KNX Secure

Die sicherste Lösung für die Gebäudesystemtechnik

Global. Secure. Connected

Optimale Absicherung gegen Zugriff von Dritten

Die KNX Association ist bestrebt, KNX zur sichersten Lösung auf dem Markt der intelligenten Heim- und Gebäudeautomation zu machen.

Deshalb erfüllt die KNX-Technologie die höchsten Sicherheitsanforderungen gemäss dem Verschlüsselungsstandard AES128 (nach ISO 18033-3, z.B. AES 128 CCM-Verschlüsselung). Zudem ist die KNX Secure Technologie nach EN 50090-3-4 standardisiert, was bedeutet, dass KNX Hackerangriffe auf die digitale Infrastruktur von vernetzten Gebäuden blockieren kann. Das Risiko digitaler Einbrüche wird dadurch verringert.

Bei der Entwicklung von KNX Secure wurde darauf geachtet, dass nicht nur die aktuellen, sondern auch die künftigen Herausforderungen der Cybersicherheit in der Gebäudeautomation abgedeckt werden. KNX Secure arbeitet dazu mit zwei unterschiedlichen Ansätzen:

KNX Secure Beispiele

KNX IP Secure

Die KNX-Kommunikation über IP ist geschützt. Der Einsatz von KNX Secure fähigen KNX-IP-Routern ermöglicht diese Funktion.

  • KNX IP Telegramme sind verschlüsselt. 
  • Minimalanforderung sobald KNX IP in einem Projekt eingesetzt wird.
  • Konfiguration und Einbindung der Secure Schlüssel erfolgt via ETS-Projekt

Basics

KNX IP Secure

«Es gibt keinen Grund mehr, KNX-IP-Anlagen nicht nach dem KNX Secure-Standard auszuführen. Die Elektroplaner müssen jetzt umdenken und ihre Ausschreibungen anpassen.»

KNX IP Secure

Die KNX-Kommunikation über IP ist geschützt. Der Einsatz von KNX Secure fähigen KNX-IP-Routern ermöglicht diese Funktion.

  • Nur KNX IP Telegramme sind verschlüsselt. 
  • Die KNX TP Kommunikation kann unverschlüsselt sein.

KNX IP Secure und KNX TP

KNX Data Secure

Die KNX-Kommunikation über TP ist geschützt. 

  • Die KNX Telegramme welche mit Secure Geräten kommunizieren sind geschützt.
  • Alle zu schützenden KNX-Geräte müssen KNX Secure Geräte sein.
  • Konfiguration und Einbindung der Secure Schlüssel erfolgt via ETS-Projekt

Basics

Mit KNX Data Secure lassen sich Installationen verschlüsselt und sicher vor umbefugten Zugriff von aussen installieren.
  • Es können auch einzelne Geräte im Netzwerk vorhanden sein, die mit anderen nicht geschützten Geräten kommunizieren können.
  • Nicht geschützte Geräte können nicht mit geschützten Geräten kommunizieren. 

KNX Data Secure

Natürlich lässt sich auch ein ganzes Projekt mit KNX Data Secure realisieren. Dies kann der Fall sein, wenn keine IP fähigen KNX Geräte eingesetzt werden.

  • Die KNX Telegramme welche mit Secure Geräten kommunizieren sind geschützt.
  • Alle zu schützenden KNX-Geräte müssen KNX Secure Geräte sein.
  • Konfiguration und Einbindung der Secure Schlüssel erfolgt via ETS-Projekt

KNX Data Secure im Projekt

Mit KNX Data Secure und KNX IP Secure lassen sich Installationen verschlüsselt und sicher vor umbefugten Zugriff von aussen installieren.
  • Die Bereichs- und Linienkoppler müssen auch KNX Secure fähige Geräte sein.

KNX IP Secure & KNX Data Secure

  • Sowohl auf IP-Ebene als auch auf TP-Ebene sind alle KNX Telegramme die mit Secure Geräten kommunizieren entsprechend verschlüsselt.
  • Es können aber auch einzelne Geräte miteinander kommunizieren, die nicht verschlüsselt sind. 
  • Alle zu schützenden Geräte unterstützen den KNX Secure Standard.
  • Konfiguration und Einbindung der Secure Schlüssel erfolgt via ETS-Projekt

Projekt mit KNX Secure

Mit KNX Data Secure und KNX IP Secure lassen sich Installationen verschlüsselt und sicher vor umbefugten Zugriff von aussen installieren.

KNX Secure Geräte

KNX Secure Linienkoppler

KNX Secure fähiger Linienkoppler mit dem Secure-Code auf der Seite. Dieser kann mit Hilfe der Kamera vom Laptop direkt in die ETS übernommen werden.

KNX IP Secure Router von ABB

Das Schild auf dem Gerät zeigt, dass dieses Gerät KNX Secure unterstützen kann. Geräte können auch ein X aufweisen.

KNX Secure Schaltaktor von Feller

Auch KNX Schaltaktoren unterstützen entsprechende KNX Secure Telegramme.

KNX Secure fähiger KNX IP Router

KNX Secure fähiger KNX-IP-Router mit dem Secure-Code auf der Seite. Dieser kann mit Hilfe der Kamera vom Laptop direkt in die ETS übernommen werden. 

KNX IP Secure Router von Siemens

Andere Hersteller verwenden einfach einen Text auf dem Gerät.

 GA-Projekte sicher planen

Es gibt keinen Grund mehr, KNX-IP-Anlagen nicht nach dem KNX Secure-Standard auszuführen. Die Elektroplaner müssen jetzt umdenken und ihre Ausschreibungen anpassen.

«Smart home and building solutions. Global. Secure. Connected.» Das ist der Slogan der KNX-Technologie. Sie ist global, sicher und dennoch vernetzt. Das geht jedoch nur, wenn einige grundlegende Dinge berücksichtigt werden. Die Planer sind deshalb aufgerufen, Gebäudetechnik-Anlagen so zu entwerfen und auszuschreiben, dass diese alles bieten, was heute bezüglich Cyber-Sicherheit machbar ist.

Kostendruck als Treiber
Weil die Kosten für den Unterhalt mehrerer unabhängiger Netzwerk-Infrastrukturen in Gebäuden ständig steigen, wächst der Druck seitens der Kundschaft, nur noch ein IP-Netzwerk zu nutzen. Alle benötigten Dienste laufen so über dieselbe IP-Infrastruktur und müssen sich auch an die Vorgaben dieses Netzwerks bezüglich Cyber-Sicherheit halten. Dies ermöglicht es der IT-Abteilung, das Netzwerk-Management aus einer Hand sicherzustellen und die Cyber-Sicherheits-Zertifikate zu pflegen.

Grundlegende Spielregeln
Damit IT-Abteilungen aber überhaupt zulassen, dass Gebäudeautomationsgeräte auf einem IP-Netzwerk laufen, müssen ein paar Spielregeln eingehalten werden: Die Geräte müssen «IT-freundlich» sein, das bedeutet zum Beispiel, dass jedes Gerät die dynamische Vergabe von IP-Adressen unterstützt (DHCP). Auch die Namensauflösung (DNS) muss unterstützt werden, und es dürfen für die Kommunikation keine Broadcasts mehr genutzt werden.

Auf der anderen Seite kümmert sich die IT-Abteilung um sichere Zugänge von aussen, damit sie den Remotezugriff für die Fernwartung sicherstellen kann. Sie sorgt auch dafür, dass im ganzen Gebäude ausreichend Netzwerkanschlüsse für kabelgebundene Geräte sowie eine gute Abdeckung mit WLAN-Zugangspunkten vorhanden sind. Hierbei ist zwingend darauf zu achten, dass dies auch für die Technikzentralen gilt.

Gehört ein Gebäude zur sogenannten «kritischen Infrastruktur», steigen die Anforderungen an die Cyber-Sicherheit noch. In der Regel macht die IT-Abteilung für solche Liegenschaften strengere Vorgaben bezüglich Geräte. Dies kann bis zu Einzelprüfungen oder schriftlichen Eigenauskünften der Hersteller für bestimmte Cyber-Sicherheitsmechanismen gehen.

Konkrete Aufgaben für Elektroplaner und Integratoren
Der (Gebäudetechnik)-Planer muss sich zu Beginn der Planung mit der Bauherrschaft und ihrer IT-Abteilung zusammensetzen und die Rahmenbedingungen definieren. Dies sind IP-Adresskonzept, Vorgaben für die Auswahl der Hardware, Router und Passwörter inkl. deren Verwaltung und vieles mehr. Wer hat wann Zugriff und wer verwaltet dies? VPN wäre dafür eine Möglichkeit, offene Ports wird es garantiert nicht mehr geben! Ergänzend müssen auch die Projektphasen wie Bau, Betrieb und Wartung im Konzept berücksichtigt werden. Und es muss festgelegt werden, dass KNX IP Secure der neue Standard ist, wenn es um die Übertragung von KNX-Informationen auf IP-Infrastrukturen geht.

Die ETS als grosse Hilfe
Für KNX-Integratoren bedeutet dies, dass per sofort die gesamte IP-Kommunikation von KNX nur noch mit KNX Secure-IP-Routern ausgeschrieben und aufgebaut werden soll. Diese verschlüsseln die Telegramme auf dem IP-Netzwerk und machen die Anlage gegen Cyber-Angriffe von aussen sicher. Dank der Engineering Tool Software ETS und einem darin zu Beginn festgelegten Passwort für das Projekt ist die Umsetzung von KNX Secure auf IP-Ebene ein Kinderspiel. Dass mit dem Passwort seriös umgegangen werden muss, dürfte allen klar sein.

KNX über IP, aber sicher
Jeder KNX Secure-IP-Router verfügt über ein Zertifikat, das vom Hersteller auf dem Gerät (abnehmbar) aufgedruckt wird. Dieser weltweit einmalige Schlüssel wird in der ETS-Software unter «Sicherheit» in den Zertifikats-Pool des Projekts eingelesen, und von da an übernimmt die ETS das Handling im Hintergrund. Ist auf dem Gerät kein Zertifikat mehr vorhanden, sollte es nur noch in ungeschützten Anlagen eingesetzt werden. Es ist also Vorsicht geboten mit diesen «Aufklebern»! Das Vorgehen zu definieren, lohnt sich! Fehlen die Kleber, muss im schlimmsten Fall die Hardware zweimal angeschafft werden.

Stimmt alles mit den Zertifikaten, muss der Secure-Modus nur noch pro Gerät freigeschaltet werden, und schon ist die IP-Kommunikation nach dem Adressieren der Geräte und dem Übertragen der Parameter der Geräte sicher. Der Schlüsselbund kann jederzeit aus der ETS exportiert werden und in weitere, nicht in der ETS konfigurierbare Geräte wie zum Beispiel Visualisierungen, importiert werden.

Auf Wunsch auch auf dem grünen Kabel
In einem zweiten Schritt, und sofern dies von den Projektanforderungen her nötig ist, kann die Kommunikation auf dem grünen Twisted Pair-Kabel mit KNX Data Secure noch sicherer gemacht werden. In einem Einfamilienhaus wird dies weniger wichtig sein als zum Beispiel in einem Hotel.

Weitere Infos zu diesem Thema sowie Tipps und Tricks für Projekte liefert der Ratgeber von KNX Swiss

Datenschutzhinweis

Die KNX Swiss nimmt die aktuellen Vorgaben der Datenschutzrichtlinien ernst. Diese Webseite nutzt externe Komponenten, wie z.B. Karten oder Analysewerkzeuge welche dazu genutzt werden können, Ihnen die Karten bei unseren Partnern darzustellen und Daten über Ihr Verhalten zu sammeln. Datenschutzinformationen