Blog

ISO 27001- und IDA-Zertifizierung: Unterschiede der Identifizierungs­dienste­anbieter

17.11.2022 - Lesezeit ca. 4 Minuten

Es gibt unterschiedliche Identifizierungsdienstleister. Sie unterscheiden sich nicht nur in ihren Lösungen, sondern auch darin, ob sie ISO 27001- und IDA-zertifiziert sind, oder nicht. Aber was genau bedeuten diese Zertifizierungen? Was sagen sie über ein Unternehmen aus? Der Informationssicherheits­management­beauftragte der AUTHADA GmbH, Patric Meister, beantwortet diese und noch weitere Fragen rund um die Themen ISO 27001 und IDA im Interview.

Patric, lass uns ganz vorne anfangen: Was ist überhaupt die ISO und speziell die ISO 27001? 

Die ISO ist die Internationale Organisation für Normung. Sie gibt Normen und Standards in unterschiedlichsten Bereichen vor, so bspw. auch für Managementsysteme eines Unternehmens. Diese sind eine Kombination aus Prozessen, Instrumenten und Methoden, um bestimmte Ziele zu erreichen. Dabei durchlaufen diese Managementsysteme immer wieder aufs Neue den sogenannten „PDCA“- („Plan – Do – Check – Act“) Zyklus. Heißt: Allen Maßnahmen liegt die Intention zugrunde, sich stetig zu verbessern. Die ISO 27001 im Besonderen ist die internationale Norm für Informationssicherheit. Sie enthält weitreichende Maßnahmen zum Schutz von Informationen und informationsverarbeitenden Systemen vor allem in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. 

Was ist die IDA-Zertifizierung? 

Die IDA-(Identifizierungsdiensteanbieter) Zertifizierung basiert auf einer technischen Richtline des BSI (Bundesamt für Sicherheit in der Informationstechnik). Die Technische Richtline BSI TR-03128 gilt für Diensteanbieter, welche eine Identifizierungsdienstleistung mittels eID für Dritte erbringen wollen, wie beispielsweise AUTHADA. Die Zertifizierung erfolgt durch das BSI. 

Inwiefern hängen die ISO 27001-Zertifizierung und die IDA-Zertifizierung zusammen? 

Für eine IDA-Zertifizierung wird unter anderem eine erfolgreiche ISO 27001-Zertifizierung vorausgesetzt. Die IDA-Zertifizierung erweitert die technischen und organisatorischen Anforderungen aus der ISO 27001, die speziell an Identifizierungsdiensteanbieter wie AUTHADA gestellt werden. Um die IDA-Zertifizierung zu erhalten, müssen dementsprechend konkretere Anforderungen im Hinblick auf die eigenen (IT-)Systeme und Prozesse erfüllt werden. 

Wie wird sichergestellt, dass die Vorgaben im eigenen Unternehmen in allen Bereichen umgesetzt werden? 

Mitarbeitende aus allen Bereichen des Unternehmens erhalten Schulungen, bei denen grundlegendes Wissen vermittelt und für sicherheitsrelevante Themen sensibilisiert wird. Je nach Aufgabe im Unternehmen erhalten einzelne Mitarbeitende spezifische Schulungen. Weiterhin muss es im Unternehmen eine*n sogenannte*n Managementsystembeauftragte*n geben, die bzw. der hierfür eine entsprechende Qualifikation – bspw. durch Schulungen – nachweisen muss. Diese Person ist zentraler Ansprechpartner für alle Fragen rund um das zertifizierte Informationssicherheits­management­system. Die Führungskräfte stellen zudem sicher, dass in ihren Bereichen alle Anforderungen umgesetzt werden. 

Wie wird garantiert, dass die Vorgaben auch langfristig eingehalten werden?  

Die ISO 27001- und die IDA-Zertifizierung müssen alle drei Jahre erneuert werden. AUTHADA bspw. hat 2019 erstmalig beide Zertifizierungen erlangt und in diesem Jahr die Rezertifizierung. Für die ISO 27001 werden zudem jährliche externe Überwachungsaudits sowie regelmäßige interne Audits durchgeführt. Nach den drei Jahren steht eine erneute Überprüfung und Zertifizierung durch eine akkreditiere Zertifizierungsstelle für die ISO 27001 und das BSI für die IDA an.  

Vielen Dank Patric, für das Interview! 

AUTHADA-Zertifizierungen: ISO 27001 und IDA

Nach der ersten Zertifizierung im Jahr 2019 wurde AUTHDA im 2022 Jahr ISO27001-rezertifiziert. Die IDA-Rezertifizierung erfolgte Anfang 2023. Kundinnen und Kunden aller Branchen können AUTHADA mit der sicheren Identifizierung von Nutzerinnen und Nutzern via eID beauftragen. Die hohen Sicherheitsstandards werden durch die beiden Zertifizierungen untermauert und in regelmäßigen Abständen überprüft. Bei einer Zusammenarbeit mit AUTHADA können sich Unternehmen jederzeit auf Compliance-Konformität verlassen.

Beiträge, die Sie interessieren könnten

  • Vorteile des e-Rezepts

    Das e-Rezept ist zum 1. Januar 2024 verpflichtend in Deutschland eingeführt worden. Das bedeutet, gerade zu Beginn, natürlich eine große Umstellung, nachdem die Papierrezepte jahrzehntelang im Einsatz waren. Wir klären über die Vorteile für die im Prozess eingebundenen Personen auf.

  • PIN-Rücksetzdienst eingestellt

    Mit dem PIN-Rücksetzdienst des Bundesministeriums des Innern und für Heimat konnten Inhabende eines deutschen Personalausweises oder einer eID-Karte für Unionsbürgerinnen und Unionsbürger einen sogenannten PIN-Rücksetzbrief bestellen. Mit diesem konnten Bürger*innen ihren Ausweis auch ohne PUK-Nummer entsperren, eine neue Ausweis-PIN vergeben und die Online-Ausweisfunktion (eID-Funktion) aktivieren.

  • Digitalisierung: Beispiele in Unternehmen

    „In welchem Bereich im Unternehmen am besten mit der Digitalisierung beginnen?“ Diese Frage lässt sich nicht pauschal beantworten und sollte abhängig von Branche und Zielgruppe eruiert werden. Fest steht aber: Langfristig lohnen sich digitalisierte Prozesse für jedes Unternehmen. Wir haben uns das Digitalisierungspotenzial in Unternehmen für vier Bereiche angeschaut.

Sie möchten mit unserem Newsletter auf dem neusten Stand sein?

Verpassen Sie keine News zu Lösungen, Projekten, dem Unternehmen mehr!


    Wir verwenden Sendinblue als unsere Marketing-Plattform. Wenn Sie das Formular ausfüllen und absenden, bestätigen Sie, dass die von Ihnen angegebenen Informationen an Sendinblue zur Bearbeitung übertragen werden gemäß den Nutzungsbedingungen Eine Einwilligung ist freiwillig und jederzeit widerrufbar.