Auf diese Themen werden wir näher eingehen:
- Wie sicher ist KNX?
- Sicherheitsmaßnahmen zum Schutz des KNX-Systems vor unbefugtem Zugriff
- Kopplung KNX mit Sicherheitsanlagen
- Unautorisierte Buszugriffe detektieren
- Wie kann ein Smart Home den Einbruchschutz verbessern?
- Weitere Sicherheitsmaßnahmen im Smart Home
- KNX und Datenschutz – Die GDPR-Richtlinie
Wie sicher ist KNX?
Viele haben noch Bedenken sich für ein Smart Home zu entscheiden. Angst vor Sicherheitslücken und das heikle Thema Datenschutz sind oftmals die Gründe. Ganz so falsch liegen sie nicht: Technisch versierte Einbrecher könnten sich theoretisch in KNX-Systeme einschleusen und somit die Alarmanlagen und Türschlösser manipulieren. Vor allem durch neue Medien wie LAN und WLAN, also Geräten mit Internetzugang (IoT – Internet of Things), steigt das Sicherheitsrisiko in einem Smart Home. Aber ist es wirklich so einfach ein KNX-Bussystem zu hacken?
Wichtig ist vor allem die Verschlüsselung des KNX-Protokolls, des Internetzugangs und der Netzwerke. Auch der physische Zugang zu dem grünen KNX-Kabel muss außerhalb der Hacker-Reichweite liegen! Wir haben für euch einige Sicherheitsmaßnahmen zusammengestellt, die einfach umzusetzen sind und euer KNX-System schützen.
Letzte Aktualisierung am 30.09.2023 / Affiliate Links / Bilder von der Amazon Product Advertising API
Sicherheitsmaßnahmen zum Schutz des KNX-Systems vor unbefugtem Zugriff
1. KNX-Protokoll mit Mechanismen verschlüsseln
- Data Security
- IP Secure
2. Physische Zugänge zum KNX-Kabel verhindern
- Für Geräte im Außenbereich ein eigenen KNX-Linie einrichten
- Sicherheitsrelevante Funktionen nicht über KNX schalten (beispielsweise die Haustür)
3. Internetzugang und Netzwerke verschlüsseln
- WLAN so sicher wie möglich machen
- Unterschiedliche Netzwerke (Haussteuerung / Surfen) trennen,
sog. VLANs einrichten (Erklärung zu VLANs weiter unten)
1. KNX-Protokoll verschlüsseln
KNX reagierte bereits auf die Sicherheitslücken ihres Systems im April 2015 und entwickelte zwei neue Sicherheitskonzepte, um die Laufzeitkommunikation zu schützen: KNX Data Security und KNX IP Secure. Durch diese Sicherheitsprotokolle werden alle Datenpakete verschlüsselt gesendet und der Datenaustausch kann nicht mitgelesen bzw. manipuliert werden. Diese beiden Mechanismen ermöglichen den Aufbau eines gesicherten Kommunikationskanals.
Somit wird folgendes sichergestellt:
Datenintegrität
Unbefugter Zugriff wird verhindert. Manipulierte Meldungen von außerhalb können nicht mehr eingespeist werden. Ein Authentifikationscode wird an jede Meldung gehängt. Anhand dieses Codes lässt sich sicherstellen, dass die Meldung nicht abgeändert ist und auch vom richtigen Kommunikationspartner gesendet wurde.
„Freshness“
Meldungen können nicht aufgezeichnet und zu einem späteren Zeitpunkt wieder abgespielt werden. Bei KNX Data Security übernimmt diese Aufgabe eine Sequenznummer, bei KNX IP Secure eine Sequenzidentifikation.
Vertraulichkeit
Ein Algorithmus (mittels eines symmetrischen Schlüssels) sichert den Netzwerkverkehr. Der Schlüssel wird vom Sender und Empfänger zur Verifikation und Entschlüsselung der Meldungen verwendet.
Geräte, die KNX Data und IP Secure unterstützen, sind daran zu erkennen, dass auf dem Produktetikett ein ‚X‘ angebracht ist.
Durch richtige Konfiguration ist es außerdem möglich, ungewollte Kommunikation im Netzwerk zu reduzieren, damit keine Meldungen mit inkorrekter Quelladresse weitergeleitet werden. Am besten sollte auch Punkt-zu-Punkt und wenn möglich die Broadcast-Kommunikation über den Router hinweg blockiert werden, sodass eine Re-Konfiguration auf eine einzige Linie begrenzt wird. Das Aktiveren von Filtertabellen im Koppler unterbindet fremde Gruppenadressen und damit den Zugriff von fremden eingeschleusten Gerät auf das KNX-System. Zum Schutz der Geräte und ihren Konfigurationsdaten vor unbefugten Zugang ist zudem mit der ETS-Software ein projektspezifisches Passwort festlegbar.
Weitere Informationen zu den KNX Secure Konzepten findet ihr im Positionspapier von KNX
2. Physische Zugänge zum KNX-Kabel verhindern
Smart Home Besitzer sollten generell darauf achten, dass nur befugte Personen wie der Installateur, der Hausmeister oder weitere legitime Nutzer über einen Zugang zu der KNX-Anlage verfügen.
Haben Einbrecher einen unbeschränkten physikalischen Zugang zum grünen KNX-Kabel, können KNX-Telegramme abgegriffen werden. Mit einer speziellen Software könnte dann herausgefunden werden, welche Telegramme für welche Aktivitäten zuständig sind. Es könnten auch Telegramme abgefangen und zu einem anderen Zeitpunkt 1:1 wieder eingespielt werden (z.B. der Bewohner öffnet die Haustür).
Um dies zu verhindern, ist es nötig, technische Geräte außerhalb des Hauses nicht mit dem Bussystem im Inneren des Hauses zu verbinden. Nur so macht ihr es den potentiellen Einbrechern unmöglich in das intelligente Sicherungssystem einzugreifen. Zusätzlich sollten Geräte verriegelt und mit einem Linienkoppler der Verkehr begrenzt werden. Das bedeutet, das die Geräte im Außenbereich keine Telegramme zu anderen Geräten im Inneren des Hauses senden können.
Wichtig für die Montage von Leitungen und Geräten:
Geräte fest anbringen
Empfohlen wird eine feste Installation von Geräten, damit diese nicht von unbefugten Personen entfernt werden können, sowie die Unterverteilungen in Räumen zu verschließen, damit ein fremder Einfluss auf die KNX-Anlage nicht möglich ist.
KNX-Kabel
Hacker brauchen das grüne KNX-Kabel, um sich mit dem Haus zu verbinden. Das Kabel sollte deshalb nicht zugänglich sein (dies ist v.a. auch für Unterverteilungen zu beachten, welche schnell vergessen werden). So ist es wichtig, dass die Leitungsenden des Twisted Pair Kabels nicht sichtbar sind und dass der Zugang zum Kabel vor allem im Außenbereich erschwert ist. Geräte in begrenzt geschützten Bereichen (Außenbereich, Tiefgarage, etc.) sollten als eigene Linie ausgeführt werden, damit Angreifer nicht Zugriff auf die gesamte Anlage erlangen.
Binäreingänge oder Tasterschnittstellen
Wenn konventionelle Geräte an nicht-überwachten öffentlichen Bereichen von Gebäuden genutzt werden, können geschützte Binäreingänge oder Tasterschnittstellen verwendet werden, um den Zugang zum KNX-Bus zu erschweren
Geräte außerhalb der Reichweite
Die KNX-Geräte im Außenbereich sollten am besten so hoch wie möglich installiert werden (Wetterstation, Windsensoren auf dem Dach).
Diebstahlschutzeinrichtungen
Angebotene Diebstahlschutzeinrichtungen von Applikationen und KNX-Komponenten sollten verwendet werden (Sicherung durch extra Schrauben, Spezialwerkzeug, etc.).
3. Internetzugang und Netzwerke verschlüsseln
Diese Maßnahme ist eigentlich selbstverständlich, denn nicht nur Einbrecher wollen euer WLAN hacken: Installiert euch eine gute Firewall! Falls ihr von unterwegs keinen Zugriff auf eure KNX-Funktionen benötigt, dann wird das KNX-System sowieso vom Internet abgekoppelt. Das wäre die sicherste Möglichkeit euch vor unbefugtem Zugriff zu schützen.
Wenn von extern doch ein Zugriff via Internet stattfinden soll, empfiehlt KNX folgendes:
VPN
Der Zugang zu KNX-Anlagen sollte über VPN Verbindungen aufgebaut werden. Dazu braucht ihr einen Router oder Server, der VPN-fähig ist.
Herstellerspezifische Lösungen
Man kann herstellerspezifische Lösungen verwenden (Apps/Visualisierungen, die einen Zugang über http mit anbieten).
ETS-Inside
KNX und das IoT (Internet of Things) – die Integration von KNX Web Services: Die neue KNX-Softwarevision „ETS Inside“ (ab Januar 2017) unterstützt das neue KNX Secure Konzept und wird einen standardisierten Zugang zu KNX Installationen über das das Internet anbieten.
Hohe Netzwerksicherheit
Für die Gebäudeautomation sollte ein getrenntes WLAN oder LAN Netzwerk mit eigenem Router verwendet werden. Nichtsdestotrotz müssen die üblichen Sicherheitsmechanismen für IP-Netzwerke angewandt werden.
Das bedeutet:
Netzwerk-Zugangsschutz und Passwörter
MAC-Filter anwenden und überall starke Passwörter verwenden
SSID ändern
Voreingestellte SSIDs deiner Access Points ändern (SSID ist der Name, unter dem ein drahtloser Access Point sichtbar ist, meistens Hersteller und Typbezeichnung)
IP-Adresse ändern
Keine voreingestellte IP-Adresse für den KNX IP Multicast nutzen (voreingestellt: 224.0.23.12)
Netzwerkkonfiguration und weitere Schutzmaßnahmen
Netzwerkkonfiguration (Managed Switches, VLANs, Access Points) stetig optimieren und weitere Schutzmaßnahmen wie E-Mail-Filter und Anti-Viren-Schutz nutzen
Mit V-LANs (Virtual Local Area Networks) werden bestehende einzelne Netzwerke in mehrere logische Netzwerke unterteilt. Die Kommunikation der Netzwerke (VLANs) ist nur über einen Router möglich, der an die VLANs angeschlossen ist. Damit trennt ihr das Surfen im Internet von der Steuerung der Sicherheitsfunktionen wie eurer Haustür.
Kopplung KNX mit Sicherheitsanlagen
Besonders wenn eine KNX-Anlage mit Anwendungen wie Einbruchmelde-, Brandmelde- oder Türöffnersystemen gekoppelt wird, muss besonderen Wert auf Sicherheitsvorkehrungen gelegt werden. Am besten gelingt dies über…
- VdS approbierte KNX-Geräte oder Schnittstellen
- potentialfreie Kontakte (Binäreingänge, Tasterschnittstellen, …)
- entsprechende Schnittstellen (RS232, …) oder Gateways: In diesem Fall sollte sichergestellt werden, dass die KNX-Kommunikation keine sicherheitsrelevanten Funktionen im Fremdsystem auslösen kann.
Unautorisierte Buszugriffe detektieren
Damit Hausbesitzer eines Smart Homes frühzeitig informiert werden, wenn fremde Personen auf das eigene KNX-System zugreifen wollen, gibt es die Möglichkeit den Bus jederzeit überwachen und ungewöhnlichen Verkehr aufzeichnen zu lassen. KNX Secure Geräte sind in der Lage Security Failure Logs durchzuführen, mit denen Security Angriffe auf das Gerätesystem erkennbar sind. Bei einigen Geräten kann sogar über den PID_Device_Control ausgelesen werden, wenn externe Geräte Telegramme mit der mit der eigenen physikalischen Adresse senden. Der PID_Download_Counter, über den vor allem neuere Versionen verfügen, ermöglicht Werte zyklisch auszulesen und mit einem Vergleichswert ins Verhältnis zu setzen, damit eventuelle Änderungen in der Gerätekonfiguration abgeleitet werden können.
Wie kann ein Smart Home den Einbruchschutz verbessern?
- Anwesenheitssimulation: Das Smart Home zeichnet die Aktivitäten der Bewohner über einen bestimmten Zeitraum hinweg (z.B. eine Woche) auf. Ist die Simulation dann aktiviert, werden diese Vorgänge automatisch abgespielt. Dadurch entsteht der Eindruck, die Personen wären anwesend.
- Zustandsüberwachung: Durch Fensterkontakte, Erschütterungssensoren, Überflutungssensoren und Kameras, können exakte Daten zum Einbruch geliefert werden.
- Frühzeitige Detektion von Gefahren: Via App kann das Smart Home auch aus der Ferne kontrolliert werden. Auf einen Blick kann der Zustand des Fensters oder des Herdes abgerufen werden.
- Abschreckung: Bewegungsmelder, die das Licht im Garten einschalten sind nicht neu. Auch für Einbrecher nicht. Das Einschalten der Innenbeleuchtung jedoch schon. Als würde ein Bewohner auf den unerwünschten Gast im Garten reagieren, geht z.B. das Licht im Schlafzimmer an. Zusätzlich können die Gartenlautsprecher einen Ton abspielen, um die Einbrecher zu vertreiben.
- Effektive Einbruchmeldeanlage: Kombination des Alarms mit Fenster-Türkontakten, Bewegungssensoren, Kamera, Licht, Sirene, etc. (Unidirektional! Wandtaster und Displays sollten Alarmanlage nicht scharf/unscharf stellen können.)
Weitere Sicherheitsmaßnahmen im Smart Home
Schutz vor Brand- und Wasserschäden
Ein Smarter Rauchmelder überträgt den Alarm auf andere Rauchmelder und kann mit Sprachdurchsagen die Hausbewohner informieren, in welchem Raum der Alarm ausgelöst wurde. Zudem wird mit einer Push-Benachrichtigung auf dem Smartphone ein zusätzliches wichtiges Warnsignal geschaffen. Weitere automatisierte Prozesse können an eine Brandmeldung gekoppelt werden, wie das Ausschalten der Lüftungsanlage, um das Feuer nicht durch zusätzlichen Sauerstoff zu nähren sowie das Anschalten der Lichter und Öffnen der Rollläden, bzw. des Hoftors für ein schnelles Verlassen des Hauses.
Leckage Sensoren, die beispielsweise unter der Spüle oder Waschmaschine platziert werden, lösen bei Kontakt mit Wasser einen Alarm aus und senden wie beim Brandalarm eine Push-Benachrichtigung an das Smartphone. Bei Bedarf wird dann sogar über motorisierte Ventile die Wasserzufuhr im Rohr gestoppt.
Im Smart Home alt werden
Ein Smart-Home bietet für allem für ältere Menschen viele Vorzüge. Dafür gibt es sogar spezielle Systeme, die unter dem Begriff Ambient Assisted Living (kurz AAL) zusammengefasst werden. Ein Smart Home kann Senioren dabei helfen, ein selbstbestimmtes Leben zu führen und den Alltag zu entlasten. Da die Bedienung der KNX-Technik immer intuitiver wird, sind auch ältere Menschen in der Lage diese selbst steuern. Mithilfe spezieller Türklingelsysteme (z.B. Ring Doorbell 2) ist es Senioren möglich zu sehen, welche Personen gerade klingeln, um diesen dann ggf. von einem anderen Raum aus die Tür zu öffnen. Diese smarte Türklingel kann gleichzeitig auch als Notfallknopf dienen, wenn sich Verwandte und Freunde die entsprechende App herunterladen. Bei einer erhöhten Sturzgefahr gibt es die Möglichkeit eine Sensormatte (z.B. SensFloor) unter den Fußboden zu verlegen, die den Sturz einer Person registriert und Pflegepersonal oder Angehörige informiert. Auch ist ein Herdwächter als smarter Feuerschutz sinnvoll in ein altersgerechtes Smart Home zu integrieren. Dieser Sensor registriert, wenn ein Temperaturanstieg am Herd ohne Bewegung (wie es beim Kochen üblich ist) entsteht und unterbricht dann nach 15 Sekunden die Stromzufuhr.
KNX und Datenschutz – Die GDPR-Richtlinie
Wer Besitzer eines Smart Homes ist, hat sich sicher schon Gedanken über das Thema Datenschutz gemacht, denn schließlich werden bei der Programmierung der KNX-Anlage zur optimalen Automatisierung viele individuelle Informationen in das System eingespeist. Um Datensicherheit im Smart Home zu erreichen, kommt die GDPR-Richtline zum Tragen. GDPR steht für General Data Protection Regulation und beabsichtigt die Harmonisierung von Datenschutzgesetzen in ganz Europa. Zur Erfüllung der GDPR-Richtlinie wird dem Kunden vom Installateur die ETS-Projektdatei übergeben und gemeinsam eine Datenschutzerklärung unterschrieben. Zentral hierbei ist die Gewährleistung, dass von KNX-Geräten gelieferte Daten nur für den Zweck der Remotesteuerung durch den Nutzer (App), für Wartungszwecke sowie für die Produktentwicklung eingesetzt werden dürfen, aber keinesfalls für die Generierung personalisierter Werbung.
Weitere Informationen zum Thema Datenschutz findet ihr unter https://ec.europa.eu/info/law/law-topic/data-protection_de
Fragen zur KNX Sicherheit?
zurück zum KNX-Übersichtsartikel
