Lange wurde das Thema Sicherheit in der Heim- und Gebäudeautomation nicht ernst genug genommen. Wahrscheinlich, weil die KNX Technologie auch bisher schon recht gut gegen fremden Zugriff geschützt war. Und zwar dann, wenn der Systemintegrator mit dem Netzwerkzuständigen eng zusammenarbeitet. KNX Geräte sind üblicherweise fest in der Wand verbaut und im Technikraum in Elektroverteilern montiert. Somit braucht es kriminelle Energie und geeignetes Werkzeug, um an die Geräte, also die Hardware, zu kommen. Möchte der Täter an der Funktionalität bzw. Konfiguration etwas ändern, so muss er sich Zutritt zum Gebäude verschaffen, KNX Geräte mit Werkzeugen manipulieren und über die geeignete Inbetriebnahme-Software verfügen.

In den letzten Jahren wurde mit KNX-Secure viel erreicht und ein erheblicher Schritt getan, um „digitale Einbrüche“ zu verhindern. Gemeint sind sogenannte „Cyberattacken“. Durch die sich stark verbreitende „Cloud-Technik“, sind immer mehr Gebäude mit dem Internet verbunden.

Bei Beachtung aller aktuellen Vorschriften für eine KNX-Projektinstallation und einer sicheren Inbetriebnahme wäre man auf der sicheren Seite. Ist man allerdings nachlässig und übersieht die relevanten Sicherheitslücken, so sind Hacker- bzw. Cyberattacken möglich. Anders wie in der oben beschriebenen Situation einer „Hardware-Manipulation“, muss sich der Täter bzw. Hacker nicht im Gebäude befinden, um etwas an der Konfiguration des KNX Projekts zu ändern. Er kann mit entsprechenden Software-Werkzeugen und Programmen anonym von irgendwo in der Welt, rein mit der Verbindung über das Internet ein ungeschütztes Gebäude ausspähen und dann möglicherweise auch manipulieren.

Diese Cyberkriminalität hat in den letzten Jahren stark zugenommen. Es wurden zahlreiche Server von Firmen, Schulen, Universitäten, Krankenhäusern und sogar Energieversorgungsunternehmen „gehackt“. Dann wurden die Daten verschlüsselt, mit dem Ziel für die Entschlüsselung Geld (meist in Form von Bitcoins) zu erpressen.

Wie sind die Täter in den letzten Fällen vorgegangen? Immer mehr Gebäude wurden über Ports und Internet-Router netzwerkfähig. Entweder, um die Wartung und den Service zu erleichtern, oder dem Kunden einen externen Zugriff für die Visualisierung zu geben. Diese Methode ist nicht mehr zeitgemäß, weil dieser Portzugriff für Cyberattacken anfällig ist. Im Schutz der Anonymität, konnten sich Kriminelle Zugriff verschaffen und die KNX Geräte entweder entladen und so funktionslos machen, überschreiben und sogar mit einem Passwort versehen. Das war für die betroffenen Bauherren und Betreiber extrem kritisch und kann unter Umständen einen hohen administrativen und finanziellen Aufwand zur kompletten Wiederinbetriebnahme des Systems bedeuten.  

Wie schützt man KNX Projekte gegen kriminelle Zugriffe über das Internet? Es gibt verschiedene Mechanismen, die aufeinander abgestimmt sein müssen. Hierbei ist zu beachten, dass man externe Angreifer ebenso abwehren muss, wie auch interne – also sich im Haus befindende Personen. Natürlich muss zuerst der offene Port geschlossen werden. Am besten schließt man alle Ports am Internet-Router, weil es modernere Mittel gibt, einen externen und sicheren Zugriff zu gewährleisten. In entsprechend unsicheren privaten Projekten können alle eingetragenen Ports im Internet-Router gelöscht werden, entweder durch die kundigen Bauherren oder durch einen Netzwerkfachmann. In gewerblichen Projekten ist der Netzwerkadministrator zuständig.

Für Fernwartung und externe Visualisierung der Projekte kann man entweder eine Hardware-Firewall oder einen Internetrouter, welcher eine Firewall Funktionalität enthält verwenden. Diese Firewall Funktionalität stellt dann eine VPN (Virtual Private Network) Verbindung zur Verfügung. Es gibt auch KNX Produkte, welche eine Firewall-Funktion mit integriertem VPN anbieten. Bei diesen VPN-Geräten erfolgt der „Handshake“ in einer sicheren Cloudanwendung, welche nach erfolgreichem „Handshake“ eine direkte verschlüsselte Tunnelverbindung aufbaut.

Noch mehr Sicherheit, erhält der Projektant oder Betreiber, der auf KNX Geräte mit KNX Secure Funktionalität setzt. Das Ergebnis der jahrelangen Entwicklung ist eine umfassende KNX Secure Sicherheitsarchitektur, die zudem international auf ISO 18033-3 standardisierte Sicherheitsalgorithmen wie die AES 128 CCM-Verschlüsselung setzt, um Angriffe auf digitale Infrastruktur von Gebäuden effektiv zu verhindern.

KNX Secure besteht im Wesentlichen aus zwei Mechanismen: KNX IP Secure schützt die IP-Kommunikation zwischen den KNX-Installationen. Dazu erweitert KNX IP Secure das IP-Protokoll so, dass alle übertragenen Telegramme und Daten vollständig verschlüsselt werden. Gleichzeitig schützt KNX Data Secure die Benutzerdaten, einschließlich der mit den verschiedenen Endgeräten ausgetauschten Daten, durch Verschlüsselung und Authentifizierung effektiv vor unbefugtem Zugriff und Manipulation. Beide Mechanismen können kombiniert und parallel verwendet werden, um maximale Sicherheit zu erreichen.

In bestehenden KNX Projekten ist es leicht den Security Level zu erhöhen: Man tauscht die bestehenden KNX IP Router durch KNX Secure Varianten aus und aktiviert die KNX Secure Funktion. Dadurch werden alle KNX Telegramme auf dem IP-Netzwerk/Ethernet verschlüsselt. Man nutzt dann KNX IP Secure. Ein „Mitlesen“ ist dann zwar auch noch möglich, aber der Inhalt der verschlüsselten Kommunikation in Bits und Bytes kann von Dritten z. B. Hackern nicht mehr interpretiert werden. Hierzu ist der Secure Key erforderlich, den diese fremden Personen nicht besitzen.

Möchte man das Sicherheits-Level der KNX Installation weiter erhöhen und auch in der Sensor- und Aktor-Ebene den Zugriff Unbefugter verhindern, so besteht die Möglichkeit KNX Sensoren und Aktoren mit KNX Secure zu verwenden. Immer mehr KNX Hersteller bieten passende Produkte an. Aktiviert man diesen Sicherheitsmechanismus, auf Basis der Telegrammübertragung, so spricht man von „KNX Data Secure“.

Fazit: In modernen Gebäudeautomationssystemen ist die Betriebssicherheit ein extrem wichtiger Punkt. Ungeachtet dessen ob es sich um private oder gewerbliche Projekte handelt, sollte man sich frühzeitig über die Risiken von ungewollten Zugriffen auf den Datenverkehr im Klaren sein und entsprechende Maßnahmen ergreifen. Um die Gefährdung durch unerlaubtem Zugriff zu minimieren existieren heute bereits erprobte Produkte und entsprechende Mechanismen, welche je nach Sicherheitsanspruch einzusetzen sind und den benötigten Schutz bieten. Den optimalen Schutz bieten VPN Lösungen in Verbindung mit KNX Secure Geräten.