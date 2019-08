Zukünftig werden unsichere Kommunikationssysteme kaum mehr akzeptiert werden, wie ein Vergleich mit dem Internet zeigt. So wurde das altbekannte http-Protokoll aus dem Jahre 1991 mittlerweile weitgehend ersetzt durch die verschlüsselte Variante https.

Sogar ein Jahr früher als das bekannte »http« ging das KNX-System 1990 noch unter dem Namen EIB an den Start. Und auch im Gebäude ist der Bedarf an sicherer Kommunikation nicht mehr zu übersehen. Aktuell scheint die Gefahr von Schäden durch Hacker nicht sehr konkret zu sein. Trotz Meldungen von erfolgen Manipulationen, vor allem in Hotels, ist wenig von tatsächlichen Schäden zu vernehmen. Nichtsdestoweniger gilt es, potenziellen Gefahren für die technische Infrastruktur entgegenzutreten.

Der Hinweis »Diese Verbindung ist nicht sicher« zu mangelnder Sicherheit, wie wir sie von den Webbrowsern kennen, sollte uns auch für die Gebäudetechnik eine Warnung sein:

Die KNX Association als Herstellerverband hat sich des Themas Security unter dem Titel »KNX Secure« frühzeitig angenommen. Trotzdem haben Spezifikation und vor allem Implementierung mehrere Jahre in Anspruch genommen. Ein wesentlicher Grund ist die Komplexität des KNX-Protokolls. Vor allem die Gruppenadressierung, die für das gesamte KNX System essentiell ist, stellt für die sichere Verschlüsselung eine Herausforderung dar.

Heute, Mitte 2019, gelten sowohl die System- als auch die Testspezifikationen als stabil und wurden vom Technical Board der KNX Association bestätigt. Die KNX Association hat mit großem Aufwand das Thema Security in der Software ETS implementiert. Auch die Testtools für die Entwicklung von KNX-Secure-Geräten wurden entsprechend erweitert.

Kommunikations-Stacks mit KNX Security sind von Systemanbietern wie Weinzierl verfügbar. Die ersten Produktzertifizierungen wurden erfolgreich abgeschlossen. KNX Security ist heute Realität und soll mit ihren zwei Ausprägungen näher betrachtet werden:

KNX Data Security

KNX IP Security.

KNX Data Security hat das Ziel, die Kommunikation auf Telegrammebene zu sichern. Sie kann unabhängig vom Medium sowohl für die Inbetriebnahme als auch für die Laufzeit-Kommunikation eingesetzt werden.

Die KNX Association hat sich »Sicherheit von Anfang an« zum Ziel gesetzt. Das heißt, auch der erste Download in die Geräte durch die ETS ist von Anfang an verschlüsselt. Dazu wird jedes Gerät mit einem individuellen Schlüssel (FDSK = Factory Default Setup Key = werkseitig voreingestellter Schlüssel) in der Firmware ausgeliefert, den die ETS vor der ersten Programmierung kennen muss. Die Schlüsselinformationen werden zusammen mit der Seriennummer des Geräts in einen QR-Code abgebildet und auf das Gerät gedruckt (Bild?1). Mit einer PC- oder Laptop-Kamera kann der Code von der ETS gescannt und ausgewertet werden. Auch eine Eingabe über die Tastatur ist möglich.

Da der Schlüssel des Gerätes eventuell auch anderen bekannt sein könnte, ersetzt die ETS diesen mit dem sogenannten Tool-Key, also einem Schlüssel für die Programmierung. Auch dieser Schlüssel ...

