Von Mark Warburton, Ivory Egg. In den letzten Monaten ist bei einigen Vorträgen und Präsentationen, die ich gehalten habe, deutlich geworden, dass die Sicherheit von KNX und anderen IoT-Systemen für viele Menschen immer noch ein Problem darstellt. Es ist großartig, dass die Menschen sich des potenziellen Risikos bewusst sind, wenn sie ein Gebäude mit dem Internet verbinden, denn eines der größten Risiken ist Unachtsamkeit. Es gibt unzählige Möglichkeiten, eine KNX-Installation sowohl von außen zugänglich als auch sicher und vor böswilligen Personen geschützt zu machen. Beginnen wir jedoch mit der Methode, die unsicher ist und definitiv nicht empfohlen wird. Ungesicherte KNX Systeme Angenommen, Sie verwenden die Standard-Ports oder die Multicast-Adresse an einer IP-Schnittstelle oder einem Router, dann ist es möglich, dieselben Ports in der Firewall zu öffnen und damit das KNX-System von außen sofort zugänglich zu machen. Da diese Ports jedoch Standard sind und bei den meisten Installationen gleich belassen werden, ist es kein großer Aufwand, sie zu identifizieren und potenziell Zugang zu einer Installation zu erhalten. Tatsächlich stellte Friedrich Praus von der FH Technikum Wien auf der KNX Technischen Konferenz 2016 fest, dass zwischen dem 8. August und dem 25. Oktober 2016 6163 KNX Systeme online identifizierbar, vollständig zugänglich und ungesichert waren. Das ist natürlich eine schlechte Praxis, vor allem, wenn man bedenkt, dass sie absichtlich online gestellt wurden, um dem Integrator oder dem Benutzer einen Fernzugriff zu ermöglichen. Nun zu den sichereren Methoden für den Fernzugriff auf eine KNX Installation. 
Friedrich Praus von der FH Technikum Wien gewann die Auszeichnung "Best Conference Paper" für seinen Vortrag "KNX Security Devices" auf der KNX Technical Conference, die im Oktober 2016 in Dortmund, Deutschland, stattfand. Mehr Sicherheit für KNX Systeme Die erste Möglichkeit besteht darin, ein VPN (Virtual Private Network) einzurichten, um einen sicheren Tunnel in das System zu schaffen. Sobald die Authentifizierung für die Verbindung verwendet wurde, ist man effektiv lokal im Gebäude und kann alle notwendigen Änderungen vornehmen oder Apps oder Visualisierungen verbinden. Eine Möglichkeit, ein VPN zu erstellen, ist die Verwendung eines Netzwerk-Routers, der über einen integrierten VPN-Server verfügt. Wir haben festgestellt, dass bei den meisten Installationen, bei denen Systeme im Haus installiert werden, wie AV, CCTV und KNX, das Netzwerk wahrscheinlich vollständig vom Integrator verwaltet wird. Bei kleineren Installationen oder wenn der Hausbesitzer nicht bereit ist, einen fortschrittlicheren Router als das Standardgerät des Internetanbieters zu installieren, ist eine andere Lösung erforderlich. In diesem Fall ist es möglich, einen separaten VPN-Server in der Immobilie zu installieren. Ein gutes Beispiel hierfür ist der Gira X1, der über einen integrierten OpenVPN-Server verfügt. Die Installation ist recht einfach, die einzige größere Komplikation besteht darin, dass einige Ports auf dem Router geöffnet werden müssen. Im Gegensatz zum Öffnen von Ports direkt an einer KNX Schnittstelle oder einem Router, benötigt der X1 jedoch Anmeldedaten, um unbefugten Zugriff zu verhindern. Über das X1 und den OpenVPN-Server ist es nicht nur möglich, den Zugriff für die Fernsteuerung der X1-App zu ermöglichen, sondern auch auf Geräte im restlichen Netzwerk zuzugreifen, z. B. auf das KNX-System oder eine CCTV-Kamera. 
Der Gira X1 hat einen eingebetteten OpenVPN-Server. Ein weiterer Schritt nach vorne in Sachen Einrichtungsfreundlichkeit ist der Smart Connect KNX Remote Access von Ise. Dieser funktioniert ähnlich wie ein VPN, aber anstelle eines Tunnels wird eine sichere Website verwendet, um den gesamten Datenverkehr in und aus der Installation zu verschlüsseln. Da das Ise-Gerät die erste Verbindung aus dem Gebäude heraus herstellt, wird ein sicherer Pfad geschaffen, was bedeutet, dass keine Konfiguration auf dem Netzwerkrouter erforderlich ist. Durch Ausführen einer Anwendung auf einem entfernten Computer oder durch Einloggen über die sichere Website ist es möglich, auf die Netzwerkgeräte im Haus zuzugreifen. Einige Visualisierungssysteme, wie z.B. der Gira Homeserver, unterstützen auch das Ise-Fernzugriffsgerät, d.h. Fernverbindungen werden hergestellt, ohne dass zuvor ein VPN angeschlossen werden muss. 
Der Ise Smart Connect KNX Fernzugriff verschlüsselt über eine sichere Website den gesamten Datenverkehr in und aus der Installation. Die drei oben genannten Lösungen sind in dieser Grafik der KNX Association zusammengefasst und werden im Positionspapier "KNX secure" behandelt. 
Aktuelle KNX Sicherheitsoptionen wie von der KNX Association empfohlen. KNX Daten sicher Die erste ist KNX Data Secure, die es ermöglicht, Geräteobjekte mit einer Sicherheitsschicht zu versehen. Unter Verwendung von Industriestandard-Sicherheitsalgorithmen werden die Anwendungsdaten innerhalb eines KNX-Telegramms mit Schlüsseln verschlüsselt, die zwischen den Geräten ausgetauscht werden. Dies wird ab der ETS 5.5 unterstützt, so dass wir jetzt darauf warten, dass die Hersteller nachziehen. Dies wird ein großartiges Werkzeug sein, um Schlüsselinformationen auf dem KNX-Bus zu sichern und zu kodieren, oder schließlich den gesamten Bus unlesbar zu machen, wenn man nicht das Projekt mit den Schlüsseln hat. KNX IP Secure Die andere Methode ist KNX IP Secure. Dieser Ansatz nimmt das bestehende KNX IP Telegramm und verpackt es in einen Sicherheitsmantel, wiederum unter Verwendung eines Industriestandardansatzes. Die Hauptanwendung ist die Verschlüsselung der Kommunikation zwischen zwei oder mehreren IP-Routern, die zur Schaffung eines IP-Backbones verwendet werden. Es kann auch verwendet werden, um den Verkehr von der ETS zu einem IP-Router oder einer Schnittstelle zu verschlüsseln, und mit der Zeit werden wir sehen, dass die gesamte IP-Kommunikation sicher ist. Auch hier liegt es an den KNX Herstellern, KNX Produkte zu entwickeln und auf den Markt zu bringen, da die KNX Association bereits die Arbeit geleistet hat, dies zu ermöglichen. Es wird auch eine Anforderung an Systeme von Drittanbietern geben, die derzeit über einen IP-Router oder eine Schnittstelle verbunden sind, KNX IP Secure zu unterstützen, aber nur die Zeit wird zeigen, wie schnell dies angenommen wird. 
KNX Data Secure und KNX IP Secure Abschluss Die Wahrscheinlichkeit, dass ein System von jemandem mit böser Absicht gehackt wird, ist im Gegensatz zu jemandem, der scheinbar um des Hackens willen hackt, äußerst gering. Die obigen Argumente zeigen jedoch einmal mehr, dass die KNX Association der Zeit voraus ist, wenn es darum geht, sicherzustellen, dass KNX auch im Zeitalter zunehmender Sicherheitsbedenken und Bedrohungen relevant bleibt. Solange die Integratoren ihre Rolle weiterhin korrekt ausüben und sicherstellen, dass sie Systeme auf sichere und robuste Weise installieren, haben wir als Branche nichts zu befürchten. Mark Warburton ist der technische Direktor von Ivory Egg (UK) Ltd, einem Anbieter von führenden KNX Produkten und Anbieter von KNX Schulungskursen. www.ivoryegg.co.uk
