Im Gespräch mit Klaus Wächter, Berater des Vorstands bei KNX Swiss und Vizepräsident bei der KNX International, wird deutlich, wie sehr Cybersicherheit zur Pflicht in der Gebäudeautomation wird – und warum Planer, Integratoren und Betreiber noch Nachholbedarf haben.

Redaktionelle Bearbeitung: Phase5

Die Gebäudeautomation wird heute oft über das Internet vernetzt. Welche Rolle spielt dabei ein System wie KNX – insbesondere, wenn es um sichere Verbindungen und die Verantwortung der Betreiber geht?

KNX, speziell KNX Secure, bietet durch die Interoperabilität zwischen hunderten von Herstellern den Gebäudebetreibern die Wahlfreiheit der Hersteller mit dem Vorteil eines gemeinsamen Ökosystems. Die KNX-Secure-Geräte sind alle durch Drittstellen zertifiziert und bieten dadurch erhöhte Sicherheit. Selbstverständlich sollte ein Gerät nur dann mit dem Internet verbunden werden, wenn dies auch benötigt wird. Ist dies der Fall, dann ist KNX Secure eine sichere Möglichkeit dafür.

KNX Secure soll zusätzliche Sicherheit bieten. Was macht diesen Schutz konkret aus – und wo hilft er in der täglichen Anwendung am meisten?

Nun, die klassischen KNX-Geräte bieten keinerlei Sicherheit, wie die meisten heute genutzten Protokolle in der Gebäudeautomation. KNX hat jedoch früh erkannt, dass dieser Zustand nicht mehr haltbar sein wird, und mit KNX Secure in Sicherheit investiert. Damit erhält man einen Grundschutz, wie er auch vom BSI in Deutschland angemahnt wird. Mehr Information über KNX Secure findet man hier: KNX.org/secure

Welche typischen Probleme oder Schwachstellen können durch KNX Secure vermieden werden?

Das KNX-Protokoll verhält sich immer identisch, egal ob KNX oder KNX Secure. Alle KNX-Secure-Produkte durchlaufen den strengen KNX-Zertifizierungsprozess, bei dem ihre Konformität mit den implementierten AES128-Authentifizierungs- und -Verschlüsselungsmechanismen geprüft und bestätigt wird. Speziell in öffentlichen Bereichen, also überall dort, wo sich Personen unbeobachtet bewegen oder drahtlos kommunizierende Anlagen vorhanden sind, besteht ein erhöhtes Risiko von Angriffen.

Wenn eine Anlage mit dem Internet verbunden ist, ist der Einsatz eines sicheren Protokolls für den Zugriff über das Internet ein absolutes Muss. Beim Einsatz einer KNX-Secure-Tunnel-Schnittstelle ist zu beachten, dass die von der ETS empfohlenen starken Passwörter verwendet werden und nicht durch eigene schwache Passwörter ersetzt werden.

Die KNX Secure Checklist für maximale Sicherheit

Können bestehende Anlagen einfach auf KNX Secure nachgerüstet werden, oder braucht es dafür grössere Umstellungen?

Wie man so schön sagt: Ausnahmen bestätigen die Regel. Grundsätzlich kann ich diese Frage aber mit Ja beantworten. Um die maximale Sicherheit Ihrer KNX-Installationen zu gewährleisten, haben wir die KNX Secure Checklist erstellt. Sie enthält einen Schritt-für-Schritt-Guide zu allem, was bei einer sicheren KNX-Installation zu beachten ist. Die dort gezeigten Beispiele lassen sich auch gut nutzen, um zu verstehen, wie sich eine existierende Anlage umrüsten lässt. Ich möchte allerdings betonen, dass es nicht möglich ist, vorhandene KNX-Geräte durch ein Update in KNX-Secure-Geräte umzuwandeln. Ein Austausch von Komponenten ist unumgänglich.

Wo treten in der Praxis die häufigsten Herausforderungen auf – beim Einrichten, bei der Planung oder eher im Betrieb?

Die KNX-Installateure sind gut geschult und die Unterstützung durch die ETS ist ebenfalls sehr hilfreich. Bei den Planern besteht jedoch noch mehr Schulungsbedarf, wobei sich dank EU-CRA (Cyber Resilience Act) bereits viele mit Cybersicherheit auseinandersetzen. Der Betreiber spürt davon am wenigsten, im optimalen Fall überhaupt nichts. Man muss sich aber darüber im Klaren sein, dass Cybersicherheit ein bewegliches Ziel ist, das man nie erreichen wird, da die Gegenseite nicht stehenbleibt.

Wird KNX Secure heute schon oft in HLKS-Projekten verwendet – auch in Kombination mit Fernzugriffslösungen oder Cloud-Diensten?

Wer heute baut oder renoviert und das Thema Cybersicherheit nicht berücksichtigt, der wirft sein Geld zum Fenster hinaus. Die Frage ist nicht, ob man angegriffen wird, sondern wann dieser Angriff passiert. Ob man sich letztendlich für eine lokale oder eine cloudbasierte Lösung entscheidet, ist dabei nebensächlich. Meiner Wahrnehmung nach ist Fernzugriff heute Standard.

Unsichere Kommunikationsprotokolle dürften wohl nach 2027 vom Markt verschwinden

Viele Bauherren und Betreiber nutzen auch andere Systeme. Wie stark ist KNX Secure aus Ihrer Sicht im Markt vertreten – insbesondere in der Schweiz?

Die Wahlmöglichkeiten, die man heute an dieser Stelle hat, sind überschaubar. Derzeit arbeiten die Hersteller der Gebäudeautomation jedoch intensiv daran, bis Ende 2027 möglichst viele Geräte mit sicheren Kommunikationsprotokollen anbieten zu können und damit den EU-CRA umzusetzen. Ich persönlich gehe davon aus, dass einige der heute genutzten unsicheren Kommunikationsprotokolle nach 2027 vom Markt verschwinden werden, da keine Aktivitäten in Richtung Cybersicherheit erkennbar sind. KNX wird davon profitieren und seine starke Position weiter ausbauen können.

Was müssen Planer, Integratoren oder Installateure wissen, damit KNX Secure auch wirklich sicher eingesetzt wird?

Zum einen empfiehlt es sich, dass von KNX angebotene Schulungsprogramm zu nutzen, zum anderen kann man sich mithilfe der zum Herunterladen verfügbaren Checklisten und Leitfäden auch selbst ein gutes Bild machen. Wer KNX beherrscht, wird auch damit zurechtkommen. Im Zweifelsfall wendet man sich direkt an KNX.

Wie gut passt KNX Secure zu anderen Sicherheitsstandards – arbeiten diese gut zusammen oder gibt es Überschneidungen?

Die Standard-IT-Sicherheit nutzt TLS für die Cybersicherheit in einem Gebäudenetzwerk. Hierbei handelt es sich um die sogenannte Transportsicherheit. KNX Secure nutzt eine davon völlig unabhängige Art der Applikationssicherheit. Beide können gleichzeitig genutzt werden, da sie sich nicht überschneiden oder behindern. Da KNX auch in kleinen Liegenschaften eingesetzt wird, in denen sich eventuell niemand um die Sicherheit des Netzwerks kümmert, kann KNX Secure durch diese Unabhängigkeit trotzdem für Cybersicherheit sorgen.

Was erwarten Sie in den nächsten Jahren: Wird sichere Kommunikation in Gebäuden noch wichtiger – und welche Rolle spielt KNX dabei?

Die gesamte EU-Gesetzgebung zielt darauf ab, dass Cybersicherheit verpflichtend wird. In Asien, vor allem in China, sehe ich auch sehr starke Tendenzen in diese Richtung. Die USA waren bis vor kurzem ebenfalls auf diesem Weg, aktuell kann ich aber nicht sagen, was genau zu welchem Zeitpunkt dort passieren wird. Die EU-NIS2-Richtlinie, die von der Schweiz nicht übernommen wurde, stuft grosse Teile der EU-Firmen als kritische Infrastruktur ein. Der EU-CRA verbietet die Inverkehrbringung unsicherer Produkte nach November 2027 im EU-Binnenmarkt. Welche Gründe brauche ich jetzt noch, um auch in diese Richtung zu denken und zu investieren?

 

Elco Remocon Net A

Weitere Experteninterviews zum Thema «Fernzugriff auf HLKS-Systeme: Sicherheitsrisiko oder Effizienzgewinn?»

Dieses Interview war Teil einer Recherche zum Thema und Printartikel «Fernzugriff auf HLKS-Systeme: Sicherheitsrisiko oder Effizienzgewinn?» Die vier weiteren Interviews finden Sie hier.

Impressum

Autor: Eugen Albisser

Bearbeitung durch: Redaktion Phase 5

Informationen

Weitere Artikel

Alle Artikel anzeigen

Veröffentlicht am:

Übersicht