KNX Secure

KNX Secure schützt deine KNX-Installation vor unbefugtem Zugriff oder Manipulation. Es verwendet zwei Mechanismen:

• KNX Data Secure schützt das Gerät selbst vor unbefugten Konfigurationsänderungen (Secure Commissioning) und ermöglicht optional auch die Verschlüsselung einzelner KNX-Telegramme auf dem TP-Bus.

• KNX IP Secure verschlüsselt den IP-Verkehr, also die Verbindung zwischen der KNX Bridge und IP-Clients wie ETS.

Eine typische Installation nutzt KNX Secure, um unbefugten IP-Zugriff zu verhindern, wofür Data Secure aktiviert sein muss. Die Verschlüsselung von KNX-Telegrammen auf dem Bus fügt jedoch erhebliche Komplexität hinzu und wird selten verwendet. Solange kein unbefugter Zugriff auf das grüne KNX-Buskabel möglich ist, kann darauf verzichtet werden.

Factory Default Setup Key (FDSK)

Jedes KNX-Secure-Gerät hat einen eindeutigen Factory Default Setup Key (FDSK). Den FDSK der Atios KNX-Bridge findest du in den KNX-Einstellungen (z.B. ALODDQ-DW4XY3-W5LL77-LLRM7W-22OZE4-3FJBRH) und auf der Unterseite des Geräts.

Anforderungen

• ETS 6.0 oder neuer
• knxprod-Datei: KNX Bridge v3.0 oder neuer
• KNX-Bridge-Firmware 3.1.0 oder neuer

---

Secure Commissioning

Erste Atios KNX Bridge

1. Navigiere im ETS-Online-Katalog zum Hersteller Atios AG, wähle Atios KNX Bridge, Version 3.0 oder neuer und ziehe sie in die Projekttopologie.
2. Bestimme ein Projektpasswort, wenn du dazu aufgefordert wirst.
3. Wenn ETS dich zur Eingabe des FDSK auffordert, öffne das Web Interface.
4. Navigiere zu KNX-Einstellungen → KNX Secure und kopiere den unter dem QR-Code angezeigten FDSK (z.B. ALOG2M-E4XZO2-CCEC53-L4B6XA-TSKIG4-DFBXTF) und füge ihn in ETS ein.
5. Secure Commissioning und Secure Tunneling sind standardmässig aktiviert.
6. Klicke mit der rechten Maustaste auf die KNX Bridge in ETS, wähle Physikalische Adresse laden und anschliessend Applikation laden.

Bereits eine Atios KNX Bridge im ETS-Projekt

1. Navigiere im ETS-Online-Katalog zum Hersteller Atios AG, wähle Atios KNX Bridge, Version 3.0 oder neuer und ziehe sie in die Projekttopologie.
2. Setze ein Projektpasswort, wenn du dazu aufgefordert wirst.
3. Wenn ETS dich zur Eingabe des FDSK auffordert, klicke auf Später.
4. Lösche die KNX Bridge, die du gerade hinzugefügt hast.
5. Klicke auf deine bestehende KNX Bridge in der Topologie.
6. Gehe zu Eigenschaften → Info → Applikation und klicke unten im Panel auf Aktualisieren.
7. Füge den FDSK über Eigenschaften → Einstellungen → Gerätezertifikat hinzufügen zum bestehenden Gerät hinzu.
8. Klicke mit der rechten Maustaste auf die KNX Bridge in ETS und wähle Applikation laden.

INFO

Möglicherweise musst du zuerst Secure Commissioning auf aktiv setzen, damit der Button Gerätezertifikat hinzufügen sichtbar wird.

Beim Aktualisieren einer bestehenden KNX Bridge

Ändere das Applikationsprogramm nicht über die ComboBox. Dadurch werden alle Accessories und Einstellungen gelöscht. Falls dies versehentlich passiert, klicke sofort auf Rückgängig.

IP Secure Tunneling

IP Secure verschlüsselt die IP-Kommunikation zwischen der Atios KNX Bridge und IP-Clients. Es schützt vor jedem mit Netzwerkzugriff, der versucht, IP-Telegramme zu lesen oder einzuschleusen.

Clients (z.B. Home Assistant) mit der Atios KNX Bridge verbinden

1. Klappe in der Topologieansicht die Tunneling-Adressen der Atios KNX Bridge auf.
2. Wähle aus, welchen Tunnel der Client verwenden soll.
3. Ziehe per Drag & Drop jede Gruppenadresse in den Tunnel, die der Client empfangen oder senden können soll.
4. Exportiere die Keyring-Datei über Eigenschaften → Einstellungen → Schnittstelleninformationen exportieren.
5. Importiere die Keyring-Datei in den Client.

WARNING

Tunnel 4 ist für Matter/HomeKit reserviert. Verwende einen anderen Tunnel für Clients.

Warum das nötig ist: Die Keyring-Datei enthält den Authentifizierungscode, die Schlüssel für jede in den Tunnel gezogene Gruppenadresse und die User-ID, die zum Aufbau der verschlüsselten IP-Verbindung zwischen der Bridge und dem Client benötigt wird.

Verschlüsselte Gruppenadressen (optional)

Standardmässig aktiviert ETS die Verschlüsselung der Gruppenadressen automatisch, wenn alle verbundenen Geräte Secure Commissioning aktiviert haben. Du kannst ETS dazu zwingen, die Sicherheit für jede Gruppenadresse zu aktivieren oder zu deaktivieren.

Verschlüsselte Gruppenadressen sind nur nötig, wenn jemand physischen Zugang zu deinem KNX-Bus erlangen könnte. Für typische Wohninstallationen müssen einzelne Gruppenadressen nicht gesichert werden.

Verschlüsselte Gruppenadressen des Accessory Managers

1. Aktiviere die Verschlüsselung der Gruppenadressen (falls ETS dies nicht automatisch getan hat).
2. Ziehe die Gruppenadresse per Drag & Drop in Tunnel 4 (Matter/HomeKit).
3. Lade die Applikation erneut auf alle verbundenen Geräte, damit deren Listen gültiger Absenderadressen aktualisiert werden.
4. Exportiere die Keyring-Datei aus ETS über Projektdetails → Sicherheit → Keyring sichern.
5. Öffne das Web Interface und importiere die Keyring-Datei (KNX-Einstellungen).

Verschlüsselte Gruppenadressen für das KNX-DALI-Gateway

1. Aktiviere die Verschlüsselung der Gruppenadressen (falls ETS dies nicht automatisch getan hat).
2. Lade die Applikation erneut auf die Atios KNX Bridge.
3. Lade die Applikation erneut auf alle verbundenen Geräte.

Warum das nötig ist: Das Web Interface verwaltet deine Matter-Accessories und ordnet sie KNX-Gruppenadressen zu. Um Befehle an verschlüsselte Gruppenadressen zu senden oder deren Status zu lesen, benötigen die Accessories den Keyring. Das Zuweisen einer Gruppenadresse zu Tunnel 4 weist ETS auch an, die Tunneladresse als gültigen Absender auf allen verbundenen Geräten hinzuzufügen. Ohne diese Zuweisung hat die Bridge keinen Schlüssel für die Adresse und verschlüsselte Telegramme erreichen den Aktor nicht.

Keyring nach Secure-Änderungen aktualisieren

Jede Änderung an der Secure-Konfiguration in ETS erfordert:

1. Erneutes Exportieren des Keyrings aus ETS.
2. Erneutes Importieren in das Web Interface der KNX Bridge sowie in jedes andere verbundene System, das KNX Secure verwendet.