Wie sicher ist KNX?

Schaut man sich moderne Hausautomatisierungslösungen wie Z-Wave oder Zigbee an, tauchen auch immer wieder Sicherheitsprobleme auf. Einige davon wurden oder werden noch behoben, andere vielleicht nicht. Wenn schon diese modernen Technologien gewisse Probleme aufweisen, wie sieht es dann erst mit einem “Oldie” wie KNX aus?

Kurz gesagt: KNX ist das schlimmste, was man sich aus Sicherheitssicht vorstellen kann. Alle Geräte kommunizieren auf einem gemeinsamen Medium, es gibt weder Verschlüsselung noch Authentisierung oder Authorisierung. Wer Zugriff zum KNX-bus hat, kann praktisch alles tun.

Glücklicherweise gibt es aber einen positiven Punkt: Man braucht physischen Zugriff zum KNX-Bus. Zwar kann jemand, der Zugriff zur persönlichen KNX-Installation hat, alle möglichen bösartigen Dinge tun, allerdings ist diese Person dann schon in der Wohnung und könnte auch ohne Hausautomatisierung ziemlich fiese Sachen tun. Das Licht ein- oder auszuschalten dürfte da wohl das kleinste Problem sein. Das heisst, für Installationen in Wohnräumen, bei denen der KNX-Bus nicht mit anderen Netzen verbunden ist, ist KNX immer noch eine sichere Lösung. Allerdings: Welche Automatisierungslösung ist heute nicht mit anderen Netzen verbunden? Viele Intelligenz wird heute nicht direkt auf dem KNX-Bus abgebildet, sondern durch externe Geräte, die oft auch noch mit dem Internet verbunden sind.

Geht es trotzdem sicher? Im Prinzip schon, wenn man einige Dinge beachtet:

  1. Der KNX-Bus sollte nicht einfach direkt mit dem Heimnetz verbunden werden, besonders nicht, wenn evtl. noch ein WLAN-Gastzugang eingerichtet ist.
    KNX/IP Schnittstellen sind sinnvolle Geräte, man sollte aber überlegen, wie man den Zugriff darauf einschränken kann. Idealerweise setzt man ein Gateway ein, welches Benutzer authentifizieren kann und Zugriffsrechte verwalten kann.
  2. Benutzt man ein beliebiges kommerzielles Produkt mit Internetzugriff zum Zugriff auf KNX-Komponenten, sollte geprüft werden, ob der Hersteller regelmässige Sicherheitsupdates zur Verfügung stellt. Wenn der letzte Software-Release 18 Monate alt ist, ist das wohl kaum der Fall.
  3. Wer selbst ein Gateway oder eine Haussteuerung entwickelt, sollte von Anfang an überlegen, wie die Architektur aussehen muss, um eine möglichst hohe Sicherheit zu erreichen.

Bemerkung  1: Die physische Sicherheit kann ein Problem sein, wenn eine KNX-Installation z.B. ein gesamtes Haus mit mehreren Wohnungen steuert. Wenn die Wohnung also irgendeine “intelligente” Steuerung bietet, sollte man sich nochmals anschauen, was dort umgesetzt wurde und ob sich jemand Gedanken darüber gemacht hat, verschiedene Wohnungen voneinander zu trennen.

Bemerkung 2: Mit ETS 5.5 gibt es von der KNX Assoziation nun “Secure KNX”. Ich habe mir das noch nicht im Detail angeschaut. Warum? In erster Linie, weil die existierenden älteren Geräte, die bereits verbaut wurden, keine Security-Erweiterung unterstützen. Evtl. wird KNX Security in Zukunft an Bedeutung gewinnen, im Moment wird es von praktisch keinen Geräten unterstützt, die in bestehenden KNX-Installationen zu finden sind.