
Werden Sie jetzt aktiv
Neues Verschlüsselungsverfahren für die Telematikinfrastruktur
Die Telematikinfrastruktur (TI) stellt ihre Kryptografie von RSA (Rivest-Shamir-Adleman) auf ECC (Elliptic Curve Cryptography) um. Die Migration stellt einen bedeutenden Fortschritt in der Weiterentwicklung unserer Systeme dar, mit dem Ziel, die Sicherheit und Effizienz zu verbessern. ECC ist eine moderne und leistungsstarke Verschlüsselungsmethode, die nicht nur ein höheres Sicherheitsniveau bietet, sondern auch ressourcenschonender ist. Die Umstellung erfolgt auf Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Europäischen eIDAS, da RSA-2048 nur noch befristet bis Ende 2025 zulässig ist.
In Leistungserbringerinstitutionen können dabei Komponenten der TI betroffen sein. Bitte prüfen Sie zeitnah, ob und welche Komponenten von der Umstellung bei Ihnen betroffen sind und sorgen Sie dafür, dass diese rechtzeitig auf die neue, leistungsfähigere ECC-Verschlüsselung umgestellt werden. Nur so kann ein reibungsloser und sicherer Betrieb auch über 2025 hinaus sichergestellt werden.
Die folgenden fünf Komponenten sollten von Ihrem zuständigen Dienstleister vor Ort zeitnah überprüft werden:
Ob Ihr HBA ECC-fähig ist, erfahren Sie bei Ihrem Anbieter. Bitte wenden Sie sich direkt dorthin.
Zusätzlich können Sie sich im Kartenportal Ihres Anbieters anmelden und dort die Zertifikatsinformationen Ihrer Karte prüfen, um die ECC-Fähigkeit zu verifizieren. Bei Fragen kontaktieren Sie bitte rechtzeitig Ihren Kartenherausgeber oder wenden sich an Ihren zuständigen Dienstleister vor Ort. Sehen Sie dazu auch:
https://www.medisign.de/blog/ehba-und-smc-b-der-generation-2-0-werden-ausgetauscht/
https://www.d-trust.net/de/support/elektronischer-praxisausweis-institutionsausweis
Zusätzliche Informationen
Für den Anschluss an die Telematikinfrastruktur benötigen Sie mindestens einen elektronischen Heilberufsausweis (eHBA) je Institution. Anbieter, bei denen Sie diesen beantragen können, finden Sie auf der Website der für Sie zuständigen Kammern. Pflegefachkräfte, Hebammen und weitere Heilmittelerbringende erhalten ihn bundesweit zentral über das elektronische Gesundheitsberuferegister eGBR. Sobald Sie Ihren eHBA erhalten, kann dieser mittels PIN beim Anbieter freigeschaltet werden.
Weitere Informationen zum HBA erhalten Sie hier
Die SMC-B Karte ist Ihr Institutionsausweis. Diese kann erst beantragt werden, wenn ein eHBA innerhalb der Institution vorhanden ist. Ist das der Fall, können Sie die SMC-B bei einem in ihrem Sektor tätigen Anbieter anfordern. Eine Übersicht der durch die gematik zugelassenen Anbieter finden Sie hier in unserem Fachportal.
Die gematik empfiehlt die SMC-B Karten, die ausschließlich auf dem Verschlüsselungsverfahren RSA basieren (Kartengeneration 2.0), so schnell wie möglich auszutauschen. Um den Zugang zur Telematikinfrastruktur und deren Anwendungen sicherzustellen, ist ein vorzeitiger Wechsel zur SMC-B Folgekarte der Kartengeneration 2.1 zwingend erforderlich.
Aktuell ist davon auszugehen, dass die SMC-B G2.0-Karten im nächsten Jahr voraussichtlich nicht mehr im Feld sein werden, da die Austauschprozesse gut verlaufen. Sollten Restkarten der Generation SMC-B G2.0 auch nach dem 01. Januar 2026 im Feld verbleiben, sind diese aus technischer Sicht weiterhin funktionsfähig, denn trotz des regulatorischen Endes der Zulässigkeit bleibt die technische Funktionsfähigkeit von RSA-2048-basierten Zertifikaten im nonQES-Bereich für SMC-B übergangsweise erhalten. Diese Übergangsphase ist notwendig, da die vollständige RSA-Deaktivierung in der TI-PKI erst nach Abschluss des bundesweiten Rollouts von Konnektoren mit PTV6 (u. PTV2 HSK) stattfinden wird. Mit der verpflichtenden und erzwungenen Nutzung von ECC durch PTV6-Konnektoren stellt dieser Rollout faktisch bereits einen weiteren Migrationsschritt dar. Voraussichtlich wird der Rollout am 01. Juli 2026 abgeschlossen sein.
Die gematik empfiehlt den Austausch so zeitnah wie möglich vorzunehmen.
Die verschiedenen Kartenanbieter werden Sie dazu kontaktieren. Bei Fragen melden Sie sich bitte direkt bei Ihrem Anbieter oder wenden sich an Ihren zuständigen Dienstleister vor Ort.
Weitere Informationen rund um die Beantragung der SMC-B G2.1 finden Sie auf den Seiten der Anbieter D-Trust, medisign, T-Systems und SHC+Care.
Sie benötigen ein stationäres Kartenterminal. Das Kartenterminal kann entweder direkt beim Hersteller oder über den Einzelhandel gekauft werden und muss für den Einsatz von der gematik zugelassen sein. Die gSMC-KT (gerätespezifische Security Module Card des Kartenterminals) ist die Eintrittskarte Ihres eHealth Kartenterminals in die Telematikinfrastruktur des deutschen Gesundheitswesens. Die gSMC-KT ist im Kartenterminal installiert und wird Ihnen bei Bestellung eines TI-fähigen E-Health-Kartenterminals mitgeliefert. Die gSMC-KT gibt dem Terminal somit eine digitale Identität, um sich mit einem Konnektor verbinden zu können (man spricht hier vom sogenannten „Pairing“).
Ab dem 01.01.2026 wird von der Nutzung der gSMC-KT G2.0 in stationären Kartenterminals abgeraten.
Da ein vollständiger Kartentausch bis Jahresende voraussichtlich nicht möglich ist und unter Berücksichtigung, dass die RSA-Zertifikate der gSMC-KT 2.0 ausschließlich in geschlossenen Netzen (z. B. innerhalb einer Arztpraxis) und nicht zur Verschlüsselung oder Signatur medizinischer Daten verwendet werden, bleibt die Nutzung der gSMC-KT 2.0 über den 01.01.2026 hinaus vorerst zulässig. Unabhängig von der Laufzeit der auf den Karten gespeicherten Zertifikate ist die Nutzung jedoch spätestens zum 31.12.2026 einzustellen.
Um den neuen kryptografischen Sicherheitsanforderungen des BSI zu entsprechen, empfehlen wir, die Karte spätestens bis zum 01.01.2026 gegen eine gSMC-KT 2.1 auszutauschen.
Weitere Informationen: So finden Sie heraus, wann Ihr eHealth Kartenterminal seine Gültigkeit verliert (PDF)
Um von RSA auf ECC umzustellen, müssen Primärsysteme verschiedene technische und organisatorische Maßnahmen ergreifen. Zunächst ist es erforderlich, dass die Hersteller der Primärsysteme ein entsprechendes Software-Update bereitstellen, das die Unterstützung von ECC-Schlüsseln und -Zertifikaten ermöglicht. Im Zuge dessen müssen auch alle relevanten Schnittstellen geprüft und gegebenenfalls angepasst werden, damit die Kommunikation mit anderen Komponenten der Telematikinfrastruktur, wie beispielsweise Konnektoren oder Kartenterminals, weiterhin reibungslos funktioniert und die neuen Zertifikatsformate unterstützt werden.
Darüber hinaus ist in den Umgebungen der Leistungserbringer sicherzustellen, dass alle angebundenen Komponenten bereits auf ECC umgestellt wurden oder mit ECC-basierten Verfahren kompatibel sind, um Kommunikationsprobleme zu vermeiden. Ein weiterer wichtiger Schritt ist der Austausch der bisherigen RSA-Zertifikate gegen neue ECC-Zertifikate, insbesondere für die Kommunikation mit dem Konnektor, der nach dem Rollout auf PTV6 ausschließlich ECC akzeptieren wird.
Die gematik steht im direkten Austausch mit den Herstellern von Primärsystemen und IT-Dienstleistern, um bestmöglich zu informieren. Bitte sprechen Sie Ihren zuständigen Betreuer Ihres Primärsystems bzw. Ihres Praxis-IT-Dienstleisters zeitnah an, um eventuelle Änderungen an Ihrer Software frühzeitig zu planen. Bitte beachten Sie auch mögliche zusätzliche, im Einsatz befindliche Software, wie beispielsweise KIM-Clientmodule oder Middleware. Auch hier empfehlen wir die direkte Einbindung Ihres Dienstleisters vor Ort.
Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren (sogenannte „RSA-only-Konnektoren“) ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen. Nach aktuellem Stand gibt es noch ca. 14.000 Konnektoren, die ausschließlich mit RSA-2028-Zertifikaten ausgestattet sind.
Nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) dürfen ab dem 1. Januar 2026 keine Konnektoren mehr eingesetzt werden, die ausschließlich RSA-Schlüssel mit 3000 Bit oder weniger nutzen.
Was bedeutet das für Sie?
Bereits ab Mitte 2025 laufen die ersten betroffenen Konnektoren ab. Spätestens Ende 2025 ist die Nutzung dieser Konnektoren nicht mehr möglich, da die notwendigen Zertifikate dann nicht mehr verlängert werden können.
Was sollten Sie jetzt tun?
- Prüfen Sie, ob Sie oder Ihre Einrichtung noch einen betroffenen Konnektor einsetzen.
- Informieren Sie sich bei Ihrem IT-Dienstleister oder Anbieter, ob ein Austausch notwendig ist.
- Planen Sie frühzeitig eine Umstellung auf aktuelle Konnektoren oder TI-Gateway, um einen reibungslosen Praxisbetrieb sicherzustellen.
Wie erkenne ich, ob mein Konnektor betroffen ist?
- Ihr IT-Dienstleister oder Anbieter kann Ihnen hierzu Auskunft geben.
Was passiert, wenn ich den Konnektor nicht rechtzeitig austausche?
- Nach Ablauf der Zertifikate ist der Konnektor nicht mehr nutzbar. Das kann zu Störungen im Praxisbetrieb führen.
Wer hilft mir bei Fragen?
- Wenden Sie sich an Ihren Anbieter, an den Support Ihres VPN-Zugangsdienstes, oder an Ihren Dienstleister vor Ort.
Wir empfehlen Ihnen, sich frühzeitig zu informieren und gemeinsam mit Ihrem Anbieter die nächsten Schritte zu planen.
Erklärfilm
FAQ
Bei RSA und ECC handelt es sich um Bezeichnungen für kryptografischen Verfahren. Diese Verschlüsselungsalgorithmen werden auch für das Gesundheitswesen in TI-Komponenten und Diensten eingesetzt.
Ein sicherer TI-Betrieb hat für die gematik oberste Priorität. Der Austausch der Verschlüsselungsalgorithmen RSA2048 auf ECC256 bis Ende 2025 ist eine zentrale Maßnahme, damit TI-Komponenten und Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet sind.
Bei den Sicherheitsrichtlinien orientieren wir uns an den Empfehlungen und Vorgaben der obersten Sicherheitsbehörden und international anerkannten Standards. Das BSI orientiert sich an dem internationalem Standard SOGIS-Katalog bei ihrer Empfehlung. Der aktuell vorgesehene Zeitplan basiert auf den Empfehlungen des BSI und Vorgaben der Bundesnetzagentur (BNetzA) für die qualifizierte elektronische Signatur (QES), RSA<3000 bit nach 31.12.2025 nicht mehr zu nutzen. Die QES fällt in die Regelungskompetenz der BNetzA.
Nein, das RSA-Gerätezertifikat läuft zum Jahresende nach einer zweijährigen Verlängerung aus und ist damit ungültig. Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors.
Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen.