Möchten Sie als Identitätsprovider eine elektronische Identifizierungslösung anbieten, die auch auf europäischer Ebene anerkannt wird, müssen Sie die erforderlichen rechtlichen Rahmenbedingungen der eIDAS-Verordnung erfüllen und ihr Identifikationssystem entsprechend notifizieren lassen. Dabei sind die drei Sicherheitsniveaus niedrig, substanziell und hoch von entscheidender Bedeutung. Sie drücken das Maß an Vertrauen bzgl. der ausgewiesenen Identität der dahinterliegenden Personen aus und gehen einher mit zunehmenden Sicherheitsanforderungen, die von Ihnen bei der Identifizierung, Authentifizierung und Verwaltung der Identitäten einzuhalten sind.
Im eID-Bereich können wir Sie wie folgt unterstützen: Im Workshopformat gehen wir mit Ihnen die relevanten Prüfanforderungen durch, beantworten Ihre individuellen Fragen und bereiten Sie optimal auf eine bevorstehende Prüfung und Notifizierung vor. Im Rahmen einer GAP-Analyse bewerten wir das aktuell erreichte Sicherheitsniveau und identifizieren Schwachstellen. Nach einer Dokumentenprüfung und einem Audit vor Ort bescheinigen wir Ihnen das erreichte Sicherheitsniveau. Darüber hinaus geben unsere Trainings Ihnen erste Einblicke in die Welt von eIDAS & ETSI.
Unser Angebot richtet sich an eine Vielzahl von Organisationen, die sich mit dem sicheren, rechtsverbindlichen Vertrieb und Nutzung elektronischer Identifizierungen beschäftigen:
So unterstützen wir Sie ganzheitlich:
Training & Qualifizierung
Konzeption & Vorbereitung
Prüfung und Konformitätsbewertung
Standards nach denen wir prüfen:
Zertifizierung & Re-Zertifizierung
Elektronische Identifizierungssysteme gemäß eIDAS verfolgen das Ziel, die Identifizierung für grenzüberschreitende Abwicklung von Verwaltungsdienstleistungen auf europäischer Ebene erheblich zu vereinfachen. Auch Unternehmen profitieren von diesen eID-Systemen, da diese im Unternehmensumfeld eingesetzt werden können. Dies spart Zeit und Aufwand und erleichtert u.a. die Kommunikation mit den Kunden. In zahlreichen Mitgliedsstaaten wurden bereits elektronische Identifizierungssysteme eingeführt (wie beispielsweise in Deutschland die Online-Ausweisfunktion des Personalausweises).
Die eIDAS Verordnung sieht eine Harmonisierung der verschiedenen nationalen eID-Systeme auf (sicherheits-) technischer Ebene vor. Die Verordnung hat das Ziel, eine Interoperabilität zwischen den Systemen herzustellen. Dies wird durch ein freiwilliges Notifizierungsverfahren der Europäischen Kommission gewährleistet, in dem Mitgliedsstaaten ihre nationalen Systeme notifizieren lassen können. Dabei regelt die eIDAS Verordnung die rechtlichen Rahmenbedingungen für die gegenseitige Anerkennung. Sie unterscheidet die drei Sicherheitsniveaus (Level of Assurance): „niedrig“, „substanziell“ und „hoch“.
Notifizierte eID Systeme werden grenzüberschreitend anerkannt und ermöglichen den Zugang zu nationalen Verwaltungsdienstleistungen sowohl für Bürger des Mitgliedsstaats als auch für EU-Bürger anderer Mitgliedsstaaten. Dazu muss das eingesetzte notifizierte eID-System ein gleiches oder höheres Sicherheitsniveau als das für die Verwaltungsdienstleistung geforderte aufweisen.
Diese drei Stufen beschreiben das Vertrauen in die Richtigkeit der Identifikation einer Person im digitalen Raum.
Das Sicherheitsniveau richtet sich nach dem Schutzbedarf der jeweiligen Anwendung. Je sensibler die Daten oder rechtlichen Auswirkungen eines Vorgangs sind, desto höher sollte das Sicherheitsniveau sein. Die Auswahl erfolgt unter Berücksichtigung von Risiken, gesetzlichen Anforderungen und Nutzergruppen. Eine GAP-Analyse kann helfen, das angestrebte Niveau zu validieren und gezielt Maßnahmen zur Zielerreichung zu definieren.
Je nach Level of Assurance steigen die Anforderungen an technische, organisatorische und rechtliche Maßnahmen:
Die Identifikation bezieht sich auf die erstmalige Feststellung der Identität einer Person, etwa durch Ausweisdokumente. Die Authentifizierung ist die wiederholte Überprüfung dieser Identität, etwa durch Passwörter, biometrische Merkmale oder Zwei-Faktor-Verfahren.
Daten, die zur elektronischen Identifizierung verwendet werden, sind überwiegend personenbezogen und unterliegen deshalb strengen Datenschutzregelungen gemäß DSGVO und eIDAS.
Die Dauer hängt stark von der Vorbereitung des Anbieters ab – mit Voranalysen, GAP-Analysen und der Dokumentation sind Zeiträume zwischen 3 und 9 Monaten üblich.
Zertifizierungsstellen wie TÜV NORD führen auf Basis der eIDAS-Vorgaben und relevanter Normen wie ETSI oder BSI die Prüfungen durch.