KNX Secure bei Reparaturen

Warum Sie als Anlagenbetreiber heute mehr bekommen müssen als „es funktioniert wieder“

Dieser Beitrag soll aufklären. Es geht nicht um Panik, sondern darum, was heute Stand der Technik ist – und warum Sie als Betreiber einer KNX-Anlage ein Recht auf gewisse Unterlagen haben.

Die Ausgangssituation, wie sie in der Praxis passiert

Ihre KNX-Anlage läuft seit Jahren.
Ein Gerät geht kaputt (z. B. ein Schaltaktor, Heizungsaktor, Dimmer).
Ein Elektriker tauscht dieses Gerät gegen ein aktuelles Modell.

Früher war die Sache damit erledigt:
Adressieren, parametrieren, fertig.

Heute ist es nicht mehr ganz so einfach.
Warum? Weil neue Geräte fast immer KNX Secure-fähig sind.

Das heißt: Die Geräte unterstützen Verschlüsselung und Zugriffsschutz. Das ist moderner Stand der Technik.

„Aber meine Anlage ist doch gar nicht Secure!“

Das stimmt oft am Anfang.

Wichtig ist zu verstehen:

Wenn nur ein Gerät getauscht wird, läuft die gesamte Anlage meist noch unverschlüsselt weiter. Das ist ganz normal bei Bestandsanlagen.
ABER: Beim nächsten Tausch – vielleicht ein paar Monate später – kann genau ein Teilbereich (z. B. die Lichtsteuerung in einem Raum oder die Beschattung einer Fassade) plötzlich mit KNX Secure laufen.

Das passiert Schritt für Schritt:

Heute erster Tausch → noch kein echter Secure-Betrieb.
Morgen zweiter Tausch → eine bestimmte Gruppenadresse oder Funktion wird jetzt verschlüsselt betrieben.
Und ab diesem Moment kommt niemand mehr ohne Berechtigung hinein.

Mit anderen Worten:
KNX Secure kommt nicht als „Großumbau über Nacht“. Es kommt sanft, bei jeder Reparatur ein Stückchen mehr.

Und genau da beginnt die Verantwortung.

Was ist KNX Secure – in einfacher Sprache?

KNX Secure schützt die Anlage vor unbefugtem Zugriff von außen.
Das heißt konkret:

Nicht jeder, der Zugang zum Bus hat, kann einfach etwas umprogrammieren.
Telegramme können verschlüsselt übertragen werden.
Änderungen sind nur noch mit Berechtigung möglich.

Damit das funktioniert, hat jedes moderne KNX Secure-fähige Gerät einen eigenen Inbetriebnahme-Schlüssel (FDSK / Device Setup Code).

Dieser Inbetriebnahme-Schlüssel ist so etwas wie der „Ausweis“ des Geräts.
Er sagt: „Ich bin echt, ich gehöre zu diesem Projekt, und nur wer mich kennt, darf mich später ändern.“

Und jetzt kommt der entscheidende Punkt:

👉 Dieser Inbetriebnahme-Schlüssel MUSS bei der Inbetriebnahme in die ETS eingelesen werden.

Das ist nicht optional, das ist technischer Standard.

Die ETS (Engineering Tool Software) verwaltet dann:

das Gerät,
seine Parametrierung,
seine Adresse im Bus,
und den zugehörigen Secure-Schlüssel.

Ohne das geht später kein sauberer Service mehr, sobald dieser Teilbereich Secure läuft.

Warum wird die ETS-Projektdatei plötzlich so wichtig?

Früher war das ETS-Projekt einfach „die Programmierung der Anlage“.

Heute ist die ETS-Projektdatei viel mehr.
Sobald ein KNX Secure-fähiges Gerät eingebunden wurde und der Inbetriebnahme-Schlüssel eingelesen wurde, enthält die Projektdatei sicherheitsrelevante Informationen. Nämlich: Wer darf dieses Gerät überhaupt anfassen.

Das bedeutet:

Ohne das aktuelle ETS-Projekt (mit eingelesenem Inbetriebnahme-Schlüssel) kann in Zukunft niemand mehr seriös einen Secure-Bereich warten oder ändern.
Szenen ändern? Nicht möglich.
Zeitsteuerungen optimieren? Nicht möglich.
Ersatzgerät parametrieren? Nicht möglich.

Das heißt ganz praktisch:
Wenn die aktuelle ETS-Datei nicht beim Betreiber liegt, ist der Betreiber abhängig.
Dann geht im Störungsfall vielleicht gar nichts mehr – außer Sie erwischen genau wieder dieselbe Firma.

Das ist in der heutigen Zeit nicht mehr akzeptabel.

Was muss nach einem einfachen Gerätetausch übergeben werden?

Nach einem Tausch – auch wenn „nur ein Aktor“ erneuert wurde – sind drei Dinge Pflicht, wenn man nach Stand der Technik arbeitet:

Aktueller ETS-Projektstand
Die Firma muss die ETS-Projektdatei nach der Inbetriebnahme aktualisieren.
In dieser Datei muss das neue Gerät bereits korrekt eingetragen sein.
Ganz wichtig: inklusive des eingelesenen Inbetriebnahme-Schlüssels.
Sicherung des Inbetriebnahme-Schlüssels (Code / QR-Code)
Dieser Code steht normalerweise am Gerät oder auf einem Beipackzettel.
Er wurde in die ETS übernommen – aber Sie sollten ihn trotzdem zusätzlich bekommen (z. B. ausgedruckt oder schriftlich dokumentiert).
Das ist Ihre Absicherung, falls die Projektdatei jemals verloren geht.
Kurze Übergabedoku für Sie als Betreiber
Darin sollte stehen:
- Welches Gerät wurde getauscht?
- Welche Funktion übernimmt es (Licht EG, Beschattung Kinderzimmer, Heizung Bad, etc.)?
- Wurde an dieser Stelle bereits KNX Secure aktiv genutzt, oder ist es „nur vorbereitet“?

Mit diesen drei Punkten kann in Zukunft jede qualifizierte Fachfirma wieder an Ihrer Anlage arbeiten – ohne Improvisation und ohne „Aufbrechen“ von Sicherheit.

Warum das nicht nur Technik ist, sondern auch Recht

Ab hier kommen wir zum Teil, den viele gar nicht hören wollen.

In Österreich schreibt § 8 BauKG (Bauarbeitenkoordinationsgesetz) vor, dass der Bauherr dafür sorgen muss, dass eine „Unterlage für spätere Arbeiten“ geführt wird. Diese Unterlage muss die Informationen enthalten, die für spätere Nutzung, Wartung, Instandhaltung und Umbauarbeiten wichtig sind – damit diese Arbeiten sicher und geordnet durchgeführt werden können. jusline.at

Kurz und knapp:
Wenn heute an einem technischen System im Gebäude gearbeitet wird, müssen die relevanten Informationen so dokumentiert und weitergegeben werden, dass spätere Arbeiten möglich, zugänglich und sicher sind – ohne Blindflug.

In Deutschland sagt die RAB 32 (Regel zum Arbeitsschutz auf Baustellen Nr. 32) in die gleiche Richtung:
Der Bauherr bzw. der Koordinator muss eine Unterlage zusammenstellen, die alle sicherheits- und gesundheitsrelevanten Angaben enthält, damit spätere Arbeiten wie Wartung, Instandhaltung oder Änderungen an der Anlage sicher durchgeführt werden können. Diese Unterlage ist dem Betreiber zu übergeben und aktuell zu halten. baua.de+1

Was heißt das für KNX?

Die Dokumentation des neu eingebauten KNX-Geräts,
der eingelesene Inbetriebnahme-Schlüssel,
und die aktualisierte ETS-Projektdatei

sind Teil genau dieser „Unterlage für spätere Arbeiten“.

Das ist nicht „Luxus“. Das ist Pflicht im Sinn von: spätere Wartung darf nicht unsicher oder unmöglich sein.

Wenn eine Firma sagt „Der Kunde braucht das eh nicht“, dann heißt das übersetzt:

„Der Kunde darf seine Anlage später nicht mehr ordentlich warten lassen.“ und
„Ich verhindere, dass andere sicher an dieser Anlage arbeiten können.“

Das kann – je nach Fall – als Verletzung dieser Pflichten gewertet werden. In Österreich sind Verstöße gegen Pflichten nach dem BauKG verwaltungsstrafrechtlich sanktionierbar (Geldstrafe). jusline.at+2ris.bka.gv.at+2
In Deutschland ist die RAB 32 eine Konkretisierung der Baustellenverordnung (BaustellV). Sie legt fest, was in der Unterlage für spätere Arbeiten stehen muss; fehlende oder verweigerte Unterlagen können als Verstoß gegen Arbeitsschutzpflichten des Bauherrn bzw. des Koordinators bewertet werden. baua.de+2umwelt-online.de+2

Kurz gesagt:
Wer dem Betreiber die sicherheitsrelevanten Informationen vorenthält, spielt nicht nur technisch mit dem Feuer, sondern bewegt sich rechtlich sehr unangenehm in Richtung Verwaltungsübertretung bzw. Arbeitsschutzproblem mit Geldstrafrisiko.

Und jetzt in Klartext für Betreiber

Wenn bei Ihnen ein KNX-Gerät getauscht wird, sagen Sie am Ende ganz ruhig:

„Bitte geben Sie mir die aktuelle ETS-Projektdatei nach der Inbetriebnahme.“
„Bitte bestätigen Sie mir, dass der Inbetriebnahme-Schlüssel des neuen Geräts in dieses ETS-Projekt eingelesen wurde.“
„Bitte geben Sie mir diesen Schlüssel zusätzlich als Kopie für meine Unterlagen.“
„Bitte schreiben Sie kurz auf, welches Gerät wo getauscht wurde und wofür es zuständig ist.“

Das ist weder unhöflich noch Misstrauen.
Das ist Ihr gutes Recht – und es schützt Sie.

Zusammengefasst

Beim ersten Gerätetausch ist die Anlage meistens noch nicht wirklich „Secure“.
Beim zweiten, dritten Tausch kann ein Teilbereich (eine Gruppenadresse/Funktion) plötzlich mit KNX Secure laufen – ab dann kommt man ohne Berechtigung nicht mehr hinein.
Der Inbetriebnahme-Schlüssel des neuen Geräts muss bei der Inbetriebnahme in die ETS eingelesen werden.
Die ETS-Projektdatei (mit diesem Schlüssel) ist ab dann sicherheitsrelevant und gehört dem Betreiber.
Die Übergabe dieser Unterlagen ist Stand der Technik.
Und: In Österreich (§ 8 BauKG) und in Deutschland (RAB 32) ist dokumentierte Unterlage für spätere Arbeiten verpflichtend vorgesehen, damit spätere Wartung sicher und möglich bleibt – und nicht blockiert wird. jusline.at+2baua.de+2

Oder ganz einfach:
Technik darf sicher sein.
Aber sie darf den Eigentümer nicht aussperren.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.