Aktuelle Information TI-Verschlüsselungsalgorithmen: Umstellung von RSA auf ECC

Die gematik hat heute folgendes Update zur Umstellung der Verschlüsselungsalgorithmen an die Gesellschafter gegeben:

Die Umstellung der Verschlüsselungsalgorithmen RSA 2048 auf ECC 256 für die Telematikinfrastruktur (TI) läuft aktuell auf Hochtouren. Die gematik ergreift dafür alle erforderlichen Maßnahmen. Dazu gehört, dass die Umstellung mit klar definierten Fristen, verbindlichen Vorgaben und bedarfsabhängiger Eskalationsmechanismen vorangetrieben wird. Begleitend dazu wurden umfassende Leitfäden veröffentlicht, Testmöglichkeiten bereitgestellt und fortlaufend zu den aktuellen Entwicklungen kommuniziert, um alle Beteiligten zielgerichtet zu unterstützen. Ihr Engagement hat dazu beigetragen, dass die Informationen breitflächig geteilt worden sind. Dafür möchten wir uns an dieser Stelle bei Ihnen bedanken.  

Zahlreiche Leistungserbringende haben bereits verantwortungsvoll gehandelt und einen Tausch betroffener Komponenten beauftragt bzw. durchgeführt. Dennoch sind insbesondere die Tauschprozesse bei den Heilberufsausweisen (HBA) – zu einem bedeutenden Anteil unabhängig vom Engagement der Leistungserbringenden – noch nicht auf dem Stand, den es für einen reibungslosen Wechsel zum Jahresende 2025 brauchen würde. Aktuell geht die gematik von etwa mehr als 30.000 HBA aus, die derzeit noch getauscht werden müssen.  

Vor dem Hintergrund der hohen Anzahl noch zu tauschender HBA haben sich die gematik und ihre Gesellschafter für eine Übergangslösung eingesetzt, um die Gesundheitsversorgung in Deutschland ohne Beeinträchtigungen zum 1. Januar 2026 gewährleisten zu können. Infolgedessen konnte die gematik im intensiven Austausch mit der für den Bereich der Qualifizierten Elektronischen Signatur (QES) zuständigen Bundesnetzagentur und der eIDAS-Zertifizierungsstelle SRC eine Einigung für eine Übergangslösung für Heilberufsausweise erzielen. 

Das bedeutet im Einzelnen: 

• HBA, die Zertifikate mit RSA-Verschlüsselung enthalten, können noch bis zum 30. Juni 2026 von betroffenen Leistungserbringenden genutzt werden. Danach können nur noch HBA mit ECC-basierten Zertifikaten eingesetzt werden, um beispielsweise E-Rezepte zu signieren.
• Ab dem 1. Januar 2026 dürfen die Kartenanbieter ausschließlich ECC-fähige Karten 
  produzieren und ausgeben, die keine RSA-Zertifikate mehr enthalten. 

Die gematik wird den zuständigen Produktherstellern und Anbietern zeitnah signalisieren, dass die weitere Nutzung von RSA bis zum 30. Juni 2026 zulässig ist und die Ausweise nicht gesperrt werden dürfen. 

Der Tausch des HBA sollte weiterhin so schnell wie möglich vollzogen werden. Diese Regelung ist ausschließlich als Übergangszeitraum vorgesehen und soll dafür genutzt werden, dass der Wechsel auf die sichere Verschlüsselungstechnologie reibungslos erfolgt.

Umstellung der Konnektoren bis zum Jahresende zwingend erforderlich 

Ein Tausch aller betroffenen Komponenten zum Jahresende 2025 ist aus Sicht der gematik im Sinne eines sicheren TI-Betriebs weiterhin höchst empfehlenswert und auch erforderlich. Die Umstellung von aktuell noch knapp 10.000 Konnektoren mit RSA-Verschlüsselung – die sogenannten „RSA-only“-Konnektoren – ist zwingend zum Jahresende notwendig, da eine Verlängerung dieser Zertifikate technisch ausgeschlossen ist. Die gematik weist daher ausdrücklich darauf hin, dass die verbleibende Zeit bis zum Jahresende genutzt werden muss, um die Umstellung der Konnektoren anzustoßen. Als Alternative zum Hardware-Konnektor steht das TI-Gateway zur Verfügung. 

Regelungen für den nicht-qualifizierten Bereich (nonQES):  

Die Nutzung von RSA-Zertifikaten wird für den nicht-qualifizierten Bereich ebenfalls übergangsweise bis zum 30. Juni 2026 zulässig sein. Dies gilt für Institutionskarten (SMC-B-Karte). Bis zu diesem Zeitpunkt wird die gematik keine Sperrung der Zertifikate im nonQES-Bereich veranlassen und diese Informationen mit allen betroffenen TI-Produktherstellern und -anbietern teilen. 

Ebenfalls zum nonQES-Bereich gehören Karten für eHealth-Kartenterminals, so genannte gSMC-KT. gSMC-KT mit RSA-Verschlüsselung dürfen noch bis zum 31. Dezember 2026 genutzt werden, da in diesem Bereich der Austausch der Karten nur eingeschränkt steuerbar ist. 

Damit die höchsten Sicherheitsstandards für die TI eingehalten werden können, wird die gematik weiterhin die Empfehlung ausgeben, alle betroffenen Komponenten umgehend zu tauschen bzw. zu aktualisieren. Wie bereits beschrieben, ist eine Umstellung bei den sogenannten „RSA-only“-Konnektoren zum Jahresende zwingend erforderlich.