Hui der Artikel macht mehr Angst als er Sinn stiftet.

Deren Test haben die in einem Büro gemacht also hatten die einfachen physischen Zugriff auf die grüne Leitung. Dann schreiben die immer von den unsicheren Schnittstellen Seriell / USB / Ethernet. Ja die sind unsicher aber bei weitem nicht jedes Gerät hat so eine. Und wenn der Angreifer erstmal am Schaltschrank ist, wo die Schnittstellen verbaut sind, mach ich mir über offene Türen und Fenster keine Gedanken mehr, weil dann ist er drinnen. Dann bauen die sich ihre eigene Schnittstelle, OK brauchen dann aber wieder erstmal Zugriff auf die grüne Leitung.
Dann Fenster und Türen und Alarmanlage, tja wer das direkt mit dem KNX steuerbar macht selbst Schuld und dann womöglich noch via Außenlinie. Das hat da nichts dran zu suchen. Eine Alarmanlage soll passiv konsumiert werden aber besser nicht aktiv gefüttert werden mit KNX.
Fenstermotoren, kann man an KNX machen, nur sollte eben die grüne Leitung nicht in der Nähe sein und die Sensorik + Aktorik nicht auf der Außenlinie.

Dann bleibt noch der Angriffsvektor Fernsteuerung via Internet. Ach ohei da sind wir ja dann wieder in der IP-Welt und nicht auf der grünen Leitung. Wer seine Visu nicht weis abzusichern sollte besser keine haben, Egal ob mit Grundriss und Wetterdatenbezug aus dem Internet oder Fritzbox Telefonliste, Anzeige der Bahnverbindungen / Verkehrslage für den Arbeitsweg.

Der Zugriff per leichtem physischem Kontakt mit der grünen Leitung im Außenbereich ist bei Garage / Schuppen / BWM denkbar und möglich. Um dazu den Schaden am wirklich wesentlichen Bereich (Haus) zu verhindern eben die neuesten MDT LK + Sicherheitsmodul in der HV verbaut und gut ist.
Ansonsten halt alle BWM / Wetterstationen die wirklich die grüne Leitung quasi zugänglich haben auf eine eigene Linie, quasi Sicherheitsstufe 0. Garage Schuppen (potentiell mechanisch verschlossen) bekommen auch eine eigene Linie und als dritte Stufe eben den Innenbereich hinter der hoffentlich sicheren Haustüre und den sicheren Fenstern.
Von der jeweils höheren Sicherheitsstufe nach unten steuerbar zu sein ist kein Problem nur anders rum eben nicht machen.

Schraubt da einer am BWM macht er halt bissl Hoflicht an/aus >>> unkritisch
Schafft er es noch in die Garage / Schuppen naja beregnet er den Garten, lässt ihn leuchten, fährt Garagentor hoch/runter >>> schon unangenehm, kann man aber durch Auswertung im Innenbereich durch elektrische Abschaltung stoppen, sofern ungewöhnliche Muster der Telegramme auftauchen. Vorraussetzung aber auch hier Schuppen + Garage ist bereist aufgebrochen, Schaden entsteht dann wohl eher dadurch, dass ggf teure Geräte und Fahrrad gestohlen werden statt der Spielerei.

Hast Du da irgendwo IP im Zugriff bist da deutlich unsicherer Meine Meinung.
WLAN im Garten / IP-Cams am Haus in leicht erreichbaren Höhen.

Ansonsten ja wer ohne sinnvolle Planung eine KNX-Anlage bis in den Außenbereich erweitert und ungeschützt ne Visu ins Internet verbindet bietet viele Angriffsmöglichkeiten.

Angst wollte ich keine machen, wollte es aber auch nicht unerwähnt lassen

• WLAN: das hält sich nicht so richtig an die räumlichen Grenzen. Ich kenne Oma Fritzi nicht, sehe aber "Oma Fritzis WLAN" (ohne Witz ...) mit gutem Empfang. WLAN Absicherung ist ohnehin wichtig, notwendig und bitte ernst zu nehmen.
• LAN: Hat im Außenbereich nichts zu suchen, geht aber teilweise nicht anders. Die Kameras werden POE haben, proprietäre Inselsysteme für Sicherheitsbereiche sind für ein EFH schlicht zu teuer. Hier soll die Sicherheit durch physikalische Netztrennung hergestellt werden. Das macht es dann schon mal einfacher. Ferner überlege ich mir noch einen Mikroschalter oder Reed Kontakt in die Kameras einzubauen um das Switch zu killen, sollte jemand eine Kamera abbauen. Gleiche spiel bei einer IP Türstation am Briefkasten.
• KNX: Hat man zwangsweise im Außenbereich. Die Fassade wird vom Hauptverteiler aus gesteuert, weil fest am Haus dran. Ebenso die Terrasse. Alles anders, wie Hof, Zaun, Tor, Garten, Garage, werden zukünftig von der UV Garage gesteuert werden. Über das Leerrohr gehen dann mindestens zwei Busse: KNX und RS485 (eKey Keypad). Mir fällt kein Anwendungsfall spontan ein, aber ich kann mir vorstellen das Ethernet durchaus auch sinn macht. Je nach weiterer Nutzung der Garage.

Das Garagen-LAN lässt sich physikalisch ebenfalls trennen. Hat auch den Charme das ich nur eine Leitung da hin brauche. Hat den Nachteil, dass ich in der Garage ein Switch brauche. Und mich mit dem Thema "Router" seit dem Studium wieder befassen muss.

Gut, also kein Router weil es nur den einen mit Safety gibt und dessen Verfügbarkeit und Preis ist unbekannt. Dann ist mein Backbone nicht IP sondern TP und ich habe neben der Hauptlinie später, wenn ich an die Garage gehe, noch mindestens eine Außenlinie.

warum sollte der Backbone = Bereich nicht IP sein? Hauptlinie würde ich immer in TP machen, da derzeit noch keine Option vorhanden / sichtbar ist um eine KNX-RF Linie von IP aus aufzubauen, die geht nur unterhalb TP und damit einer TP-Hauptlinie.
Wenn Du irgendwann mal was mit Ethernet in der Garage hast packe da ne Cat oder Glasfaserleitung rüber, KNX würde ich aber bei meinen Fähigkeiten im Ist und Interesse in der Folge up to date zu bleiben in TP machen. Ist deutlich einleuchtender und sicherer mit der verfügbaren HW (LK und Safe-Modul).

IP Backbone brauche ich ja nur wenn ich IP Geräte über KNX ansprechen möchte, richtig? Die Aussage "kein KNX IP Router, keine IP Backbone" ist zu kurz gegriffen, weil auch Geräte wie Edomi da reinfallen, richtig? Dann hätte ich doch IP Backbone. Nur die Garage wäre eben als TP Außenlinie angebunden.

KNX/IP-Geräte, richtig (wie z.B. Gira HS, Gira G1 etc).

Edomi braucht keinen "IP-Backbone", da es per Tunneling angebunden wird (KNX/IP-Schnittstelle ausreichend).