Hier finden Sie praxisnahe Informationen, wie KNX Secure von Anfang an sicher in Projekte integriert wird. Die Seite erklärt, was bei Medienwahl, Projektstruktur, Schlüsselmanagement und Gerätezertifikaten zu beachten ist – mit konkreten Tipps für Ausschreibung, Umsetzung und Übergabe. Ideal für alle, die KNX-Projekte professionell planen und absichern wollen.
KNX Secure für Planer & Systemintegratoren
Wie Sie KNX-Projekte von Anfang an sicher planen und umsetzen
Die Anforderungen an vernetzte Gebäude wachsen – funktional, technisch und zunehmend auch rechtlich. Für Planer:innen und Systemintegrator:innen bedeutet das: Sicherheit ist kein optionales Thema mehr, sondern ein fester Bestandteil verantwortungsvoller Systemplanung.
Mit KNX Secure steht eine technische Lösung bereit, um Verschlüsselung und Integrität bereits auf Protokollebene umzusetzen. Die Herausforderung dabei: KNX Secure greift tief in die Projektstruktur ein – und verändert die Art, wie Anlagen geplant, dokumentiert und in Betrieb genommen werden.
Warum KNX Secure heute mitgedacht werden muss
Die neue Projektrealität
KNX-Systeme sind längst nicht mehr physisch abgeschottete Inseln. Durch IP-Schnittstellen, Visualisierungssysteme, Remote-Zugriffe oder mobile Endgeräte entstehen neue Angriffspunkte – und damit neue Anforderungen an die Sicherheit.
Parallel verschärfen sich die rechtlichen Rahmenbedingungen:
- Die EU-Richtlinie NIS 2 verpflichtet Betreiber und Dienstleister kritischer Infrastrukturen zur Umsetzung von IT-Sicherheitsmaßnahmen – darunter fällt zunehmend auch die Gebäudeautomation.
- Die DSGVO betrifft Projekte, in denen personenbezogene Daten verarbeitet werden (z. B. Präsenz- oder Raumdaten).
- Der Cyber Resilience Act wird ab 2025 zusätzliche Anforderungen an Hersteller und Systemintegratoren stellen.
Was bedeutet das konkret für die Planung?
- Systeme müssen technisch sicher konzipiert sein – nicht nur funktional.
- Auftraggeber erwarten konkrete Angaben zu Verschlüsselung und Zugriffsschutz.
- Projektteams müssen Zugriffsrechte, Zertifikate und Schlüssel sauber verwalten.
Wer hier keine Antwort liefern kann, wird mittelfristig Schwierigkeiten bei Ausschreibungen oder Übergaben haben.
Hinweis: Eine Übersicht zu den wichtigsten Vorschriften und deren Relevanz für KNX Secure finden Sie auf unserer Seite zu den rechtlichen Anforderungen im Hinblick auf KNX Secure.
Sicherheit schon beim Systemdesign berücksichtigen
Planung mit KNX Secure
KNX Secure verändert die Art und Weise, wie moderne Gebäudeautomationssysteme geplant werden müssen. Besonders bei sicherheitsrelevanten Anwendungen – etwa in Schulen, Krankenhäusern oder Verwaltungsgebäuden – erwarten Auftraggeber heute ein strukturiertes Sicherheitskonzept. KNX Secure bietet hierfür die technische Grundlage: Durch verschlüsselte Kommunikation und kontrollierten Zugriff auf Projektdaten können Systeme nicht nur funktionssicher, sondern auch manipulationsgeschützt realisiert werden.
Bereits in der Planungsphase ist zu klären, wo Verschlüsselung erforderlich ist – beispielsweise für bestimmte Gebäudebereiche oder bei sensiblen Daten. Nur Geräte mit Secure-Funktionalität lassen sich vollständig verschlüsselt betreiben. Zudem müssen Gerätezertifikate (FDSK) vorhanden sein, und die ETS-Version, die verwendet wird, sollte KNX Secure vollständig unterstützen – was ab ETS 5.7 der Fall ist. Auch die Medienwahl (TP, IP oder RF) sollte frühzeitig im Hinblick auf Sicherheitsanforderungen getroffen werden.
Sicherheitsanforderungen konkret benennen
KNX Secure in Ausschreibungen
Wenn KNX Secure Bestandteil einer Ausschreibung ist, reicht es nicht aus, den Begriff pauschal zu nennen. Vielmehr sollte genau beschrieben werden, wie und wo die Sicherheitsfunktionen eingesetzt werden sollen. Zum Beispiel: Welche Telegramme im Projekt verschlüsselt werden müssen – nur sicherheitsrelevante Funktionen oder das gesamte Kommunikationsnetz? Welche Gerätegruppen Secure-fähig sein sollen – nur IP-Komponenten oder auch Sensorik und Aktorik? Und wie wird sichergestellt, dass Projektdaten und Schlüssel nur autorisierten Personen zugänglich sind?
Auch organisatorische Aspekte wie ein Backup-Konzept für Schlüssel und Projektdateien oder die Form der Übergabe (z. B. dokumentiert und passwortgeschützt) sollten klar definiert sein. Je genauer diese Anforderungen formuliert sind, desto eindeutiger ist die Leistungspflicht für alle Beteiligten – und desto sicherer das Ergebnis.
Pro Tipp: Formulieren Sie Ausschreibungen so konkret wie möglich:
- Welche Telegramme sind zu verschlüsseln?
- Welche Komponenten müssen Secure unterstützen?
- Wie wird der Zugriff geregelt?
Das erleichtert die Umsetzung – und schützt vor Missverständnissen.
So behalten Sie den Überblick über Schlüssel & Struktur
Projektstruktur, Zertifikate & Schlüsselmanagement
KNX Secure greift tief in die Projektstruktur ein – und das hat Konsequenzen für Planung, Dokumentation und Projektschutz.
Im Zentrum steht die ETS-Projektdatei: Sie enthält nicht nur die Parametrierung, sondern auch die sicherheitsrelevanten Schlüssel. Ohne Zugriff auf diese Datei lassen sich Secure-Geräte nicht anpassen, erweitern oder im Fehlerfall neu in Betrieb nehmen.
Jedes KNX Secure-Gerät verfügt über ein individuelles Gerätezertifikat (FDSK). Dieser 25-stellige Code ist werkseitig vergeben, auf dem Gerät aufgedruckt (oft als QR-Code) und darf nicht verloren gehen. In der ETS wird der FDSK benötigt, um den Tool Key zu generieren – der Schlüssel, mit dem die ETS das Gerät anspricht. Zusätzlich können Gruppenschlüssel vergeben werden, um Telegramme zu verschlüsseln.
Das bedeutet für die Planung: Die Projektstruktur muss langfristig gesichert, eindeutig dokumentiertund zentral verwaltet werden – vor allem, wenn mehrere Gewerke beteiligt sind oder bei späteren Erweiterungen neue Komponenten hinzukommen.
Pro Tipp: Behalten Sie von Anfang an den Überblick über Ihr Secure-Projekt:
- Dokumentieren Sie, welche Komponenten verschlüsselt betrieben werden sollen.
- Archivieren Sie alle FDSK-Zertifikate zentral und dauerhaft – idealerweise digital.
- Richten Sie eine strukturierte Schlüsselverwaltung ein, die auch bei Erweiterungen funktioniert.
- Vergeben Sie ein sicheres ETS-Projektpasswort und halten Sie die Zugangsdaten für spätere Übergaben nachvollziehbar fest.
Sicherheitsfunktionen erkennen & richtig einplanen
Geräteauswahl mit KNX Secure
Nicht jede KNX-Komponente muss Secure-fähig sein – aber jede Kommunikationsverbindung, die sicherheitsrelevant ist, sollte durchgängig verschlüsselt werden. Besonders wichtig wird das bei der Geräteauswahl: KNX Secure-Geräte lassen sich zwar mit konventionellen Geräten kombinieren, doch die Kommunikation erfolgt in diesem Fall unverschlüsselt. Deshalb ist es entscheidend, schon in der Planungsphase festzulegen, welche Gruppenadressen verschlüsselt werden sollen – und welche Geräte über diese Adressen kommunizieren.
Secure-fähige Komponenten sind in der Regel mit einem „S“ oder „X“ gekennzeichnet. Für IP Secure sind passende Router oder Schnittstellen erforderlich, während bei Data Secure z. B. Sensoren, Aktoren oder Schaltmodule mit integrierter Secure-Funktion zum Einsatz kommen. Auch die verwendete ETS-Version muss mit KNX Secure umgehen können – das ist ab Version 5.7 der Fall.
Wo Kombinationen möglich sind – und wo Risiken bleiben
Mischbetrieb verstehen und absichern
Grundsätzlich ist Mischbetrieb zwischen sicheren und unsicheren Geräten im KNX-System erlaubt. Doch ohne durchgehende Secure-Kompatibilität bleibt die Verschlüsselung wirkungslos – ein einzelnes unsicheres Glied in der Kommunikationskette genügt, um diese angreifbar zu machen. Besonders in öffentlich zugänglichen Gebäuden oder bei Projekten mit Fernzugriff sollte daher auf durchgängige Sicherheit geachtet werden.
Pro Tipp: Wenn Sie Gruppenadressen verschlüsseln, stellen Sie sicher, dass alle beteiligten Geräte Secure-fähig sind. Planen Sie frühzeitig, welche Telegramme geschützt werden sollen, und vermeiden Sie Mischbetrieb, wenn durchgängige Sicherheit gefordert ist. Setzen Sie möglichst auf zertifizierte Geräte mit dokumentierter Schlüsselverwaltung – und prüfen Sie, ob Ihre ETS-Version alle Secure-Funktionen unterstützt.
KNX Secure beginnt bei der Projektlogik, nicht erst auf der Baustelle
Typische Planungsfehler – und wie man sie vermeidet
Der Umgang mit KNX Secure bringt neue Verantwortlichkeiten – und neue Fehlerquellen. Viele Probleme entstehen nicht durch die Technik selbst, sondern durch unvollständige Planung, fehlende Projektstruktur oder Missverständnisse zwischen den Gewerken. Wer diese Stolpersteine kennt, kann sie im Vorfeld vermeiden.
Häufige Fehler aus der Praxis:
Geräte werden ohne FDSK-Zertifikate bestellt oder geliefert
Gruppenadressen werden verschlüsselt, aber nicht alle Teilnehmer unterstützen Secure
Projektdateien werden nicht zentral gesichert oder dokumentiert
Es fehlt ein klarer Schlüsselverwaltungsprozess (FDSK, Tool Key, Gruppenschlüssel)
Die ETS-Version ist veraltet oder nicht Secure-kompatibel
Es wird keine Schulung oder Einweisung der beteiligten Gewerke durchgeführt
Besonders heikel: Wird das ETS-Projekt nicht sauber übergeben oder das Passwort vergessen, ist die Erweiterung oder Reparatur einer Anlage im Secure-Modus nur schwer oder gar nicht möglich. Das kann spätere Supporteinsätze erheblich erschweren – oder zum Komplettreset zwingen.
Pro Tipp:
Erstellen Sie bereits vor Projektbeginn eine Checkliste für KNX Secure-Projekte – und gleichen Sie sie mit Ihrem Projektpartner oder Auftraggeber ab.
Stellen Sie sicher, dass alle Secure-Geräte mit FDSK ausgeliefert werden
Sichern Sie die Projektdatei mehrfach, idealerweise mit klar definiertem Zugriffskonzept
Prüfen Sie bei jedem Gerät: Secure-Funktion aktiviert?, ETS-Version kompatibel?
Planen Sie genug Zeit für Tests und Zertifikatsverwaltung ein – vor allem bei komplexen Anlagen
