Zum Hauptinhalt springen

News

Ablauf der RSA-Zertifikate zum 31. Dezember 2025:
Sichern Sie Ihre TI-Anbindung!

Hattersheim, 27.10.2025 - Die Zeit läuft: Einer Vorgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) folgend, stellt die Telematikinfrastruktur (TI) zum 1. Januar 2026 ihre Verschlüsselung von veralteten RSA-Zertifikaten auf moderne ECC-Zertifikate um. Betroffen davon sind potentiell alle zentralen Praxis-Komponenten – vom Konnektor über den elektronischen Heilberufsausweis (eHBA) bis hin zum Kartenterminal und zur SMC-B-Karte. „Ohne rechtzeitige Erneuerung der Zertifikate verlieren Praxen den Zugang zur TI – und damit die Möglichkeit, eRezepte, eAU oder Versichertenstammdaten zu nutzen“, betonen Petra Hummel, Christoph Claus und Peter Franz von der AG Digitales.

Die Telematikinfrastruktur (TI) stellt ihre Verschlüsselung von veralteten RSA-Zertifikaten (Rivest-Samir-Adleman) auf moderne ECC-Zertifikate (Elliptic Curve Cryptography) um. Der Grund: „Um die Sicherheit der Daten im Gesundheitswesen zu gewährleisten, ist laut BSI die Nutzung von RSA-Verschlüsselung mit Schlüsselgrößen zwischen 1900 und 3000 Bit ab dem 1. Januar 2026 nicht mehr zulässig. Betroffen sind insbesondere Konnektoren und TI-Ausweise wie der elektronische Heilberufsausweis (eHBA) und die Securit Module Card Tp B (SMC-B)“, erklärt Petra Hummel, Sprecherin der AG Digitales des Hausärztinnen- und Hausärzteverbandes Hessen.

„Gesundheitseinrichtungen müssen ihre betroffenen Komponenten rechtzeitig austauschen lassen, um ab 2026 weiterhin auf die TI zugreifen zu können. Wir empfehlen dringend, das Thema ernst zu nehmen, denn ohne funktionierende Komponenten wird es ab 1. Januar 2026 in unseren Praxen unter anderem unmöglich sein, wie gewohnt eAU oder eRezepte auszustellen“, sagt Peter Franz, Mitglied der AG Digitales und TI-Exerte.

Die Entscheidung für den neuen Verschlüsselungsstandard hat das BSI getroffen und zu verantworten. Die Cyber-Sicherheitsbehörde des Bundes geht damit anders vor als andere europäische Länder, in denen durchaus auch noch mit dem RSA-Standard verschlüsselt werden kann. Aus unserer Sicht ist an dieser Stelle die gematik in der Pflicht, Verbesserungen zu erreichen“, betont Dr. Christoph Claus, der sich ebenfalls seit langem mit Fragen rund um die TI befasst. Hummel, Franz und Claus haben die wichtigsten Infos um die Zertifikat-Umstellung zusammenfasst.

Das Wichtigste in Kürze

Warum ist die Umstellung nötig?

  • Sicherheit: ECC bietet bei kürzeren Schlüssellängen ein höheres Sicherheitsniveau als RSA. 
  • Vorgaben: Das BSI hat den Einsatz von RSA-Zertifikaten nur bis zum 31. Dezember 2025 erlaubt, eine Frist, die auch durch eIDAS-Regelungen nicht verlängerbar ist. 
  • Konsequenzen bei Nicht-Austausch: Ohne die Umstellung können ab 2026 Dienste wie die Übermittlung von eAU, die Ausstellung von eRezepten und KIM-Nachrichten nicht mehr genutzt werden. 

Was müssen Sie tun?

  • Überprüfung: Prüfen Sie Ihre Konnektoren und TI-Ausweise (SMC-B, eHBA) auf das Vorhandensein von ECC-Zertifikaten. Manche TI-Komponenten müssen nicht ausgetauscht werden, weil sie RSA und ECC können. Warnungen können also irreführend sein.
  • Austausch: Lassen Sie betroffene Komponenten durch eine neue Generation, z. B. die „G2.1“, ersetzen. Insbesondere Karten mit dem Herstellungsjahr 2020/2021 müssen bis Ende 2025 ausgetauscht werden. Am häufigsten scheinen Chipkartenlese-Tastaturen betroffen zu sein.
  • Dienstleister kontaktieren: Wenden Sie sich an Ihren IT-Dienstleister, um die Umstellung zu organisieren. 
  • Kosten: Die Kosten für den Umstieg werden nur durch die TI-Pauschale „finanziert“, die seit dem 1. Juli 2023 gezahlt wird. 

Folgende TI-Komponenten sollten Sie im Blick haben:  

Konnektoren, das sind die „Router“ für den sicheren Netzzugang in die TI. Laut gematik sind 35.000 Konnektoren betroffen, die noch das RSA-2028-Verfahren nutzen. Mehrheitlich sind dies Konnektoren von secunet (ca. 28.000), betroffen sind zudem rund 4.500 Geräte von CGM/KoCo, die bereits für 2023 noch ein letztes Mal eine Verlängerung der Zertifikatsschlüssel erhalten hatten.
Um herauszufinden, ob Ihr Praxis-Konnektor betroffen ist, sollten Sie sich mit ihrem Anbieter in Verbindung setzen. Die Laufzeit des Konnektors kann in der Regel aber auch im Praxisverwaltungssystem eingesehen werden.
Achten Sie auch hier besonders darauf, ob der Konnektor nicht nur deshalb eine Warnmeldung produziert, wie er neben dem aktuellen ECC auch noch das alte RSA kann. Denn dann ist ein Austausch nicht nötig.
Das Problem bei den Konnektoren liegt dabei ebenfalls in ihrer gerätespezifischen SMC-Karte (gSMC), diese trägt den Sicherheitsschlüssel, ist aber fest im Gerät verbaut und kann daher in der Regel nicht ausgetauscht werden. Ohne gültiges ECC-Zertifikat ist aber ein Zugang zur TI ab 2026 nicht mehr möglich.

Elektronischer Heilberufsauweis (eHBA) zur persönlichen Authentifizierung von Personen in Gesundheitsberufen; Hier sollten Sie prüfen, um welche Kartengeneration es sich handelt. Karten der Generation G2.0 müssten ausgetauscht werden. Karten der neueren Generation G2.1 hingegen sind laut Gematik ECC-fähig, bleiben also weiter im Einsatz.

Secure Module Card (gSMC-KT) der E-Health-Kartenterminals:Die gerätespezifische Security Module Card (gSMC-KT) ist eine Sicherheitskarte, die in eHealth-Kartenterminals innerhalb der TI verwendet wird. Sie dient der Authentifizierung und dem Betrieb des stationären Kartenterminals. Ohne die gSMC-KT können die Kartenleser nicht innerhalb der TI genutzt werden. Laut gematik sollten Karten der Generation 2.0 ab Januar nicht mehr genutzt werden. Allerdings gibt es bei dieser Komponente eine Übergangsfrist: „Da ein vollständiger Kartentausch bis Jahresende voraussichtlich nicht möglich ist“ und unter Berücksichtigung, dass die alten RSA-Zertifikate der gSMC-KT 2.0 ausschließlich in geschlossenen Netzen, also innerhalb der Praxis, und nicht zur Verschlüsselung oder Signatur medizinischer Daten verwendet würden, bleibe die Nutzung der alten Karten bis 31.12.2026 gültig, schreibt die gematik auf ihrer Website. Welche Kartengeneration in ihrem Kartenleser steckt, erfahren Sie beim jeweiligen Hersteller. Wer selbst den Test machen will, kann zudem der Anleitung der gematik folgen: https://go.sn.pub/ooauz8

Institutionskarte SMC-B-Karte: Die Security Module Card Typ B, ist eine Art „digitaler Praxisausweis“ für den Zugang zur TI und digitalen Anwendungen. Auch hier sollten Sie prüfen, welche Kartengeneration im Einsatz ist. Karten der Generation 2.0 basierten auf dem RSA-Verfahren und dürften ab 2026 nicht mehr eingesetzt werden. Dies gelte „unabhängig von dem auf der Karte ausgewiesenen Gültigkeitsdatum“, stellt die gematik klar. Es müssten ebenfalls die neueren Karten der Generation 2.1 genutzt werden.

Praxisverwaltungssystem/Primärsystem und KIM:Damit hinterher alle TI-Anwendungen reibungslos mit dem neuen ECC-Verschlüsselungsverfahren arbeiten können, benötigt auch die Praxis-Software ein Update. Dieses müssten die PVS-Hersteller rechtzeitig bereitstellen, die gematik steht nach eigenen Angaben hier in direktem Austausch mit den Herstellern. Wichtig für Praxen ist: Bevor das Software-Update aufgespielt werde, müssen laut gematik alle angebundenen Komponenten bereits auf ECC umgestellt oder mit ECC-basierten Verfahren kompatibel sein. Andernfalls kann es zu Kommunikationsproblemen kommen.