Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Do we need IEC 62443 certification, or just alignment?

Most enterprises target IEC 62443 alignment with documented design and operational practices — not formal certification. Formal certification (typically to 62443-4-1 for products or 62443-2-1 for processes) is required only in specific regulated contexts (some critical infrastructure, some defence). Alignment is sufficient for the vast majority of industrial deployments.

Which Security Level should we target?

SL 2 for most industrial RTLS, SL 3 for the management and integration layers and for deployments in critical infrastructure or with elevated threat profiles. We help you scope the appropriate level per zone at gate 1, jointly with your CISO.

How does this affect vendor selection?

Significantly. Vendors who can't articulate their Security Development Lifecycle (typically 62443-4-1 capable) drop out of the shortlist. Most enterprise RTLS suppliers are now there, but verification is non-trivial — we run it during vendor evaluation.

Can we retrofit IEC 62443 alignment to an existing deployment?

Yes, but more expensively than designing it in. Retrofit usually means re-segmenting the network, re-keying device certificates, hardening platform configurations and rebuilding incident-response procedures. We do this work as part of Programmrettung engagements.

COMPLIANCE · OT-SICHERHEIT

IEC 62443 & RTLS — OT Cybersicherheit.

RTLS ist Betriebstechnologie. Es läuft parallel zu deinen SPS, SCADA, MES und Historian, und sein Kompromiss kann sich in die Produktion auswirken.

IEC 62443 ist das Rahmenwerk, das die meisten Enterprise-OT-Teams zur Scope-Definition und Sicherung verwenden. Dies ist die Zusammenfassung auf Operator-Ebene.

Buchen Sie einen 30-minütigen Scoping-Termin

Das Purdue-Modell und wo RTLS lebt

IEC 62443 übernimmt die Purdue Enterprise Reference Architecture: ein geschichtetes Modell, bei dem Level 0 Sensoren/Aktuatoren ist, Level 1 die Grundsteuerung, Level 2 Supervisory (HMI), Level 3 Fertigungsprozesse (MES) und Level 4–5 Enterprise IT.

RTLS-Komponenten existieren auf mehreren Ebenen: Anker und Gateways bei L1-L2, Location-Intelligence-Plattform bei L3, Analytik und Reporting bei L4. Die Architektur muss die Leitungen zwischen diesen Zonen respektieren.

Sicherheitsstufen — SL 1 bis SL 4

IEC 62443 definiert vier Sicherheitsstufen nach Angreiferfähigkeit: SL 1 gegen gelegentlichen Missbrauch, SL 2 gegen absichtliche, unausgefeilte Angriffe, SL 3 gegen gezielte gezielte Angriffe, SL 4 gegen ausgefeilte Angriffe mit umfangreichen Ressourcen.

Die meisten industriellen RTLS-Implementierungen richten sich auf SL 2 plattformweit, während SL 3 für die Management- und Integrationsschichten zuständig ist. Um diese zu erreichen, sind sowohl die Fähigkeit des Anbieters als auch die Bereitstellungsplanung erforderlich.

Zonen, Leitungen und was sie überquert

Jede IEC 62443-Architektur definiert Zonen (logische Gruppierungen von Geräten mit gemeinsamen Sicherheitsanforderungen) und Leitungen (die kontrollierten Kommunikationswege zwischen ihnen).

Für RTLS bedeutet das typischerweise: eine dedizierte RTLS-Ankerzone bei L1-L2, eine Analysezone bei L3 und explizite, überwachte Leitungen zu MES, WMS und Historiker.

Zonenübergreifender Verkehr verwendet authentifizierte, verschlüsselte Protokolle mit strikter Zulassliste – keine flachen Netzwerke.

Patch-Management, sichere Bereitstellung und der Lebenszyklus

IEC 62443 erfordert kontinuierliche Sicherheit während des gesamten Bereitstellungslebenszyklus, nicht nur bei der Übergabe.

Das bedeutet dokumentierte Patch-Management-Prozesse, standardmäßig sichere Anbietereinstellungen, periodische Schwachstellenbewertungen und Vorfall-Reaktions-Playbooks, die speziell für OT gelten (wobei "Stecker ziehen" selten eine akzeptable Reaktion ist).

Diese sind als Teil der Stufen 1 und 3 der TRACIO-Programmmethode.

FAQ

Häufig gestellte Fragen

Brauchen wir eine IEC 62443-Zertifizierung oder nur eine Ausrichtung?

Die meisten Unternehmen streben die Ausrichtung IEC 62443 an dokumentierte Design- und Betriebspraktiken an – nicht an formale Zertifizierungen an.

Eine formale Zertifizierung (typischerweise für Produkte 62443-4-1 oder 62443-2-1 für Prozesse) ist nur in bestimmten regulierten Kontexten erforderlich (einige kritische Infrastrukturen, einige Verteidigungsbereiche).

Die Ausrichtung ist für die überwiegende Mehrheit der industriellen Einsätze ausreichend.

Welche Sicherheitsstufe sollten wir anvisieren?

SL 2 für die meisten industriellen RTLS, SL 3 für die Management- und Integrationsschichten sowie für Deployments in kritischer Infrastruktur oder mit erhöhten Bedrohungsprofilen. Wir helfen Ihnen, gemeinsam mit Ihrem CISO die passende Ebene pro Zone am Tor 1 abzugrenzen.

Wie wirkt sich das auf die Auswahl der Anbieter aus?

Erheblich. Anbieter, die ihren Security Development Lifecycle (typischerweise 62443-4-1-fähig) nicht artikulieren können, fallen aus der Shortlist aus.

Die meisten unternehmensweiten RTLS-Lieferanten sind inzwischen vorhanden, aber die Verifizierung ist nicht trivial – wir führen sie während der Lieferantenbewertung durch.

Können wir die IEC 62443-Ausrichtung an eine bestehende Implementierung nachrüsten?

Ja, aber teurer als das Einbauen. Nachrüstung bedeutet in der Regel das Neusegmentieren des Netzwerks, das Neuschlüsseln von Gerätezertifikaten, die Härtung der Plattformkonfigurationen und die Neugestaltung von Incident-Response-Verfahren.

Wir machen diese Arbeit als Teil von Programmrettung Verlobungen.

Zuletzt aktualisiert: 26. Mai 2026

IEC 62443 &amp; RTLS — OT Cybersicherheit.