4) mit einem 32-Bit-Schlüssel zum Einsatz oder für höhere Sicherheitsanforderungen der AES-Algorithmus mit einem 128-Bit-Schlüssel.
Flexibles Sicherheitskonzept
Höhere Datensicherheit bedeutet einen höheren Energieverbrauch für die Kommunikation, da Telegramme mit ansteigenden Sicherheitsanforderungen länger werden. Zudem wird Energie zur Berechnung der Verschlüsselung benötigt.
Da bei EnOcean-Sensoren, die die Energie der Umwelt entnehmen, der Energieverbrauch kritisch ist, hat EnOcean sich für ein modulares Sicherheitskonzept entschieden, das flexibel und ausgewogen zwischen Energieverbrauch und Sicherheitsanforderung angepasst werden kann.Die Sicherheitsmechanismen sind unabhängig voneinander und den Anforderungen gemäß miteinander kombinierbar, um unterschiedliche Sicherheitslevels zu realisieren.
Interoperabilität bleibt erhalten
Wie bei allen guten Sicherheitskonzepten sind alle verwendeten Algorithmen öffentlich zugänglich. Die Sicherheit beruht auf der Länge und Geheimhaltung der verwendeten Schlüssel, nicht des Verfahrens. Geräte unterschiedlicher Hersteller können auch bei Verwendung der neuen Sicherheitsmechanismen miteinander kommunizieren, da während einer Geräte-Einlernphase der verwendete Schlüssel und die verwendete Mechanismen-Kombination übermittelt werden.
Beim Einlernen werden die übertragenen Schlüssel als Klartext geschickt. Encryption in dieser Phase würde einen hohen Berechnungsaufwand und Energiebedarf bedeuten.Ist die Funkübertragung der Schlüssel in der Einlernphase sicherheitskritisch, lassen sich die Schlüssel alternativ vor der Montage in einer geschützten Umgebung oder über die serielle Schnittstelle in die Funkmodule übertragen. Doch dieses Verfahren ist nur für Spezialisten gedacht und auf Sonderfälle beschränkt.
Individuelle Anpassung
Initiale Schlüssel werden abhängig von der Modul-ID automatisch durch Dolphin erzeugt, können aber von der Applikation verändert werden. So ist wählbar, ob ein gemeinsamer Schlüssel fürs ganze Netzwerk verwendet wird oder für jede Verbindung zwischen zwei Geräten ein eigener Schlüssel erstellt werden soll.Reichen einmal die Standard-Sicherheitsmechanismen im Einzelfall nicht aus, kann ein Hersteller von Sensoren und Aktoren mittels selbstdefinierter Telegramminhalte alternativ weitergehende Sicherheitsalgorithmen individuell in sein System implementieren.Das neue Sicherheitssystem von EnOcean setzt die Dolphin-Technologie voraus. Es kann flexibel an die jeweiligen Sicherheitsbedürfnisse angepasst werden. Allerdings nicht vom Endanwender oder vom Elektro-Installateur, wohl aber vom Hersteller der Gebäude-Software und der Hardware-Komponenten.
Expertenmeinungen
Experten des Kommissariats Prävention und Opferschutz in Nordrhein-Westfalen können keinen Einbruch per Hack bestätigen. Sie sind vielmehr der Meinung, dass die große Mehrzahl der Wohnungs- und Hauseinbrüche dort erfolgt, wo es leicht ist, Fenster oder Türen aufzubrechen.Sich in ein Gebäude zu hacken ist dagegen auch bei unverschlüsseltem Funk recht aufwendig. Wenn Funksignale zwischen Sensoren und Aktoren aufgefangen werden sollen, muss der potenzielle Einbrecher mit seinem Empfänger schon recht nahe an das Objekt herankommen und dort so lange warten, bis er etwas aufgenommen hat.
Auf der von EnOcean in Europa verwendeten Frequenz tummeln sich auch Autoschlüssel und Ampelanlagen. Die empfangenen Signale müssen also erst einmal ausgewertet und EnOcean zugeordnet werden. Dann gilt es herauszufinden, ob sich die Tür oder das Tor überhaupt ferngesteuert öffnen lässt, und wenn ja, welche Adresse der Aktor hat.Vielleicht wollen die Einbrecher aber auch nur die Rollläden hochfahren, um einfacher an ein Fenster zu gelangen. Auch dann müssten sie die Adresse des jeweiligen Aktors herausfinden. Wie? Indem sie abwarten, bis sich das Rollo bewegt. Denn das bedeutet, dass kurz davor das Signal gesendet wurde. Die Gefahr, bei diesen Ausspähungen entdeckt zu werden, ist viel zu groß. Da ist es einfacher, über ein meist ungesichertes Dachfenster, ein offenes Kellerfenster oder die Terrassentür einzudringen.Einbrüche per Hack sind wohl eher etwas für James Bond oder den Mission: Impossible-Agenten Hunt. Trotzdem, wer bisher Angst davor hatte, Fremde könnten die Tür per Handy öffnen, kann nun beruhigt sein.
