
Werden Sie jetzt aktiv
Neues Verschlüsselungsverfahren für die Telematikinfrastruktur
Die Telematikinfrastruktur (TI) stellt ihre Kryptografie von RSA (Rivest-Shamir-Adleman) auf ECC (Elliptic Curve Cryptography) um. Die Migration stellt einen bedeutenden Fortschritt in der Weiterentwicklung unserer Systeme dar, mit dem Ziel, die Sicherheit und Effizienz zu verbessern. ECC ist eine moderne und leistungsstarke Verschlüsselungsmethode, die nicht nur ein höheres Sicherheitsniveau bietet, sondern auch ressourcenschonender ist. Die Umstellung erfolgt auf Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Europäischen eIDAS, da RSA-2048 nur noch befristet bis Ende 2025 zulässig ist.
In Leistungserbringerinstitutionen können dabei Komponenten der TI betroffen sein. Bitte prüfen Sie zeitnah, ob und welche Komponenten von der Umstellung bei Ihnen betroffen sind und sorgen Sie dafür, dass diese rechtzeitig auf die neue, leistungsfähigere ECC-Verschlüsselung umgestellt werden. Nur so kann ein reibungsloser und sicherer Betrieb auch über 2025 hinaus sichergestellt werden.
Die folgenden fünf Komponenten sollten von Ihrem zuständigen Dienstleister vor Ort zeitnah überprüft werden:
Prüfen Sie die ECC-Fähigkeit Ihrer Karte wie folgt:
Kontrollieren Sie zunächst den Aufdruck auf der Rückseite Ihrer Karte nach der Kennzeichnung G2.0 oder G2.1, handelt es sich um eine Karte der Generation G2.0, so ist diese nicht ECC-fähig. In diesem Fall müssen Sie einen neuen HBA der Generation G2.1 beantragen. Eine Karte der Generation G2.1 ist ECC-fähig.
Zusätzlich können Sie sich im Kartenportal Ihres Anbieters anmelden und dort die Zertifikatsinformationen Ihrer Karte prüfen, um die ECC-Fähigkeit zu verifizieren. Bei Fragen kontaktieren Sie bitte rechtzeitig Ihren Kartenherausgeber oder wenden sich an Ihren zuständigen Dienstleister vor Ort. Sehen Sie dazu auch:
https://www.medisign.de/blog/ehba-und-smc-b-der-generation-2-0-werden-ausgetauscht/
https://www.d-trust.net/de/support/elektronischer-praxisausweis-institutionsausweis
Zusätzliche Informationen
Für den Anschluss an die Telematikinfrastruktur benötigen Sie mindestens einen elektronischen Heilberufsausweis (eHBA) je Institution. Anbieter, bei denen Sie diesen beantragen können, finden Sie auf der Website der für Sie zuständigen Kammern. Pflegefachkräfte, Hebammen und weitere Heilmittelerbringende erhalten ihn bundesweit zentral über das elektronische Gesundheitsberuferegister eGBR. Sobald Sie Ihren eHBA erhalten, kann dieser mittels PIN beim Anbieter freigeschaltet werden.
Weitere Informationen zum HBA erhalten Sie hier
Die SMC-B Karte ist Ihr Institutionsausweis. Diese kann erst beantragt werden, wenn ein eHBA innerhalb der Institution vorhanden ist. Ist das der Fall, können Sie die SMC-B bei einem in ihrem Sektor tätigen Anbieter anfordern. Eine Übersicht der durch die gematik zugelassenen Anbieter finden Sie hier in unserem Fachportal.
Alle SMC-B Karten, die ausschließlich auf dem Verschlüsselungsverfahren RSA basieren (Kartengeneration 2.0), dürfen ab dem 1. Januar 2026 nicht mehr eingesetzt werden – unabhängig von dem auf der Karte ausgewiesenen Gültigkeitsdatum. Um den Zugang zur Telematikinfrastruktur und deren Anwendungen sicherzustellen, ist ein vorzeitiger Wechsel zur SMC-B Folgekarte der Kartengeneration 2.1 zwingend erforderlich.
Die verschiedenen Kartenanbieter werden Sie dazu zeitnah kontaktieren. Bei Fragen melden Sie sich bitte direkt bei Ihrem Anbieter oder wenden sich an Ihren zuständigen Dienstleister vor Ort.
Weitere Informationen rund um die Beantragung der SMC-B G2.1 finden Sie auf den Seiten der Anbieter D-Trust, medisign, T-Systems und SHC+Care.
Sie benötigen ein stationäres Kartenterminal. Das Kartenterminal kann entweder direkt beim Hersteller oder über den Einzelhandel gekauft werden und muss für den Einsatz von der gematik zugelassen sein. Die gSMC-KT (gerätespezifische Security Module Card des Kartenterminals) ist die Eintrittskarte Ihres eHealth Kartenterminals in die Telematikinfrastruktur des deutschen Gesundheitswesens. Die gSMC-KT ist im Kartenterminal installiert und wird Ihnen bei Bestellung eines TI-fähigen E-Health-Kartenterminals mitgeliefert. Die gSMC-KT gibt dem Terminal somit eine digitale Identität, um sich mit einem Konnektor verbinden zu können (man spricht hier vom sogenannten „Pairing“).
Ab dem 01.01.2026 wird von der Nutzung der gSMC-KT G2.0 in stationären Kartenterminals abgeraten.
Da ein vollständiger Kartentausch bis Jahresende voraussichtlich nicht möglich ist und unter Berücksichtigung, dass die RSA-Zertifikate der gSMC-KT 2.0 ausschließlich in geschlossenen Netzen (z. B. innerhalb einer Arztpraxis) und nicht zur Verschlüsselung oder Signatur medizinischer Daten verwendet werden, bleibt die Nutzung der gSMC-KT 2.0 über den 01.01.2026 hinaus vorerst zulässig. Unabhängig von der Laufzeit der auf den Karten gespeicherten Zertifikate ist die Nutzung jedoch spätestens zum 31.12.2026 einzustellen.
Um den neuen kryptografischen Sicherheitsanforderungen des BSI zu entsprechen, empfehlen wir, die Karte spätestens bis zum 01.01.2026 gegen eine gSMC-KT 2.1 auszutauschen.
Weitere Informationen: So finden Sie heraus, wann Ihr eHealth Kartenterminal seine Gültigkeit verliert (PDF)
Um von RSA auf ECC umzustellen, müssen Primärsysteme verschiedene technische und organisatorische Maßnahmen ergreifen. Zunächst ist es erforderlich, dass die Hersteller der Primärsysteme ein entsprechendes Software-Update bereitstellen, das die Unterstützung von ECC-Schlüsseln und -Zertifikaten ermöglicht. Im Zuge dessen müssen auch alle relevanten Schnittstellen geprüft und gegebenenfalls angepasst werden, damit die Kommunikation mit anderen Komponenten der Telematikinfrastruktur, wie beispielsweise Konnektoren oder Kartenterminals, weiterhin reibungslos funktioniert und die neuen Zertifikatsformate unterstützt werden.
Darüber hinaus ist in den Umgebungen der Leistungserbringer sicherzustellen, dass alle angebundenen Komponenten bereits auf ECC umgestellt wurden oder mit ECC-basierten Verfahren kompatibel sind, um Kommunikationsprobleme zu vermeiden. Ein weiterer wichtiger Schritt ist der Austausch der bisherigen RSA-Zertifikate gegen neue ECC-Zertifikate, insbesondere für die Kommunikation mit dem Konnektor, der nach dem Rollout auf PTV6 ausschließlich ECC akzeptieren wird.
Die gematik steht im direkten Austausch mit den Herstellern von Primärsystemen und IT-Dienstleistern, um bestmöglich zu informieren. Bitte sprechen Sie Ihren zuständigen Betreuer Ihres Primärsystems bzw. Ihres Praxis-IT-Dienstleisters zeitnah an, um eventuelle Änderungen an Ihrer Software frühzeitig zu planen. Bitte beachten Sie auch mögliche zusätzliche, im Einsatz befindliche Software, wie beispielsweise KIM-Clientmodule oder Middleware. Auch hier empfehlen wir die direkte Einbindung Ihres Dienstleisters vor Ort.
Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren (sogenannte „RSA-only-Konnektoren“) ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen. Aktuell gibt es ca. 35.000 Konnektoren, die RSA-2028 als Verschlüsselungsalgorithmus nutzen. Der Anteil an Konnektoren mit RSA-Verschlüsselung entfällt mehrheitlich auf den Anbieter secunet (ca. 28.000) und in geringerer Anzahl auf CGM/KoCo (ca. 4.500).
Nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) dürfen ab dem 1. Januar 2026 keine Konnektoren mehr eingesetzt werden, die ausschließlich RSA-Schlüssel mit 3000 Bit oder weniger nutzen.
Was bedeutet das für Sie?
Bereits ab Mitte 2025 laufen die ersten betroffenen Konnektoren ab. Spätestens Ende 2025 ist die Nutzung dieser Konnektoren nicht mehr möglich, da die notwendigen Zertifikate dann nicht mehr verlängert werden können.
Was sollten Sie jetzt tun?
- Prüfen Sie, ob Sie oder Ihre Einrichtung noch einen betroffenen Konnektor einsetzen.
- Informieren Sie sich bei Ihrem IT-Dienstleister oder Anbieter, ob ein Austausch notwendig ist.
- Planen Sie frühzeitig eine Umstellung auf aktuelle Konnektoren oder TI-Gateway, um einen reibungslosen Praxisbetrieb sicherzustellen.
Wie erkenne ich, ob mein Konnektor betroffen ist?
- Ihr IT-Dienstleister oder Anbieter kann Ihnen hierzu Auskunft geben.
Was passiert, wenn ich den Konnektor nicht rechtzeitig austausche?
- Nach Ablauf der Zertifikate ist der Konnektor nicht mehr nutzbar. Das kann zu Störungen im Praxisbetrieb führen.
Wer hilft mir bei Fragen?
- Wenden Sie sich an Ihren Anbieter, an den Support Ihres VPN-Zugangsdienstes, oder an Ihren Dienstleister vor Ort.
Wir empfehlen Ihnen, sich frühzeitig zu informieren und gemeinsam mit Ihrem Anbieter die nächsten Schritte zu planen.
FAQ
Bei RSA und ECC handelt es sich um Bezeichnungen für kryptografischen Verfahren. Diese Verschlüsselungsalgorithmen werden auch für das Gesundheitswesen in TI-Komponenten und Diensten eingesetzt.
Ein sicherer TI-Betrieb hat für die gematik oberste Priorität. Der Austausch der Verschlüsselungsalgorithmen RSA2048 auf ECC256 bis Ende 2025 ist eine zentrale Maßnahme, damit TI-Komponenten und Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet sind.
Bei den Sicherheitsrichtlinien orientieren wir uns an den Empfehlungen und Vorgaben der obersten Sicherheitsbehörden und international anerkannten Standards. Das BSI orientiert sich an dem internationalem Standard SOGIS-Katalog bei ihrer Empfehlung. Der aktuell vorgesehene Zeitplan basiert auf den Empfehlungen des BSI und Vorgaben der Bundesnetzagentur (BNetzA) für die qualifizierte elektronische Signatur (QES), RSA<3000 bit nach 31.12.2025 nicht mehr zu nutzen. Die QES fällt in die Regelungskompetenz der BNetzA.
Nein, das RSA-Gerätezertifikat läuft zum Jahresende nach einer zweijährigen Verlängerung aus und ist damit ungültig. Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors.
Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen.