- Gerät nur im gesicherten Modus betreiben.
- Gerät nur im gesicherten Modus direkt mit dem Internet verbinden.
- Das Gerät befindet sich im gesicherten Modus, wenn das Gerät über die sichere Inbetriebnahme in Betrieb genommen wurde, Secure Tunneling aktiviert ist und starke sowie unterschiedliche Passwörter verwendet werden.
Mögliche weitere Sicherheitsmaßnahmen sind unter anderem:
- Gerät im ungesicherten Modus nur in einer sicheren Netzwerkumgebung betreiben.
- Für die KNX-Kommunikation ein separates IP-Netzwerk mit eigener Hardware aufsetzen.
- Zugang zum (KNX-)IP-Netzwerk durch Nutzerkennungen und starke Passwörter auf einen berechtigten Personenkreis einschränken.
- Wenn das Gerät im ungesicherten Modus betrieben wird, Fernzugriffe auf das Gerät zusätzlich über eine VPN-Verbindung absichern.
- (Ein virtuelles privates Netzwerk (VPN) baut eine verschlüsselte und autorisierte Verbindung (VPN-Tunnel) von einem entfernten Ort in ein Netzwerk über das Internet auf. Diese VPN-Verbindung ermöglicht eine sichere und gegen Mithören geschützte Kommunikation zwischen einem entfernten Gerät und der KNX-Installation.)
- Wenn WLAN genutzt wird, voreingestellte SSID vom drahtlosen Access Point ändern. Das WLAN mit einem sicheren Verfahren (zurzeit z. B. WPA2) verschlüsseln.
- Netzwerkeinstellungen dokumentieren und dem Gebäudeeigentümer/-betreiber oder dem LAN-Administrator übergeben.
- Verwaltung von Zugangsrechten zu diesem KNXnet/IP-Gerät in einem IP-Netzwerk mit dem zuständigen IP-Netzwerkadministrator abstimmen.
Maßnahmen nach dem Austausch eines Geräts im Netzwerk
Wenn ein IP-Router Secure oder eine IP-Schnittstelle Secure im gesicherten Modus aus einem Netzwerk gestohlen oder aufgrund eines Defekts ausgetauscht wird, muss für alle anderen Geräte im Netzwerk die sichere Inbetriebnahme erneut durchgeführt werden. Hierzu in den Einstellungen des Projekts die Option „Sichere Inbetriebnahme“ für jedes Gerät deaktivieren, wieder aktivieren und die neuen Daten erneut in die Geräte laden. (Das Laden der Daten in das Gerät zwischen der Deaktivierung und erneuten Aktivierung ist nicht erforderlich.)
Diese erneute sichere Inbetriebnahme ist erforderlich, da nicht ausgeschlossen werden kann, dass die Schlüssel, die sich in einem geschützten Bereich des Geräts befinden, ausgelesen werden können. Durch die erneute Inbetriebnahme werden neue Schlüssel generiert, die alten Schlüssel sind hiermit wertlos. Das entwendete Gerät funktioniert nun nicht mehr im Netzwerk.
Weitere Informationen zur KNX-Sicherheit
Weitere Informationen zu KNX-Sicherheit, wie z. B. eine Sicherheitscheckliste, können auf der Internetseite von KNX (http://www.knx.org) im Bereich „KNX Secure“ nachgelesen werden.