Interview: Joost Demarest über KNX Secure

Angesichts der allgegenwärtigen Bedrohung durch Hacker hat die KNX Association KNX Secure entwickelt - eine robuste Sicherheitslösung für drahtgebundene, drahtlose und IP-basierte Installationen. In diesem exklusiven Interview mit KNXtoday spricht Joost Demarest, CFO und CTO der KNX Association, über Strategie und Umsetzung.

KNXtoday: Warum hat Sicherheit für die KNX Association Priorität?

JD: In der Vergangenheit gab es in der KNX-Community kein allzu großes Sicherheitsbewusstsein. Zunächst einmal sind viele der KNX-Installationen mit einem Twisted-Pair-Kabel verbunden. Wenn der physische Zugang zur Installation eingeschränkt ist (z.B. Geräte in verschlossenen Verteilern), ist die Gefahr, dass jemand eine Installation hackt, geringer. Es gibt viele Maßnahmen, die in KNX-Classic-Installationen ergriffen werden können, um eine Anlage vor unerwünschten Zugriffen und Sabotage zu schützen; diese werden in der KNX Sicherheits-Checkliste genau beschrieben. In jüngster Zeit ist das Bewusstsein für Sicherheit gewachsen und KNX wird nun vermehrt in drahtlosen Installationen eingesetzt, sodass die KNX-Secure-Erweiterung unerlässlich geworden ist.

KNXtoday: In welchen typischen Szenarien kann KNX Secure Ihrer Meinung nach verwendet werden?

JD: Die KNX Association geht davon aus, dass KNX Secure vor allem in drei Bereichen zum Einsatz kommen wird. Erstens in KNX-Installationen, in denen die Übertragung über Radiofrequenzen (RF) läuft. Zweitens in Gebäuden, in denen ein physischer Zugang zur Installation nur schwer zu vermeiden ist (z.B. in öffentlichen Bereichen von öffentlich zugänglichen Gebäuden). Und nicht zuletzt schützt es vor unerwünschten Zugriffen auf eine Anlage, die mit IP arbeitet.

KNXtoday: Die Entwicklung einer robusten und praktikablen Lösung wie dieser ist eindeutig ein Meilenstein für KNX. Was war erforderlich, um die Hersteller mit ins Boot zu holen?

JD: Da KNX ein offenes Protokoll ist, war es für die KNX Association absolut notwendig, diese Lösung mit den Herstellern genau zu koordinieren, um die entsprechende Erweiterung für ETS rechtzeitig zu liefern. Die Auswahl eines Verschlüsselungsalgorithmus ist eine Sache; eine darauf basierte Lösung zu entwickeln, die allen Beteiligten überzeugend und machbar erscheint, eine andere. Die Spezifikationen wurden 2019 fertiggestellt, woraufhin auch die ersten Zertifizierungen auf der Grundlage der einheitlichen Testspezifikationen und mit einer Aktualisierung des EITT-Testtools begannen. Bereits ETS5 unterstützt KNX Data-Secure (für TP und RF) und KNX IP-Secure (für IP). Viele KNX-Hersteller haben Implementierungen von KNX Secure auf den Markt gebracht, KNX Data-Secure wurde als EN 50090-3-4 und KNX IP-Secure als EN ISO 22510 zu einem internationalen Standard!

KNXtoday: Was hat die KNX Association unternommen, um die Botschaft von KNX Secure zu vermitteln?

JD: KNX hat eine KNX Sicherheits-Checkliste erstellt, ein Positionspapier zur Sicherheit von KNX verfasst und Ergänzungen zur KNX Trainingsdokumentation ausgearbeitet. Das Help Center enthält viele Tipps und Tricks zur Nutzung von KNX Secure und die KNX Association hat zahlreiche Vorträge auf Konferenzen und Messen gehalten, von denen einige auch online zu finden sind. Damit hat die Community alle Tools (einschließlich der Geräte), die sie braucht, um KNX Secure in der Praxis zu nutzen.

KNXtoday: Ein weiteres brisantes Thema für KNX ist das IoT. Wie passt KNX Secure da hinein?

JD: KNX Secure ist eindeutig eine Sicherheitslösung für KNX Classic-Installationen, während KNX IoT eine vollständig IP-basierte Kommunikationserweiterung für KNX Classic ist. Für KNX IoT werden natürlich auch Sicherheitsmechanismen ausgewählt, die jedoch weitgehend auf Mechanismen basieren, die von der „Internet Engineering Task Force" für IP-Geräte vorgegeben werden.

KNXtoday: Wie würden Sie die Einsatzmöglichkeiten von KNX Secure bis heute zusammenfassen?

JD: Die KNX Association betrachtet KNX Secure als Meilenstein in der Gebäudeautomation, denn KNX ist das erste Gebäudeautomationssystem, das über ein herstellerunabhängiges Sicherheitskonzept für Geräte auf Feldebene verfügt. Hierdurch ergeben sich viele Möglichkeiten für KNX und für KNX-Hersteller. Wir sind davon überzeugt, dass sich dank der Verfügbarkeit von KNX Secure immer mehr Gebäudeeigentümer für KNX entscheiden werden.

Es ist jedoch von größter Wichtigkeit, dass Installer wachsam bleiben, um mögliche Cyberangriffe auf Anlagen, die sie mit KNX ausstatten, abzuwehren. Die Verwendung der KNX Sicherheits-Checkliste bleibt äußerst wichtig, da leicht Sicherheitslücken entstehen können (z.B. wenn eine KNX-Installation direkt mit dem Internet verbunden wird, ohne eine VPN-Verbindung zu nutzen): die KNX Sicherheits-Checkliste verhindert solche vermeidbaren Fehler.