ISO 27001- und IDA-Zertifizierung: Unterschiede der Identifizierungsdiensteanbieter

17.11.2022 - Lesezeit ca. 4 Minuten

Es gibt unterschiedliche Identifizierungsdienstleister. Sie unterscheiden sich nicht nur in ihren Lösungen, sondern auch darin, ob sie ISO 27001- und IDA-zertifiziert sind, oder nicht. Aber was sagen genau bedeuten diese Zertifizierungen? Was sagen sie über ein Unternehmen aus? Der Informationssicherheitsmanagementbeauftragte der AUTHADA GmbH, Patric Meister, beantwortet diese und noch weitere Fragen rund um die Themen ISO 27001 und IDA im Interview.

Patric, lass uns ganz vorne anfangen: Was ist überhaupt die ISO und speziell die ISO 27001? 

Die ISO ist die Internationale Organisation für Normung. Sie gibt Normen und Standards in unterschiedlichsten Bereichen vor, so bspw. auch für Managementsysteme eines Unternehmens. Diese sind eine Kombination aus Prozessen, Instrumenten und Methoden, um bestimmte Ziele zu erreichen. Dabei durchlaufen diese Managementsysteme immer wieder aufs Neue den sogenannten „PDCA“- („Plan – Do – Check – Act“) Zyklus. Heißt: Allen Maßnahmen liegt die Intention zugrunde, sich stetig zu verbessern. Die ISO 27001 im Besonderen ist die internationale Norm für Informationssicherheit. Sie enthält weitreichende Maßnahmen zum Schutz von Informationen und informationsverarbeitenden Systemen vor allem in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. 

Was ist die IDA-Zertifizierung? 

Die IDA-(Identifizierungsdiensteanbieter) Zertifizierung basiert auf einer technischen Richtline des BSI (Bundesamt für Sicherheit in der Informationstechnik). Die Technische Richtline BSI TR-03128 gilt für Diensteanbieter, welche eine Identifizierungsdienstleistung mittels eID für Dritte erbringen wollen, wie beispielsweise AUTHADA. Die Zertifizierung erfolgt durch das BSI. 

Inwiefern hängen die ISO 27001-Zertifizierung und die IDA-Zertifizierung zusammen? 

Für eine IDA-Zertifizierung wird unter anderem eine erfolgreiche ISO 27001-Zertifizierung vorausgesetzt. Die IDA-Zertifizierung erweitert die technischen und organisatorischen Anforderungen aus der ISO 27001, die speziell an Identifizierungsdiensteanbieter wie AUTHADA gestellt werden. Um die IDA-Zertifizierung zu erhalten, müssen dementsprechend konkretere Anforderungen im Hinblick auf die eigenen (IT-)Systeme und Prozesse erfüllt werden. 

Wie wird sichergestellt, dass die Vorgaben im eigenen Unternehmen in allen Bereichen umgesetzt werden? 

Mitarbeitende aus allen Bereichen des Unternehmens erhalten Schulungen, bei denen grundlegendes Wissen vermittelt und für sicherheitsrelevante Themen sensibilisiert wird. Je nach Aufgabe im Unternehmen erhalten einzelne Mitarbeitende spezifische Schulungen. Weiterhin muss es im Unternehmen eine*n sogenannte*n Managementsystembeauftragte*n geben, die bzw. der hierfür eine entsprechende Qualifikation – bspw. durch Schulungen – nachweisen muss. Diese Person ist zentraler Ansprechpartner für alle Fragen rund um das zertifizierte Informationssicherheitsmanagementsystem. Die Führungskräfte stellen zudem sicher, dass in ihren Bereichen alle Anforderungen umgesetzt werden. 

Wie wird garantiert, dass die Vorgaben auch langfristig eingehalten werden?  

Die ISO 27001- und die IDA-Zertifizierung müssen alle drei Jahre erneuert werden. AUTHADA bspw. hat 2019 erstmalig beide Zertifizierungen erlangt und in diesem Jahr die Rezertifizierung. Für die ISO 27001 werden zudem jährliche externe Überwachungsaudits sowie regelmäßige interne Audits durchgeführt. Nach den drei Jahren steht eine erneute Überprüfung und Zertifizierung durch eine akkreditiere Zertifizierungsstelle für die ISO 27001 und das BSI für die IDA an.  

Vielen Dank Patric, für das Interview! 

Sie möchten mit unserem Newsletter auf dem neusten Stand sein?

Verpassen Sie keine News zu Lösungen, Projekten, dem Unternehmen mehr!


    Wir verwenden Sendinblue als unsere Marketing-Plattform. Wenn Sie das Formular ausfüllen und absenden, bestätigen Sie, dass die von Ihnen angegebenen Informationen an Sendinblue zur Bearbeitung gemäß den Nutzungsbedingungen übertragen werden. Eine Einwilligung ist freiwillig und jederzeit widerrufbar.