KNX Data Secure: Anwendungsschicht-Verschlüsselung für sensible Gruppenadressen und Aktoren
KNX Data Secure verschlüsselt einzelne Telegramme direkt auf dem KNX-TP-Bus – und schützt so die Kommunikation sensibler Gruppenadressen auf der Anwendungsschicht, unabhängig vom physikalischen Medium oder der Sicherheitskonfiguration des IP-Backbones. Es ist die geeignete Sicherheitsmaßnahme, wenn physischer Zugriff auf den TP-Bus eine realistische Bedrohung darstellt.
KNX Data Secure Übersicht
KNX Data Secure verwendet AES-128-CBC-Verschlüsselung und HMAC-SHA256-Authentifizierung auf der KNX-Anwendungsschicht – das bedeutet, dass einzelne KNX-TP-Telegramme auf dem Bus verschlüsselt werden. Dies unterscheidet sich von KNX IP Secure, das KNXnet/IP-Pakete auf dem Ethernet-Backbone verschlüsselt, TP-Bus-Telegramme jedoch im Klartext belässt.
| Merkmal | KNX Data Secure | KNX IP Secure |
|---|---|---|
| Schützt | KNX-TP-Bus-Telegramme (Anwendungsschicht) | KNXnet/IP-Pakete (IP-Schicht) |
| Algorithmus | AES-128-CBC + HMAC-SHA256 | AES-128-CBC + HMAC-SHA256 |
| Schlüsselumfang | Gerätespezifischer eindeutiger Schlüssel | Backbone-Schlüssel (projektweit) |
| Physische Bedrohung | Physischer Buszugriff | Ethernet-Netzwerkzugriff |
| Abwärtskompatibel | Ja – nicht sichere Geräte koexistieren auf demselben Bus | Nein – alle IP-Router müssen Secure unterstützen |
Durch Data Secure abgewehrte Bedrohungen: Abhören des TP-Busses mittels eines aufsteckbaren Bus-Monitors (Angreifer benötigt physischen Zugang zum Kabelkanal oder zur Abzweigdose), Telegramm-Injektion durch einen Angreifer, der ein bösartiges KNX-Gerät an den Bus angeschlossen hat, sowie bösartige Geräte, die der TP-Linie hinzugefügt wurden und versuchen, gesicherte Aktoren zu steuern. Ohne Data Secure: Jedes KNX-Gerät am Bus kann Schreibtelegramme an jede Gruppenadresse senden, einschließlich Türschloss-Steuergruppenadressen.
Anwendungsfälle: Wann Data Secure erforderlich ist
KNX Data Secure ist nicht für alle Stromkreise erforderlich – es erhöht den Telegramm-Overhead und erfordert kompatible Geräte auf Sender- und Empfängerseite. Priorisieren Sie Data Secure für Stromkreise, bei denen ein unbefugtes Telegramm physische Sicherheits- oder Schutzfolgen haben könnte.
Data Secure dringend empfohlen
- Zutrittskontrollaktoren (Türschlossrelais, E-Öffner, Magnetriegel)
- Alarmanlagen-KNX-Schnittstelle (Scharf-/Unscharf-Befehle)
- CCTV NVR KNX-Auslöser (Aufzeichnung aktivieren/deaktivieren)
- Brandklappen- und Rauchschutzklappen-KNX-Schnittstellen
- KNX-Steuerung der Evakuierungsbeleuchtung
- Behörden- und Bankinstallationen – alle Aktoren
Datensicherung selten erforderlich
- Standard-Büro- oder Wohnraumlichtsteuerung (geringes Risiko)
- HLK-Temperatursollwertsteuerung (geringe Sicherheitsauswirkung)
- Jalousie-/Rollladen-Positionssteuerung (Datenschutz, nicht sicherheitsrelevant)
- Szenentasten in nicht eingeschränkten Bereichen
- Energiezähl-Gruppenadressen (nur lesen, kein Aktor)
Kompatible Geräte
KNX Data Secure erfordert, dass sowohl das sendende Gerät (Taster oder Logiksteuerung) als auch das empfangende Gerät (Aktor) Data Secure-fähig sind. Ein verschlüsseltes Telegramm von einem Secure-Taster kann von einem nicht-Secure-Aktor nicht verarbeitet werden – der Aktor verwirft es als unbekanntes Format.
Beispiele für Data Secure-fähige Geräte
Switch actuators: MDT AKS-0816.02 — 8×16A Data Secure switch actuator MDT AKS-0424.02 — 4×16A Data Secure switch actuator Gira 2094-00 — 8-channel Data Secure switch actuator ABB SA/S 8.10.2.2 — 8×10A switch actuator with Data Secure Push-buttons / inputs: Gira 2093-00 — Push-button with Data Secure support MDT BE-GT2W.02 — Glass push-button with Data Secure ABB M4120-01 — 4-gang binary input with Data Secure Logic / coupling: Gira X1 — Logic processor and gateway with Data Secure MDT SCN-IP100.02 — IP router with Data Secure gateway function Weinzierl KNX IP Interface 740 — with Data Secure support Check: KNX Secure logo (lock icon) in device datasheet ETS6: Data Secure capable devices show padlock icon in device catalog and in the device properties panel
ETS6 Data Secure Konfiguration
Data Secure wird in ETS6 gerätebasiert konfiguriert. ETS6 generiert für jedes Gerät eindeutige Zufallsschlüssel und lädt diese während des standardmäßigen vollständigen Gerätekonfigurationsprozesses herunter. Die Schlüssel sind schreibgeschützt – sie können aus Sicherheitsgründen nicht von einem in Betrieb genommenen Gerät ausgelesen werden.
ETS6 Data Secure Gerätekonfiguration
Per-device configuration in ETS6: Select device in topology → Properties panel Security tab → Data Secure: Enable (checkbox ON) Tool access code: set a 6-digit code (prevents unauthorised ETS6 parameter access to this device without the code) Key: generated automatically by ETS6 (unique per device) Key properties: Generated: 128-bit random key per device Stored: in ETS6 project file (encrypted) Downloaded: to device during Full Device Configuration Cannot be read back: device stores key in write-only memory If key lost: must factory reset device to clear it, then re-download with new key from ETS6 Tool access code usage: Required when accessing device parameters in ETS6 (prevents unauthorised configuration changes on-site) Store tool access codes in password manager Document in commissioning record (access-restricted copy)
Sicherheitsstufen für Gruppenadressen
ETS6 ermöglicht es, jeder Gruppenadresse individuell eine Sicherheitsstufe zuzuweisen. Dadurch kann die Verschlüsselung selektiv angewendet werden – nur die sensiblen Gruppenadressen werden geschützt, während leistungsunkritische Adressen unverschlüsselt bleiben, um den Telegramm-Overhead zu minimieren.
| Sicherheitsstufe | Schutz | Overhead | Empfohlen für |
|---|---|---|---|
| Keine | Keine Sicherheit – Standard-KNX-Telegramm | Keine (+0 Bytes) | Legacy-Kompatibilität, nicht sensible Werte (einfache Beleuchtung) |
| Authentifiziert | Nur HMAC-SHA256-Integrität, keine Verschlüsselung | +4 Bytes Auth-Tag, +6 Bytes Seq | Temperatursensorwerte, Energieablesungen – Integrität ohne Vertraulichkeit |
| Vertraulich | AES-128-CBC-Verschlüsselung + HMAC-SHA256-Authentifizierung | +10 Byte Gesamt-Overhead | Türschlosssteuerung, Alarm Scharf-/Unscharfschalten, Zutrittskontrolle – höchster Schutz |
Empfohlene Sicherheitsstufenzuordnung: Zutrittskontroll-Gruppenadressen (Türschloss, Torsteuerung, Türöffner) – Vertraulich. Alarm-GAs (Scharf, Unscharf, Panik) – Vertraulich. Temperatursollwert-GAs – Authentifiziert (verhindert Manipulation ohne vollständigen Verschlüsselungs-Overhead). Standard Licht Ein/Aus GAs – Keine (kein praktischer Sicherheitsnutzen, vermeidet Overhead).
Gemischter Betrieb von Secure und Non-Secure auf demselben Bus
KNX Data Secure Geräte und standardmäßige Non-Secure Geräte können auf derselben KNX TP-Leitung ohne Störungen koexistieren. Diese Abwärtskompatibilität ermöglicht schrittweise Sicherheitsupgrades – beginnend mit den risikoreichsten Stromkreisen, während andere auf standardmäßigen Non-Secure Geräten verbleiben.
Betriebsregeln für gemischten Bus
Secured GAs (Confidential or Authenticated):
Only Data Secure devices with correct key can send/receive
Non-Secure devices receive encrypted telegram → cannot decrypt
→ Non-Secure device ignores the telegram (no action)
Non-secured GAs (None security level):
Both Secure and non-Secure devices participate normally
Standard KNX telegram — no overhead
Migration strategy for adding security incrementally:
Phase 1: Add Data Secure actuators for access control circuits
(replace existing door lock actuators with Data Secure models)
Update ETS6, download, test
Phase 2: Replace alarm panel KNX interface with Secure version
Phase 3: Add Secure push-buttons for access-controlled areas
(non-Secure push-buttons on same bus still work for
non-secured GAs — lighting control unchanged)
Coexistence check:
ETS6 topology scan: Secure devices show padlock icon
Non-Secure devices show no lock icon
Group Monitor: secured GAs show encrypted status in ETS6
(ETS6 decodes them locally — other bus monitors see encrypted)Leistungsauswirkung
KNX Data Secure fügt Telegramm-Overhead in Bezug auf Byteanzahl und Verarbeitungszeit hinzu. Für die meisten Gebäudeautomatisierungsanwendungen ist dieser Overhead für Benutzer nicht wahrnehmbar – die zusätzliche Latenz liegt gut im Bereich akzeptabler Reaktionszeiten für Schaltaktorsteuerung.
Aufschlüsselung des Telegramm-Overheads
- Authentifizierungs-Tag: 4 Bytes (HMAC-SHA256 abgeschnitten)
- Sequenznummer: 6 Bytes (Wiederholungsschutzzähler)
- Gesamt-Overhead: 10 Bytes pro gesichertem Telegramm
- Maximale Nutzlast eines Standard-KNX-Telegramms: 14 Bytes
- Maximale Nutzlast eines Data Secure-Telegramms: 4 Bytes (vertraulich)
- Für 1-Bit-Schalten (Ein/Aus): Nutzlast = 1 Bit → Overhead irrelevant
Auswirkung auf die Reaktionszeit
- Standard-KNX-Telegramm: 20–100 ms Ende-zu-Ende
- Zusätzliche Verarbeitung durch Data Secure: +5–15 ms
- Gesicherte Antwortzeit gesamt: 25–115 ms
- Wahrnehmungsschwelle des Menschen für Lichtschaltung: ~150 ms
- Ergebnis: Data Secure Overhead ist für Schaltvorgänge nicht wahrnehmbar
- Bei Multi-Telegramm-Szenen: kleine kumulative Verzögerung – akzeptabel
Schlüsselverwaltung und Backup
KNX Data Secure-Schlüssel werden ausschließlich in der ETS6-Projektdatei gespeichert. Wenn die Projektdatei ohne Backup verloren geht, müssen alle in Betrieb genommenen Secure-Geräte auf Werkseinstellungen zurückgesetzt und neu programmiert werden – ein erheblicher Sanierungsaufwand bei großen Installationen. Backup-Disziplin ist die wichtigste betriebliche Anforderung für Data Secure-Einsätze.
Schlüsselverwaltung und Backup-Anforderungen
ETS6 project backup (contains all Data Secure keys):
Backup frequency: after every programming session (daily minimum)
Backup format: encrypted .knxproj file (ETS6 native)
Backup locations:
Primary: encrypted network share (RAID protected)
Secondary: encrypted cloud storage (Backblaze B2, AWS S3)
Tertiary: encrypted USB drive in physically secure location
Password: strong (minimum 20 chars) stored in password manager
Test restore procedure (mandatory before handover):
Restore backup .knxproj to second ETS6 installation
Verify: all Data Secure devices listed with keys
Verify: Group Monitor shows decrypted telegrams after restore
Document: restore test date and result in commissioning record
Loss recovery (ETS6 project lost, no backup):
Each Data Secure device must be factory reset
Factory reset: device-specific procedure (see datasheet)
Effect: clears Data Secure key AND KNX application
Reprogram required: Full Device Configuration download
Time estimate: 1 hour per 10 Data Secure devices
For 50-device installation: estimated 5 hours minimumCompliance und Normen
KNX Data Secure kann Teil des technischen Nachweises für die Einhaltung von Cybersicherheitsvorschriften für Gebäude und deren Steuerungssysteme sein. Die spezifische Anwendbarkeit hängt vom Gebäudetyp und der Rechtsordnung ab.
Relevante Vorschriften und Normen
- NIS2-Richtlinie (EU 2022/2555): Kritische Infrastrukturgebäude – KNX-Sicherheitsmaßnahmen als Teil des Cybersicherheitsmanagementsystems dokumentieren
- UK Cyber Resilience for Connected Devices (PSTI Act 2024): Gebäude mit vernetzten Automatisierungssystemen
- IEC 62280: Sicherheit für Eisenbahnkommunikationssysteme – referenziert für Verkehrsinfrastruktur-KNX
- ISO 27001: Informationssicherheit – KNX Data Secure als Sicherheitskontrolle für Gebäudesysteme
Kundensicherheitsdokumentation
Für Regierungs- und kritische Infrastrukturprojekte: Erstellen Sie eine KNX Data Secure-Implementierungszusammenfassung für die Sicherheitsprüfung des Kunden. Enthalten: Liste der gesicherten Gruppenadressen und Sicherheitsstufen, Geräteinventar mit Data Secure-Status, ETS6-Projektsicherungsverfahren.
Stellen Sie dem CISO des Kunden einen ETS6-Projektauszug (Gruppenadressliste mit Sicherheitsstufen) zur Aufnahme in das Risikoregister und die Sicherheitsdokumentation zur Verfügung. Fügen Sie keine Schlüsselwerte in kundenorientierte Dokumentationen ein.
Benötigen Sie KNX Data Secure für Zugangskontrolle oder sicherheitskritische Schaltkreise?
Wir spezifizieren und nehmen KNX Data Secure Aktoren mit ETS6-Schlüsselverwaltung, Gruppenadress-Sicherheitsstufenzuweisung und vollständiger Inbetriebnahmedokumentation in Betrieb – geeignet für NIS2-regulierte Gebäude und Regierungsprojekte.
Angebot anfordern →