Veiligheidswaarschuwing

Bescherm je KNX-installatie tegen cyber-aanvallen. Gebouwinstallaties die verbonden zijn aan het internet, zijn steeds vaker het doelwit.Eerder dit jaar bracht de Smart Building groep van ABB al een veiligheidswaarschuwing uit. De cyberaanvallen zijn eenvoudig te voorkomen met de juiste maatregelen.

Een voorkomende aanpak bij cyberaanvallen gericht op KNX-installaties, is dat de hackers de zogenaamde BCU-key resetten waardoor de aangesloten KNX-assets niet meer benaderbaar zijn. Hierbij worden door de hackers de fysieke individuele adressen van de apparaten uitgelezen of gescand en daarna opnieuw ingesteld met een nieuwe BCU-sleutel. Vervolgens kan de eigenaar/gebouwbeheerder er niet meer bij. De KNX-aangesloten apparatuur is niet langer aan te sturen, met alle veiligheidsgevolgen van dien. Ook een eigen reset van de gehele KNX-installatie is niet mogelijk, omdat daarvoor de (nieuwe en onbekende) BCU-key noodzakelijk is.

Binnen een KNX-omgeving is er altijd de mogelijkheid om een ​​BCU-key in te stellen voor alle KNX-assets die worden gebruikt in de omgeving. Deze sleutel wordt ingesteld na de eerste download van de applicatie in alle KNX-apparaten die deze functie ondersteunen. Het instellen van de BCU-key voorkomt onbevoegde toegang tot de afzonderlijke KNX-componenten. Tenzij de sleutel achterhaald wordt en wordt gereset in een onbekende sleutel.

Oplossing

De oplossing ligt in het gebruik van een VPN-tunnel (KNX Secure Tunnel) in combinatie met veilige wachtwoorden (conform ETS-standaard). Iedere KNX-installatie die aan het internet verbonden is, zou gebruik moeten maken van een VPN tunnel waardoor het niet langer mogelijk is om direct fysieke adressen van aangesloten KNX-apparatuur uit te lezen. Evenals KNX.org adviseert ABB Smart Building uitsluitend gebruik van de volgende topologieën:

Daarbij is het raadzaam om IP KNX Secure-componenten te gebruiken waarbij door encryptie ongeoorloofd gebruik verder wordt voorkomen.