Mann mit Smartphone und Icons für Gebäudesteuerung; KNX Secure Logo Mann mit Smartphone und Icons für Gebäudesteuerung; KNX Secure Logo

KNX Secure einfach erklärt – Grundlagen, Nutzen und Umsetzung

Der Standard für verschlüsselte Gebäudeautomation – rechtssicher, praxistauglich und zukunftsfähig

Moderne Gebäude vernetzen Komfort, Effizienz und Nachhaltigkeit auf intelligente Weise – mit Systemen, die digital kommunizieren. Damit steigen auch die Anforderungen an die Sicherheit dieser Kommunikation.

KNX Secure erweitert den weltweit etablierten KNX-Standard um professionelle Verschlüsselungs- und Authentifizierungsmechanismen und macht die Gebäudeautomation bereit für heutige und künftige Anforderungen.

Erfahren Sie auf dieser Seite, wie KNX Secure funktioniert, welchen Mehrwert es in der Praxis bietet und welche rechtlichen Rahmenbedingungen es heute schon relevant machen. 

Erweiterte Sicherheit für einen bewährten Standard

Was ist KNX Secure?

KNX Secure ist eine sicherheitstechnische Erweiterung des bewährten KNX-Standards für die Gebäudeautomation. Ursprünglich wurde KNX für physisch geschlossene Systeme konzipiert – in einer Zeit, in der Cyberrisiken kaum eine Rolle spielten. Doch mit der zunehmenden Vernetzung, IP-Kommunikation und Fernzugriffen wurde schnell deutlich: Klassische Telegramme, die unverschlüsselt im Klartext übertragen werden, müssen geschützt werden.

Die KNX Association veröffentlichte KNX Secure im Jahr 2017 als offizielle Ergänzung zum Standard. Ziel war es, die zunehmenden Anforderungen an Datenschutz, Integrität und Zugriffsschutz in modernen Gebäuden auf normkonforme Weise abzubilden.

Die Technologie bringt eine zuverlässige Verschlüsselung und Authentifizierung in die KNX-Welt – auf Basis des international anerkannten AES-128-Verfahrens gemäß ISO/IEC 18033-3. Sie schützt nicht nur die Datenübertragung, sondern auch die Projektstruktur und Konfiguration der Geräte. KNX Secure ist offiziell nach EN ISO 22510 zertifiziert und erfüllt hohe Anforderungen an Datenschutz und IT-Sicherheit.

KNX Secure LogoKNX Secure Logo
Funktionsweise

Wie funktioniert KNX Secure?

KNX Secure besteht aus zwei sich ergänzenden Sicherheitsmechanismen: KNX IP Secure für die verschlüsselte Kommunikation über IP-Netzwerke und KNX Data Secure für den Schutz der Daten direkt auf der Busleitung. Beide Verfahren sichern die Kommunikation innerhalb eines KNX-Systems durch Verschlüsselung und Authentifizierung.

  • KNX IP Secure erweitert die Kommunikation über IP-Netze um eine vollständige Verschlüsselung und Authentifizierung. Telegramme, die zwischen Routern, Visualisierungen oder Schnittstellen übertragen werden, sind so vor Manipulation und Auslesen geschützt – auch über externe Netzwerke hinweg.
  • KNX Data Secure hingegen verschlüsselt die eigentlichen Nutzdaten direkt auf der Busleitung (Twisted Pair) oder bei drahtloser Kommunikation (KNX RF). So sind Schaltbefehle, Sollwerte oder Sensorwerte auch innerhalb des Gebäudes gegen Abhören und Manipulation gesichert.

Beide Verfahren lassen sich getrennt oder kombiniert einsetzen. Sie greifen tief in die Geräte- und Projektstruktur ein – und machen die ETS-Projektdatei zum zentralen Sicherheitsanker. Nur wer Zugriff auf die vollständige Projektstruktur und die kryptografischen Schlüssel hat, kann ein System erweitern oder anpassen.

Icon 2 Zahnräder mit orangem Kreis innen und hellblauem Kreis im HintergrundIcon 2 Zahnräder mit orangem Kreis innen und hellblauem Kreis im Hintergrund
FDSK

Wie wirkt sich KNX Secure in der Praxis aus?

KNX Secure bringt nicht nur technische Sicherheit, sondern verändert auch organisatorische Abläufe: Projektzugriffe, Dokumentation und Inbetriebnahmeprozesse müssen gezielt abgesichert werden.

Die Einführung von KNX Secure verändert den Umgang mit KNX-Projekten grundlegend. Jedes Secure-fähige Gerät wird mit einem sogenannten KNX Secure Zertifikat ausgeliefert. Dieses enthält den FDSK (Factory Default Setup Key), der bei der Inbetriebnahme über die ETS eingelesen wird. Er dient als Grundlage für eine geschützte Kommunikation innerhalb des Projekts.

Die Inbetriebnahme erfolgt verschlüsselt, die Kommunikation ist eindeutig geregelt – und nur Teilnehmer mit dem passenden Schlüssel erhalten Zugriff auf definierte Gruppenadressen. Wer das ETS-Projekt oder den zugehörigen Keyring verliert, kann das System nicht mehr warten oder erweitern – auch eine Wiederherstellung ist aufgrund der Verschlüsselung nicht möglich. Ohne Zugriff auf die Projektdatei oder die kryptografischen Schlüssel (z. B. im Keyring gespeicherte FDSK) sind keine Änderungen mehr möglich. Das ist konsequent gedacht – und erhöht die Sicherheit nicht nur technisch, sondern auch organisatorisch.

Für Planer und Integratoren bedeutet das: Eine saubere Dokumentation, klare Projektstruktur und sichere Backup-Strategien sind Pflicht. Wer das System kennt, wird aber mit hoher Planungssicherheit und einer deutlich verbesserten Projektsicherheit belohnt.

Neue Sicherheitsanforderungen

Wo ist KNX Secure verpflichtend – und was bedeutet das für reale Projekte?

KNX Secure ist nicht mehr nur ein Zukunftsthema – es ist die direkte Antwort auf steigende Sicherheitsanforderungen, die viele Projekte heute schon erfüllen müssen. Europäische und nationale Vorschriften nehmen Gebäudeautomation verstärkt in die Pflicht, wenn es um Datenschutz, Zugriffssicherheit und Systemintegrität geht.

In der Praxis betrifft das unter anderem:

  • Schulgebäude, mit zahlreichen öffentlich zugänglichen Bedienstellen

  • Gesundheits- und Pflegeeinrichtungen, die personenbezogene Daten erfassen

  • Hotels und Mehrparteienhäuser, mit gemeinsamen Steuerungssystemen und Internetzugang

  • Bestandsbauten mit Fernwartung, etwa bei cloudbasierten Visualisierungen

KNX Secure bietet dafür die passende technische Lösung: verschlüsselte Kommunikation, Authentifizierung und Schutz auf Geräte- und Projektebene – zertifiziert und ETS-integriert. Wer heute plant oder modernisiert, sollte die Sicherheitsanforderungen frühzeitig berücksichtigen – bevor sie zur Stolperfalle werden.

Europäische und nationale Gesetze

Welche gesetzlichen Vorgaben machen KNX Secure notwendig?

Verschiedene europäische und nationale Gesetze erhöhen die Anforderungen an IT-Sicherheit in der Gebäudeautomation. KNX Secure unterstützt dabei, diese Vorgaben technisch umzusetzen – z. B. NIS 2, DSGVO oder Cyber Resilience Act.

Nicht nur die Technik verändert sich – auch der gesetzliche Rahmen. Immer mehr Vorschriften verlangen nach einem hohen Maß an Cybersecurity in Gebäuden. KNX Secure ist kein Allheilmittel, aber ein entscheidender technischer Baustein, um diese Anforderungen praxisnah und standardkonform umzusetzen.

Zu den wichtigsten Regelwerken zählen:

  • EU-NIS 2-Richtlinie
    Verpflichtet Betreiber kritischer Infrastrukturen zur Umsetzung umfassender technischer und organisatorischer Sicherheitsmaßnahmen – auch im Bereich Gebäudeautomation.
  • DSGVO (Datenschutz-Grundverordnung)
    Sobald personenbezogene Gebäudedaten verarbeitet werden – etwa Präsenz-, Raumklima- oder Zutrittsinformationen – muss die Übertragung gegen unbefugten Zugriff geschützt sein.
  • Cyber Resilience Act
    Definiert europaweit einheitliche Sicherheitsanforderungen für Hersteller vernetzter Produkte. Das betrifft auch KNX-Komponenten – und macht Sicherheitsmechanismen wie KNX Secure zur Voraussetzung für die Marktzulassung.
  • IT-Sicherheitsgesetz 2.0 (Deutschland)
    Weitet die Anforderungen an KRITIS-Betreiber aus und macht technische Mindeststandards für IT-Sicherheit auch im Gebäudekontext verpflichtend.

KNX Secure kann dabei helfen, diese gesetzlichen Vorgaben strukturiert und nachvollziehbar in die Praxis zu überführen – vor allem in Kombination mit sicherer Inbetriebnahme, Projektdokumentation und Schlüsselverwaltung.

Mehr zu gesetzlichen Anforderungen
Rückwärtskompatibel, aber mit Grenzen

Lässt sich KNX Secure nachrüsten?

KNX Secure ist grundsätzlich rückwärtskompatibel: Secure-fähige Geräte können in bestehenden KNX-Anlagen integriert werden – auch gemeinsam mit klassischen Komponenten. Die volle Sicherheit wird aber nur erreicht, wenn alle Teilnehmer innerhalb einer Kommunikationsstruktur – etwa einer Linie oder eines Segmentes – den Secure-Standard unterstützen.

Für die Nachrüstung bedeutet das: Secure-fähige Geräte können nach und nach integriert werden, etwa beim Tausch einzelner Aktoren, Sensoren oder Liniensegmente. Sie lassen sich auch im sogenannten „unsicheren Modus“ betreiben – also ohne aktivierte Verschlüsselung, solange noch klassische Geräte im System vorhanden sind.

Zusätzlich können Gruppenadressen gezielt verschlüsselt werden, um sicherheitskritische Bereiche schon früh zu schützen. So entsteht ein sanfter Migrationspfad, der auch bestehende Projekte nach und nach auf ein höheres Sicherheitsniveau hebt – ohne vollständige Neuinstallation.

Wichtig ist dabei: Sicherheit wirkt nur innerhalb homogener Gruppen. Sobald Teilnehmer einer Linie oder eines Segments unterschiedlich konfiguriert sind – also Secure und Nicht-Secure mischen –, entstehen sicherheitsrelevante Lücken. Deshalb ist eine vorausschauende Projektplanung entscheidend.

Hinzu kommt: Die ETS wird zur sicherheitskritischen Instanz. Ohne Zugriff auf die Projektdatei und die enthaltenen kryptografischen Schlüssel (FDSK) sind keine Änderungen mehr möglich. Das schützt das System – verlangt aber auch nach einer professionellen Verwaltung und regelmäßigen Backups

Icon orangenes Plus-Zeichen in grauem Kreis mit hellblauem Kreis im HintergrundIcon orangenes Plus-Zeichen in grauem Kreis mit hellblauem Kreis im Hintergrund
Fazit

Warum KNX Secure zum neuen Standard wird

Moderne Gebäudeautomation kommt an IT-Sicherheit nicht mehr vorbei. KNX Secure ist der anerkannte technische Standard, um verschlüsselte Kommunikation, Zugriffsschutz und Projektsicherheit zuverlässig umzusetzen – rechtskonform und praxistauglich.

Mit KNX IP Secure und KNX Data Secure schützt das System nicht nur die Übertragung von Telegrammen, sondern auch die Integrität ganzer Projekte – zertifiziert nach internationalen Normen wie EN ISO 22510. Damit erfüllt KNX Secure viele der Anforderungen, die mit Gesetzen wie NIS 2, DSGVO oder dem Cyber Resilience Act verbindlich werden.

Für Fachkräfte in der Planung und Integration bedeutet das:

  • Planer:innen sollten KNX Secure frühzeitig in sicherheitskritischen Projekten berücksichtigen – z. B. in Schulen, Krankenhäusern oder öffentlichen Einrichtungen.
  • Systemintegrator:innen erhöhen mit sicheren Inbetriebnahmeprozessen die Projektqualität – und schaffen Vertrauen bei Kunden und Betreibern. Ein professionelles Backup- und Schlüsselkonzept – etwa mit sicheren Kopien der ETS-Projektdateien und KNX Secure Zertifikaten – ist dabei ein zentraler Erfolgsfaktor.
  • Betreiber und Fachpartner können ihre Kunden gezielt auf neue Sicherheitsanforderungen vorbereiten – und rechtzeitig Lösungen anbieten, bevor gesetzliche Vorgaben greifen.

Wer sich jetzt mit KNX Secure auseinandersetzt, verschafft sich einen Vorsprung – technisch, rechtlich und wirtschaftlich.

Autor: Elsner Elektronik Redaktionsteam | Stand 07/2025

Weitere Fachartikel

Vertiefende Inhalte

Bleistift und Lineal auf Bauplan liegend
KNX Secure für Planer & Integratoren

KNX Secure erfolgreich planen – für normgerechte Sicherheit und zukunftsfähige Gebäudeautomation.

Mehr zur Planung mit KNX Secure