KNX Data Secure · AES-128 · TP-Bus · Gruppenadressensicherheit · ETS6 · 10 Min. Lesezeit

KNX Data Secure: Anwendungsschicht-Verschlüsselung für sensible Gruppenadressen und Aktoren

KNX Data Secure verschlüsselt einzelne Telegramme direkt auf dem KNX-TP-Bus – und schützt so die Kommunikation sensibler Gruppenadressen auf der Anwendungsschicht, unabhängig vom physikalischen Medium oder der Sicherheitskonfiguration des IP-Backbones. Es ist die geeignete Sicherheitsmaßnahme, wenn physischer Zugriff auf den TP-Bus eine realistische Bedrohung darstellt.

KNX Data Secure Übersicht

KNX Data Secure verwendet AES-128-CBC-Verschlüsselung und HMAC-SHA256-Authentifizierung auf der KNX-Anwendungsschicht – das bedeutet, dass einzelne KNX-TP-Telegramme auf dem Bus verschlüsselt werden. Dies unterscheidet sich von KNX IP Secure, das KNXnet/IP-Pakete auf dem Ethernet-Backbone verschlüsselt, TP-Bus-Telegramme jedoch im Klartext belässt.

MerkmalKNX Data SecureKNX IP Secure
SchütztKNX-TP-Bus-Telegramme (Anwendungsschicht)KNXnet/IP-Pakete (IP-Schicht)
AlgorithmusAES-128-CBC + HMAC-SHA256AES-128-CBC + HMAC-SHA256
SchlüsselumfangGerätespezifischer eindeutiger SchlüsselBackbone-Schlüssel (projektweit)
Physische BedrohungPhysischer BuszugriffEthernet-Netzwerkzugriff
AbwärtskompatibelJa – nicht sichere Geräte koexistieren auf demselben BusNein – alle IP-Router müssen Secure unterstützen

Durch Data Secure abgewehrte Bedrohungen: Abhören des TP-Busses mittels eines aufsteckbaren Bus-Monitors (Angreifer benötigt physischen Zugang zum Kabelkanal oder zur Abzweigdose), Telegramm-Injektion durch einen Angreifer, der ein bösartiges KNX-Gerät an den Bus angeschlossen hat, sowie bösartige Geräte, die der TP-Linie hinzugefügt wurden und versuchen, gesicherte Aktoren zu steuern. Ohne Data Secure: Jedes KNX-Gerät am Bus kann Schreibtelegramme an jede Gruppenadresse senden, einschließlich Türschloss-Steuergruppenadressen.

Anwendungsfälle: Wann Data Secure erforderlich ist

KNX Data Secure ist nicht für alle Stromkreise erforderlich – es erhöht den Telegramm-Overhead und erfordert kompatible Geräte auf Sender- und Empfängerseite. Priorisieren Sie Data Secure für Stromkreise, bei denen ein unbefugtes Telegramm physische Sicherheits- oder Schutzfolgen haben könnte.

Data Secure dringend empfohlen

  • Zutrittskontrollaktoren (Türschlossrelais, E-Öffner, Magnetriegel)
  • Alarmanlagen-KNX-Schnittstelle (Scharf-/Unscharf-Befehle)
  • CCTV NVR KNX-Auslöser (Aufzeichnung aktivieren/deaktivieren)
  • Brandklappen- und Rauchschutzklappen-KNX-Schnittstellen
  • KNX-Steuerung der Evakuierungsbeleuchtung
  • Behörden- und Bankinstallationen – alle Aktoren

Datensicherung selten erforderlich

  • Standard-Büro- oder Wohnraumlichtsteuerung (geringes Risiko)
  • HLK-Temperatursollwertsteuerung (geringe Sicherheitsauswirkung)
  • Jalousie-/Rollladen-Positionssteuerung (Datenschutz, nicht sicherheitsrelevant)
  • Szenentasten in nicht eingeschränkten Bereichen
  • Energiezähl-Gruppenadressen (nur lesen, kein Aktor)

Kompatible Geräte

KNX Data Secure erfordert, dass sowohl das sendende Gerät (Taster oder Logiksteuerung) als auch das empfangende Gerät (Aktor) Data Secure-fähig sind. Ein verschlüsseltes Telegramm von einem Secure-Taster kann von einem nicht-Secure-Aktor nicht verarbeitet werden – der Aktor verwirft es als unbekanntes Format.

Beispiele für Data Secure-fähige Geräte

Switch actuators:
  MDT AKS-0816.02   — 8×16A Data Secure switch actuator
  MDT AKS-0424.02   — 4×16A Data Secure switch actuator
  Gira 2094-00      — 8-channel Data Secure switch actuator
  ABB SA/S 8.10.2.2 — 8×10A switch actuator with Data Secure

Push-buttons / inputs:
  Gira 2093-00      — Push-button with Data Secure support
  MDT BE-GT2W.02    — Glass push-button with Data Secure
  ABB M4120-01      — 4-gang binary input with Data Secure

Logic / coupling:
  Gira X1           — Logic processor and gateway with Data Secure
  MDT SCN-IP100.02  — IP router with Data Secure gateway function
  Weinzierl KNX IP Interface 740 — with Data Secure support

Check: KNX Secure logo (lock icon) in device datasheet
ETS6: Data Secure capable devices show padlock icon
in device catalog and in the device properties panel

ETS6 Data Secure Konfiguration

Data Secure wird in ETS6 gerätebasiert konfiguriert. ETS6 generiert für jedes Gerät eindeutige Zufallsschlüssel und lädt diese während des standardmäßigen vollständigen Gerätekonfigurationsprozesses herunter. Die Schlüssel sind schreibgeschützt – sie können aus Sicherheitsgründen nicht von einem in Betrieb genommenen Gerät ausgelesen werden.

ETS6 Data Secure Gerätekonfiguration

Per-device configuration in ETS6:
  Select device in topology → Properties panel
  Security tab → Data Secure: Enable (checkbox ON)
  Tool access code: set a 6-digit code (prevents unauthorised
  ETS6 parameter access to this device without the code)
  Key: generated automatically by ETS6 (unique per device)

Key properties:
  Generated: 128-bit random key per device
  Stored: in ETS6 project file (encrypted)
  Downloaded: to device during Full Device Configuration
  Cannot be read back: device stores key in write-only memory
  If key lost: must factory reset device to clear it,
  then re-download with new key from ETS6

Tool access code usage:
  Required when accessing device parameters in ETS6
  (prevents unauthorised configuration changes on-site)
  Store tool access codes in password manager
  Document in commissioning record (access-restricted copy)

Sicherheitsstufen für Gruppenadressen

ETS6 ermöglicht es, jeder Gruppenadresse individuell eine Sicherheitsstufe zuzuweisen. Dadurch kann die Verschlüsselung selektiv angewendet werden – nur die sensiblen Gruppenadressen werden geschützt, während leistungsunkritische Adressen unverschlüsselt bleiben, um den Telegramm-Overhead zu minimieren.

SicherheitsstufeSchutzOverheadEmpfohlen für
KeineKeine Sicherheit – Standard-KNX-TelegrammKeine (+0 Bytes)Legacy-Kompatibilität, nicht sensible Werte (einfache Beleuchtung)
AuthentifiziertNur HMAC-SHA256-Integrität, keine Verschlüsselung+4 Bytes Auth-Tag, +6 Bytes SeqTemperatursensorwerte, Energieablesungen – Integrität ohne Vertraulichkeit
VertraulichAES-128-CBC-Verschlüsselung + HMAC-SHA256-Authentifizierung+10 Byte Gesamt-OverheadTürschlosssteuerung, Alarm Scharf-/Unscharfschalten, Zutrittskontrolle – höchster Schutz

Empfohlene Sicherheitsstufenzuordnung: Zutrittskontroll-Gruppenadressen (Türschloss, Torsteuerung, Türöffner) – Vertraulich. Alarm-GAs (Scharf, Unscharf, Panik) – Vertraulich. Temperatursollwert-GAs – Authentifiziert (verhindert Manipulation ohne vollständigen Verschlüsselungs-Overhead). Standard Licht Ein/Aus GAs – Keine (kein praktischer Sicherheitsnutzen, vermeidet Overhead).

Gemischter Betrieb von Secure und Non-Secure auf demselben Bus

KNX Data Secure Geräte und standardmäßige Non-Secure Geräte können auf derselben KNX TP-Leitung ohne Störungen koexistieren. Diese Abwärtskompatibilität ermöglicht schrittweise Sicherheitsupgrades – beginnend mit den risikoreichsten Stromkreisen, während andere auf standardmäßigen Non-Secure Geräten verbleiben.

Betriebsregeln für gemischten Bus

Secured GAs (Confidential or Authenticated):
  Only Data Secure devices with correct key can send/receive
  Non-Secure devices receive encrypted telegram → cannot decrypt
  → Non-Secure device ignores the telegram (no action)

Non-secured GAs (None security level):
  Both Secure and non-Secure devices participate normally
  Standard KNX telegram — no overhead

Migration strategy for adding security incrementally:
  Phase 1: Add Data Secure actuators for access control circuits
           (replace existing door lock actuators with Data Secure models)
           Update ETS6, download, test
  Phase 2: Replace alarm panel KNX interface with Secure version
  Phase 3: Add Secure push-buttons for access-controlled areas
           (non-Secure push-buttons on same bus still work for
           non-secured GAs — lighting control unchanged)

Coexistence check:
  ETS6 topology scan: Secure devices show padlock icon
  Non-Secure devices show no lock icon
  Group Monitor: secured GAs show encrypted status in ETS6
  (ETS6 decodes them locally — other bus monitors see encrypted)

Leistungsauswirkung

KNX Data Secure fügt Telegramm-Overhead in Bezug auf Byteanzahl und Verarbeitungszeit hinzu. Für die meisten Gebäudeautomatisierungsanwendungen ist dieser Overhead für Benutzer nicht wahrnehmbar – die zusätzliche Latenz liegt gut im Bereich akzeptabler Reaktionszeiten für Schaltaktorsteuerung.

Aufschlüsselung des Telegramm-Overheads

  • Authentifizierungs-Tag: 4 Bytes (HMAC-SHA256 abgeschnitten)
  • Sequenznummer: 6 Bytes (Wiederholungsschutzzähler)
  • Gesamt-Overhead: 10 Bytes pro gesichertem Telegramm
  • Maximale Nutzlast eines Standard-KNX-Telegramms: 14 Bytes
  • Maximale Nutzlast eines Data Secure-Telegramms: 4 Bytes (vertraulich)
  • Für 1-Bit-Schalten (Ein/Aus): Nutzlast = 1 Bit → Overhead irrelevant

Auswirkung auf die Reaktionszeit

  • Standard-KNX-Telegramm: 20–100 ms Ende-zu-Ende
  • Zusätzliche Verarbeitung durch Data Secure: +5–15 ms
  • Gesicherte Antwortzeit gesamt: 25–115 ms
  • Wahrnehmungsschwelle des Menschen für Lichtschaltung: ~150 ms
  • Ergebnis: Data Secure Overhead ist für Schaltvorgänge nicht wahrnehmbar
  • Bei Multi-Telegramm-Szenen: kleine kumulative Verzögerung – akzeptabel

Schlüsselverwaltung und Backup

KNX Data Secure-Schlüssel werden ausschließlich in der ETS6-Projektdatei gespeichert. Wenn die Projektdatei ohne Backup verloren geht, müssen alle in Betrieb genommenen Secure-Geräte auf Werkseinstellungen zurückgesetzt und neu programmiert werden – ein erheblicher Sanierungsaufwand bei großen Installationen. Backup-Disziplin ist die wichtigste betriebliche Anforderung für Data Secure-Einsätze.

Schlüsselverwaltung und Backup-Anforderungen

ETS6 project backup (contains all Data Secure keys):
  Backup frequency: after every programming session (daily minimum)
  Backup format: encrypted .knxproj file (ETS6 native)
  Backup locations:
    Primary: encrypted network share (RAID protected)
    Secondary: encrypted cloud storage (Backblaze B2, AWS S3)
    Tertiary: encrypted USB drive in physically secure location
  Password: strong (minimum 20 chars) stored in password manager

Test restore procedure (mandatory before handover):
  Restore backup .knxproj to second ETS6 installation
  Verify: all Data Secure devices listed with keys
  Verify: Group Monitor shows decrypted telegrams after restore
  Document: restore test date and result in commissioning record

Loss recovery (ETS6 project lost, no backup):
  Each Data Secure device must be factory reset
  Factory reset: device-specific procedure (see datasheet)
  Effect: clears Data Secure key AND KNX application
  Reprogram required: Full Device Configuration download
  Time estimate: 1 hour per 10 Data Secure devices
  For 50-device installation: estimated 5 hours minimum

Compliance und Normen

KNX Data Secure kann Teil des technischen Nachweises für die Einhaltung von Cybersicherheitsvorschriften für Gebäude und deren Steuerungssysteme sein. Die spezifische Anwendbarkeit hängt vom Gebäudetyp und der Rechtsordnung ab.

Relevante Vorschriften und Normen

  • NIS2-Richtlinie (EU 2022/2555): Kritische Infrastrukturgebäude – KNX-Sicherheitsmaßnahmen als Teil des Cybersicherheitsmanagementsystems dokumentieren
  • UK Cyber Resilience for Connected Devices (PSTI Act 2024): Gebäude mit vernetzten Automatisierungssystemen
  • IEC 62280: Sicherheit für Eisenbahnkommunikationssysteme – referenziert für Verkehrsinfrastruktur-KNX
  • ISO 27001: Informationssicherheit – KNX Data Secure als Sicherheitskontrolle für Gebäudesysteme

Kundensicherheitsdokumentation

Für Regierungs- und kritische Infrastrukturprojekte: Erstellen Sie eine KNX Data Secure-Implementierungszusammenfassung für die Sicherheitsprüfung des Kunden. Enthalten: Liste der gesicherten Gruppenadressen und Sicherheitsstufen, Geräteinventar mit Data Secure-Status, ETS6-Projektsicherungsverfahren.

Stellen Sie dem CISO des Kunden einen ETS6-Projektauszug (Gruppenadressliste mit Sicherheitsstufen) zur Aufnahme in das Risikoregister und die Sicherheitsdokumentation zur Verfügung. Fügen Sie keine Schlüsselwerte in kundenorientierte Dokumentationen ein.

Benötigen Sie KNX Data Secure für Zugangskontrolle oder sicherheitskritische Schaltkreise?

Wir spezifizieren und nehmen KNX Data Secure Aktoren mit ETS6-Schlüsselverwaltung, Gruppenadress-Sicherheitsstufenzuweisung und vollständiger Inbetriebnahmedokumentation in Betrieb – geeignet für NIS2-regulierte Gebäude und Regierungsprojekte.

Angebot anfordern →
Loading...
Back to top