KNX ist bisher schon den Sicherheitsansprüchen gerecht, wenn Installateure der Gebäudesystemtechnik die empfohlenen Schutzmaßnahmen gegen Manipulation beachten. Doch mit neuen Medien wie LAN und WLAN, mit Internetzugang, drahtlosen Bedienkonzepten und Anwendungen in sensiblen Bereichen erhöht sich das Schadensrisiko durch unerwünschte Eindringlinge. Diesen und anderen Anforderungen entsprechend hat KNX neue Sicherheitskonzepte entwickelt: KNX Data Secure und KNX IP Secure. Beide basieren auf weltweit etablierten Sicherheitsprotokollen und können auch in die bestehenden KNX Anlagen nahtlos integriert werden.
Mit den Möglichkeiten der Fernanbindung von KNX Installationen über das Internet oder/und dem Drahtlosnetzwerk WLAN werden zusätzliche technische Sicherungsmaßnahmen notwendig. Durch Zugriff auf Geräte und Medien besteht die Gefahr der Manipulation des Datenverkehrs. Es ist also notwendig, die übertragenen Informationen auf jedem Medium (KNX TP, PL, RF, IP) gegen Änderungen oder gegen Aufzeichnung eines Telegramms und dessen manipulierende Wiederholung durch Eindringlinge zu schützen. Der Fernzugriff über das Internet auf ein KNX Bussystem sollte so abgesichert werden können, dass die Bedienung und Konfiguration von Busgeräten nur durch nachweislich Berechtigte erfolgen kann. Ein wirksamer Schutzmechanismus gegen Manipulationen ist, wenn nur Busteilnehmer miteinander kommunizieren können, die sich gegenseitig als Teil des Bussystems erkennen. Diesen und anderen Anforderungen entsprechend hat KNX neue Sicherheitskonzepte entwickelt: KNX Data Secure und KNX IP Secure. Beide verwenden Mechanismen, wie sie zum Beispiel zur sicheren Übertragung von Daten zwischen Elektrozählern und Energieversorgern (EVU) Verwendung finden.
Verschlüsselte Telegramme
Werden Daten über das Internet gesendet, lässt sich die Verbindung zwischen dem Sender- und Empfängernetzwerk durch eine VPN-Verbindung schützen. Damit ist aber nicht sicher, ob der Sender autorisiert ist, das Bussystem zu konfigurieren oder Daten mit ihm auszutauschen. Hier bietet KNX IP Secure zusätzliche Sicherheit, indem das KNX IP Protokoll so erweitert wird, dass die übertragenen Daten vollständig verschlüsselt sind. Diese lässt sich mit kleinem Zusatzaufwand besonders auch in bestehenden Anlagen umsetzen.
Wenn Daten nur lokal über KNX gesendet werden, genügt es, entsprechend Anwendungsdaten zusätzlich durch eine Erweiterung des Busprotokolls zu schützen. Der spezifizierte Schutzmechanismus KNX Data Secure bewirkt, dass unabhängig vom Medium ausgewählte KNX Telegramme authentifiziert und/oder verschlüsselt werden. Die Schlüssel werden über die ETS den Geräten bzw. Objekten zugeordnet. Da in einem und demselben KNX System gesicherte und ungesicherte Anwendungen möglich sind, müssen nicht alle Geräte gesichert sein. Auch vorhandene Systemkomponenten kann man belassen. Somit hält sich der Aufwand in Grenzen und wird die Investition in die KNX Bustechnik gewahrt.
Sicherheitsprotokoll weltweit etabliert
Mit den neuen spezifizierten Schutzmechanismen KNX Data Secure und KNX IP Secure lassen sich künftige gesicherte Kommunikationskanäle zwischen den KNX-Teilnehmern aufbauen. So wird verhindert, dass ein Angreifer durch Einspeisen manipulierter Meldungen Kontrolle über die Anlage bekommt. Dazu ist jede Meldung mit einem Authentifizierungscode versehen. Der Versuch, Meldungen aufzuzeichnen und diese später zum Zweck einer Sabotage zu senden, wird durch automatische Vergabe von Sequenznummern bzw. einer Sequenzidentifikation verhindert. Schließlich macht die Verschlüsselung des Netzwerkverkehrs KNX Installation nahezu unangreifbar. Das Verfahren basiert auf weltweit etablierten Sicherheitsprotokollen.
Einführung mit ETS 5.5
Nicht zuletzt liegt es an den Planern, Installateuren und Systemintegratoren, dass Hacker keine Chance bekommen. Sie müssen die Schutzmaßnahmen kennenlernen und umsetzen. Bei der Übergabe der Anlage und durch regelmäßige Überprüfung im Betrieb lassen sich die Anlagenfunktionen und das angestrebte Sicherheitsniveau sicherstellen. Die neuen Sicherheitsfunktionen, insbesondere für den Zugriff über das Internet, können in bestehende Anlagen durch Verwendung von Schnittstellen mit den neuen KNX Sicherheitsmechanismen eingeführt werden. KNX IP Secure und KNX Data Secure werden ab der neuen ETS 5.5 auch in der Planungs- und Inbetriebnahmesoftware unterstützt.
0 Kommentar
Danke für den wichtigen Artikel. Den Ball auf Planer, Installateure und Integratoren zu schieben finde ich schon recht überheblich. Fakt ist, dass vor der KNX Secure Initiative die KNX Technologie über KEINE systemeigene Sicherheitsstruktur verfügte. Die sogenannten Schutzmaßnahmen wie z.B. Linienkoppler mit Filtertabellen können daran absolut nichts ändern. Es wurde hoch an der Zeit, dass hier endlich Handlungen gesetzt werden. Aber eines stimmt zweifellos: Solange in vielen Installationen einfach per Portforwarding und DynDNS ganze KNX-Systeme zugangsfrei im Internet stehen, kann das Protokoll sicher sein, es wird nix nutzen.