Bleistift und Lineal auf BauplanBleistift und Lineal auf Bauplan

KNX Secure für Planer & Systemintegratoren

Wie Sie Sicherheitsanforderungen normgerecht in die Projektpraxis überführen

Neue Regelwerke wie NIS2, DSGVO oder der Cyber Resilience Act stellen Planer vor klare Anforderungen: IT-Sicherheit ist in der Gebäudeautomation kein optionales Extra mehr – sondern ein verpflichtender Teil der Projektplanung.

KNX Secure bietet die technische Grundlage, um diese Vorgaben regelkonform umzusetzen – und gleichzeitig Projekte sicher, nachvollziehbar und zukunftsfähig zu gestalten.

Diese Seite zeigt Ihnen:

  • Wie sich gesetzliche Anforderungen in konkrete Planungsentscheidungen übersetzen lassen

  • Worauf Sie bei Ausschreibungen, Gerätedesign und Schlüsselmanagement achten müssen

  • Wie Sie mit klarer Struktur und sicherer Dokumentation unnötige Risiken vermeiden

Denn nur wer die Sicherheitsanforderungen von Anfang an mitdenkt, kann KNX-Projekte wirklich zukunftsfähig planen.

Früh geplant – sicher umgesetzt

Warum sollten Planer KNX Secure frühzeitig einplanen?

Gebäudeautomation wird zunehmend vernetzt – und angreifbar. Sicherheit muss heute von Anfang an mitgedacht werden.

Die klassische Vorstellung vom abgeschotteten KNX-System ist überholt. IP-Schnittstellen, Visualisierungen, mobile Endgeräte und Remote-Zugriffe gehören heute zum Standard – und eröffnen potenzielle Schwachstellen. Wer Sicherheit erst bei der Inbetriebnahme berücksichtigt, kommt oft zu spät. 

Ein Beispiel: Wird eine Präsenzmeldung im Klassenzimmer nicht verschlüsselt übertragen, kann daraus ein Datenschutzproblem entstehen – oder eine potenzielle Schwachstelle im System.

Auch rechtlich geraten Projektverantwortliche stärker in die Pflicht: Vorschriften wie NIS 2, DSGVO oder der Cyber Resilience Act machen IT-Sicherheit in der Gebäudeautomation zur verbindlichen Aufgabe.

Tipp: Einen Überblick dazu finden Sie auf unserer Seite zu den gesetzlichen Anforderungen an KNX Secure.

Für die Planung bedeutet das:

  • Sicherheitsaspekte müssen frühzeitig berücksichtigt werden – nicht erst bei der Inbetriebnahme.
  • Auftraggeber erwarten klare Angaben zu Verschlüsselung und Zugriffskonzepten.
  • Projektbeteiligte müssen Zertifikate und Schlüssel sicher verwalten.

Wer hier keine Antworten liefern kann, riskiert Probleme bei Ausschreibungen und Übergaben.

Mehr zu den gesetzl. Anforderungen
Sicherheit schon beim Systemdesign berücksichtigen

Was ist bei der Planung mit KNX Secure zu beachten?

Sicherheit beginnt nicht auf der Baustelle, sondern im Systemdesign. Gerade in sicherheitsrelevanten Projekten – wie Schulen, Kliniken oder Behördengebäuden – erwarten Auftraggeber heute mehr als nur Funktionalität: Sie verlangen ein durchdachtes Sicherheitskonzept auf KNX-Basis. Dazu gehört auch der physische Schutz: Sind Taster und Displays gegen unbefugten Zugriff gesichert? Sind Geräte in öffentlichen Bereichen manipulationsgeschützt montiert – z. B. verdeckt, in Verteilern oder erhöht positioniert? KNX Secure stellt dafür die technische Grundlage bereit – mit verschlüsselter Kommunikation und kontrolliertem Zugriff auf Projektdaten.

Wichtig ist: Die Anforderungen an KNX Secure müssen bereits in der Planung definiert werden. Dabei gilt es, unter anderem folgende Aspekte zu bedenken:

  • In welchen Bereichen ist Verschlüsselung erforderlich (z. B. Serverräume, Arztzimmer, Technikzentralen)?
  • Welche Geräte benötigen Secure-Funktionalität?
  • Liegen zu allen Komponenten die FDSK-Zertifikate vor?
  • Ist die eingesetzte ETS-Version ab 5.7 – also Secure-kompatibel?
  • Wird Twisted Pair, IP oder RF eingesetzt – und was bedeutet das für die Absicherung?

Nur bei frühzeitiger Planung können alle Sicherheitsfunktionen gezielt umgesetzt werden – ohne spätere Rückbauten oder Unsicherheiten.

Symbolgrafik eines Planungsdokuments mit Checkliste und BleistiftSymbolgrafik eines Planungsdokuments mit Checkliste und Bleistift
Sicherheitsanforderungen konkret benennen

Wie berücksichtigt man KNX Secure in Ausschreibungen?

Damit KNX Secure im Projekt wirkt, muss die Ausschreibung klar festlegen, wie die Sicherheitsfunktionen eingesetzt werden. Es genügt nicht, den Begriff pauschal zu erwähnen. Entscheidend ist, welche Sicherheitsfunktionen wo und wie eingesetzt werden sollen. Nur dann kann ein Projekt auch konsequent sicher umgesetzt werden.

Diese technischen Fragen sollten in jeder Ausschreibung beantwortet werden:

  • Welche Telegramme müssen verschlüsselt werden – nur sicherheitsrelevante, oder alle?
  • Welche Komponenten müssen Secure-fähig sein – nur IP-Geräte oder auch Sensoren und Aktoren?
  • Wie werden Schlüssel und Projektdaten geschützt und übergeben?

Auch organisatorische Anforderungen sollten klar benannt werden:

  • Gibt es ein Backup-Konzept für FDSK und Projektdateien?
  • Wird die Übergabe dokumentiert und passwortgeschützt geregelt?
  • Wer hat im Betrieb welche Zugriffsrechte?

Je konkreter die Ausschreibung formuliert ist, desto eindeutiger sind die Pflichten – und desto sicherer das Ergebnis für alle Beteiligten.

Symbolgrafik einer Hand mit technischem Dokument und Sicherheits-IconSymbolgrafik einer Hand mit technischem Dokument und Sicherheits-Icon
Sicher nur mit ETS und Struktur

Wie verwaltet man Projektstruktur und Schlüssel bei KNX Secure?

Bei KNX Secure werden alle sicherheitsrelevanten Daten werden zentral in der ETS verwaltet – und sind dort das Rückgrat jedes Secure-Projekts.

Die ETS ist nicht nur das Planungswerkzeug für KNX, sondern auch die zentrale Sicherheitsinstanz für KNX Secure. Hier werden:

  • die Projektstruktur angelegt,
  • alle FDSK-Zertifikate (Factory Default Setup Keys) eingelesen,
  • Tool Keys und Gruppenschlüssel generiert,
  • und alle sicherheitsrelevanten Einstellungen verwaltet.

Nur wer Zugriff auf die vollständige ETS-Projektdatei hat, kann Secure-Geräte einrichten, verändern oder bei Bedarf wieder in Betrieb nehmen. Geht diese Datei verloren oder ist unvollständig dokumentiert, kann das gesamte System unbrauchbar werden.

Für besonders schützenswerte Installationen kann zusätzlich ein sogenannter BCU Key hinterlegt werden – ein herstellerspezifischer Geräteschlüssel, der Änderungen an der Konfiguration verhindert. Nur wer diesen Schlüssel kennt, kann das Gerät neu programmieren. Das schützt zuverlässig vor unbefugter Re-Konfiguration. Solche Schutzmechanismen greifen jedoch nur, wenn auch das übergeordnete Schlüsselmanagement sauber aufgesetzt ist.

Wichtig ist daher:

  • FDSK-Zertifikate zentral und digital archivieren,
  • Projektdateien regelmäßig sichern (verschlüsselt & versioniert),
  • klare Zuständigkeiten und Zugriffskonzepte definieren.

Die ETS ist der Sicherheitsanker von KNX Secure – wer hier nachlässig arbeitet, riskiert langfristig die Integrität des Systems.

Secure nur bei durchgängiger Unterstützung

Was muss bei der Geräteauswahl für KNX Secure beachtet werden?

In KNX Secure-Projekten reicht es nicht aus, einzelne Geräte mit Secure-Funktion einzusetzen. Entscheidend ist, ob die gesamte Kommunikationsgruppe – also alle Geräte, die an einer verschlüsselten Gruppenadresse beteiligt sind – KNX Secure unterstützt. Ist auch nur ein Teilnehmer nicht Secure-fähig, bleibt die gesamte Verbindung unverschlüsselt – und damit anfällig.

Für Anwendungen mit hohen Sicherheitsanforderungen, etwa in öffentlichen Gebäuden oder bei Fernzugriff, sollten deshalb ausschließlich Secure-fähige Geräte eingesetzt werden. Ebenso wichtig ist, dass das Projekt auf einer stabilen, klar strukturierten Infrastruktur basiert und alle Sicherheitsfunktionen der eingesetzten Geräte vollständig genutzt werden.

Je nach Systemarchitektur kommen KNX Data Secure (für TP oder RF) oder KNX IP Secure zum Einsatz. Wichtig ist auch die Softwarebasis: Die ETS muss mindestens in Version 5.7 vorliegen, um alle Secure-Funktionen zu unterstützen. Geräte mit Secure-Funktionalität sind in der Regel vom Hersteller entsprechend gekennzeichnet, oft mit einem „S“ oder „X“ in der Bezeichnung.

Die Geräteauswahl sollte also nicht nur funktional, sondern auch sicherheitsstrategisch erfolgen. Wer frühzeitig definiert, welche Telegramme geschützt werden sollen, kann gezielt die passenden Komponenten einplanen – und damit die Grundlage für ein durchgängig sicheres KNX-System schaffen.

Bewusst planen, gezielt kombinieren

Ist ein Mischbetrieb von KNX Secure und klassischen Geräten möglich?

Ja – aber durchgängige Sicherheit lässt sich nur mit klarer Systemtrennung garantieren. KNX Secure ist so konzipiert, dass es sich in bestehende Systeme integrieren lässt. Das ermöglicht den Mischbetrieb mit klassischen KNX-Komponenten – etwa bei Nachrüstungen oder schrittweisen Systemerweiterungen. Die Voraussetzung: Secure-fähige Geräte lassen sich im sogenannten „unsicheren Modus“ auch ohne Verschlüsselung betreiben.

Allerdings bringt diese Flexibilität auch Risiken mit sich. In der Praxis führt ein unkontrollierter Mischbetrieb schnell zu Sicherheitslücken – besonders wenn Projektbeteiligte nicht klar dokumentieren, welche Kommunikationsverbindungen verschlüsselt sind und welche nicht.

Ein pragmatischer Ansatz ist deshalb, sicherheitskritische Bereiche – wie Serverräume, zentrale Steuerungen oder IP-Schnittstellen – vollständig mit Secure-fähigen Geräten zu planen. Unkritische Bereiche können klassisch aufgebaut bleiben, sofern sie keine sensiblen Daten verarbeiten oder nach außen offen sind.

Mischbetrieb ist also möglich – aber nur dann sinnvoll, wenn er bewusst strukturiert wird und klare Abgrenzungen bestehen. Ohne diese Systemtrennung bleibt das Sicherheitsniveau auf dem Stand des schwächsten Glieds.

Zwei abzweigende Pfeile in unterschiedliche Richtungen mit einem Fragezeichen dazwischenZwei abzweigende Pfeile in unterschiedliche Richtungen mit einem Fragezeichen dazwischen
Den Überblick behalten – von Anfang an

Welche Fehler sollte man bei KNX Secure unbedingt vermeiden?

Viele Probleme entstehen nicht durch die Technik, sondern durch fehlende Planung, Dokumentation und Kommunikation.

KNX Secure eröffnet neue Sicherheitsstandards, aber nur, wenn das Projekt auch organisatorisch durchdacht ist. Häufige Fehler entstehen nicht bei der Installation, sondern lange vorher. Typische Stolpersteine sind zum Beispiel:

  • Der KNX Secure Code (FDSK) geht verloren, etwa weil der Aufkleber bei der Installation entfernt oder entsorgt wurde. Ohne diesen individuellen Schlüssel ist keine sichere Einbindung des Geräts möglich. Der Code wird nur einmal mit dem Gerät ausgeliefert und befindet sich auf einem abziehbaren Etikett. Er muss daher sorgfältig und sicher aufbewahrt werden und gehört zur Projektdokumentation.
  • Telegramme werden verschlüsselt, obwohl nicht alle Teilnehmer Secure-fähig sind (Ein häufiger Irrtum: In gemischten Gruppen erfolgt die Übertragung dennoch unverschlüsselt).
  • die Projektdatei wird nicht gesichert.
  • das ETS-Passwort ist nicht bekannt – wodurch keine Erweiterung oder Wartung mehr möglich ist.

Besonders kritisch wird es, wenn mehrere Gewerke beteiligt sind, aber keine klare Struktur für Schlüsselverwaltung und Übergabe besteht. Dann drohen nicht nur Sicherheitslücken, sondern auch Projektverzögerungen, Kosten und Vertrauensverluste beim Kunden.

Auch nach der Inbetriebnahme sollte das System regelmäßig beobachtet werden. Bleiben Telegramme aus, funktionieren Geräte unerwartet oder treten Störungen auf, kann das auch auf Konfigurationsfehler oder sicherheitsrelevante Probleme hinweisen. KNX Secure Geräte bieten hierfür erweiterte Diagnosefunktionen wie Failure Logs oder Download Counter – wer sie kennt und nutzt, erkennt frühzeitig, ob unbefugte Zugriffe versucht wurden.

Pro Tipp:
Erstellen Sie bereits vor Projektbeginn eine strukturierte Checkliste für KNX Secure mit Vorgaben zu FDSK, Geräteauswahl, ETS-Version, Gruppenadressierung, Schlüsselmanagement und Projektdokumentation. Stimmen Sie diese Liste mit Auftraggebern und Projektpartnern ab – und sorgen Sie für eine nachvollziehbare Übergabe. Das schützt nicht nur die Technik, sondern auch Ihre Position als Integrator.

Downlaod Checkliste Projektplanung KNX Secure
Fazit

KNX Secure: Sicherheit als Qualitätsmerkmal

KNX Secure ist kein Zusatz – sondern Voraussetzungfür moderne, vertrauenswürdige Gebäudeautomation.

Die Anforderungen an Datenschutz, Manipulationsschutz und Betriebssicherheit steigen kontinuierlich. Wer als Planer strukturiert denkt und als Integrator KNX Secure gezielt einsetzt, erhöht nicht nur die technische Qualität – sondern auch die langfristige Zukunftsfähigkeit des gesamten Systems.

Mit sicherer Kommunikation, verschlüsselter Inbetriebnahme, klarer Schlüsselverwaltung und lückenloser Dokumentation schaffen Sie ein Projektfundament, das Bestand hat – auch gegenüber neuen Vorschriften und wachsenden Erwartungen der Kunden.

Nicht zuletzt ist auch die rechtliche Absicherung entscheidend: Sobald personenbezogene Gebäudedaten verarbeitet werden – etwa bei Präsenz-, Klima- oder Zugangssteuerung – greift die DSGVO. Fachplaner und Integratoren sollten dem Betreiber eine verschlüsselte Kopie der ETS-Projektdatei übergeben und idealerweise eine Datenschutzvereinbarung unterzeichnen.

Sorgfältig umgesetzt, macht KNX Secure die Gebäudeautomation nicht nur sicherer – sondern auch nachhaltiger, zukunftsfähiger und rechtlich belastbar.

Autor: Elsner Elektronik Redaktionsteam | Stand 07/2025

Schild-Symbol mit kreisförmigem Häkchen in der MitteSchild-Symbol mit kreisförmigem Häkchen in der Mitte
Weitere Fachartikel

Vertiefende Inhalte

Mann hält Smartphone mit Icons für Gebäudesteuerung, KNX Secure Logo daneben
KNX Secure Grundlagen

KNX Secure einfach erklärt – alle Grundlagen, Vorteile und Umsetzungstipps für sichere Gebäudeautomation.

Mehr über KNX Secure lesen