Die KNX Association ist bestrebt, KNX zur sichersten Lösung auf dem Markt der intelligenten Heim- und Gebäudeautomation zu machen.

Deshalb erfüllt die KNX-Technologie die höchsten Sicherheitsanforderungen gemäss dem Verschlüsselungsstandard AES128 (nach ISO 18033-3, z.B. AES 128 CCM-Verschlüsselung). Zudem ist die KNX Secure Technologie nach EN 50090-3-4 standardisiert, was bedeutet, dass KNX Hackerangriffe auf die digitale Infrastruktur von vernetzten Gebäuden blockieren kann. Das Risiko digitaler Einbrüche wird dadurch verringert.

Bei der Entwicklung von KNX Secure wurde darauf geachtet, dass nicht nur die aktuellen, sondern auch die künftigen Herausforderungen der Cybersicherheit in der Gebäudeautomation abgedeckt werden. KNX Secure arbeitet dazu mit zwei unterschiedlichen Ansätzen:

Es gibt keinen Grund mehr, KNX-IP-Anlagen nicht nach dem KNX Secure-Standard auszuführen. Die Elektroplaner müssen jetzt umdenken und ihre Ausschreibungen anpassen.

«Smart home and building solutions. Global. Secure. Connected.» Das ist der Slogan der KNX-Technologie. Sie ist global, sicher und dennoch vernetzt. Das geht jedoch nur, wenn einige grundlegende Dinge berücksichtigt werden. Die Planer sind deshalb aufgerufen, Gebäudetechnik-Anlagen so zu entwerfen und auszuschreiben, dass diese alles bieten, was heute bezüglich Cyber-Sicherheit machbar ist.

Kostendruck als Treiber
Weil die Kosten für den Unterhalt mehrerer unabhängiger Netzwerk-Infrastrukturen in Gebäuden ständig steigen, wächst der Druck seitens der Kundschaft, nur noch ein IP-Netzwerk zu nutzen. Alle benötigten Dienste laufen so über dieselbe IP-Infrastruktur und müssen sich auch an die Vorgaben dieses Netzwerks bezüglich Cyber-Sicherheit halten. Dies ermöglicht es der IT-Abteilung, das Netzwerk-Management aus einer Hand sicherzustellen und die Cyber-Sicherheits-Zertifikate zu pflegen.

Grundlegende Spielregeln
Damit IT-Abteilungen aber überhaupt zulassen, dass Gebäudeautomationsgeräte auf einem IP-Netzwerk laufen, müssen ein paar Spielregeln eingehalten werden: Die Geräte müssen «IT-freundlich» sein, das bedeutet zum Beispiel, dass jedes Gerät die dynamische Vergabe von IP-Adressen unterstützt (DHCP). Auch die Namensauflösung (DNS) muss unterstützt werden, und es dürfen für die Kommunikation keine Broadcasts mehr genutzt werden.

Auf der anderen Seite kümmert sich die IT-Abteilung um sichere Zugänge von aussen, damit sie den Remotezugriff für die Fernwartung sicherstellen kann. Sie sorgt auch dafür, dass im ganzen Gebäude ausreichend Netzwerkanschlüsse für kabelgebundene Geräte sowie eine gute Abdeckung mit WLAN-Zugangspunkten vorhanden sind. Hierbei ist zwingend darauf zu achten, dass dies auch für die Technikzentralen gilt.

Gehört ein Gebäude zur sogenannten «kritischen Infrastruktur», steigen die Anforderungen an die Cyber-Sicherheit noch. In der Regel macht die IT-Abteilung für solche Liegenschaften strengere Vorgaben bezüglich Geräte. Dies kann bis zu Einzelprüfungen oder schriftlichen Eigenauskünften der Hersteller für bestimmte Cyber-Sicherheitsmechanismen gehen.

Konkrete Aufgaben für Elektroplaner und Integratoren
Der (Gebäudetechnik)-Planer muss sich zu Beginn der Planung mit der Bauherrschaft und ihrer IT-Abteilung zusammensetzen und die Rahmenbedingungen definieren. Dies sind IP-Adresskonzept, Vorgaben für die Auswahl der Hardware, Router und Passwörter inkl. deren Verwaltung und vieles mehr. Wer hat wann Zugriff und wer verwaltet dies? VPN wäre dafür eine Möglichkeit, offene Ports wird es garantiert nicht mehr geben! Ergänzend müssen auch die Projektphasen wie Bau, Betrieb und Wartung im Konzept berücksichtigt werden. Und es muss festgelegt werden, dass KNX IP Secure der neue Standard ist, wenn es um die Übertragung von KNX-Informationen auf IP-Infrastrukturen geht.

Die ETS als grosse Hilfe
Für KNX-Integratoren bedeutet dies, dass per sofort die gesamte IP-Kommunikation von KNX nur noch mit KNX Secure-IP-Routern ausgeschrieben und aufgebaut werden soll. Diese verschlüsseln die Telegramme auf dem IP-Netzwerk und machen die Anlage gegen Cyber-Angriffe von aussen sicher. Dank der Engineering Tool Software ETS und einem darin zu Beginn festgelegten Passwort für das Projekt ist die Umsetzung von KNX Secure auf IP-Ebene ein Kinderspiel. Dass mit dem Passwort seriös umgegangen werden muss, dürfte allen klar sein.

KNX über IP, aber sicher
Jeder KNX Secure-IP-Router verfügt über ein Zertifikat, das vom Hersteller auf dem Gerät (abnehmbar) aufgedruckt wird. Dieser weltweit einmalige Schlüssel wird in der ETS-Software unter «Sicherheit» in den Zertifikats-Pool des Projekts eingelesen, und von da an übernimmt die ETS das Handling im Hintergrund. Ist auf dem Gerät kein Zertifikat mehr vorhanden, sollte es nur noch in ungeschützten Anlagen eingesetzt werden. Es ist also Vorsicht geboten mit diesen «Aufklebern»! Das Vorgehen zu definieren, lohnt sich! Fehlen die Kleber, muss im schlimmsten Fall die Hardware zweimal angeschafft werden.

Stimmt alles mit den Zertifikaten, muss der Secure-Modus nur noch pro Gerät freigeschaltet werden, und schon ist die IP-Kommunikation nach dem Adressieren der Geräte und dem Übertragen der Parameter der Geräte sicher. Der Schlüsselbund kann jederzeit aus der ETS exportiert werden und in weitere, nicht in der ETS konfigurierbare Geräte wie zum Beispiel Visualisierungen, importiert werden.

Auf Wunsch auch auf dem grünen Kabel
In einem zweiten Schritt, und sofern dies von den Projektanforderungen her nötig ist, kann die Kommunikation auf dem grünen Twisted Pair-Kabel mit KNX Data Secure noch sicherer gemacht werden. In einem Einfamilienhaus wird dies weniger wichtig sein als zum Beispiel in einem Hotel.

Weitere Infos zu diesem Thema sowie Tipps und Tricks für Projekte liefert der Ratgeber von KNX Swiss.