Werden Sie jetzt aktiv

Neues Verschlüsselungsverfahren für die Telematikinfrastruktur

Die Telematikinfrastruktur (TI) stellt ihre Kryptografie von RSA (Rivest-Shamir-Adleman) auf ECC (Elliptic Curve Cryptography) um. Die Migration stellt einen bedeutenden Fortschritt in der Weiterentwicklung unserer Systeme dar, mit dem Ziel, die Sicherheit und Effizienz zu verbessern. ECC ist eine moderne und leistungsstarke Verschlüsselungsmethode, die nicht nur ein höheres Sicherheitsniveau bietet, sondern auch ressourcenschonender ist. Die Umstellung erfolgt auf Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Europäischen eIDAS. 

In Leistungserbringerinstitutionen können Komponenten der TI betroffen sein. Bitte prüfen Sie zeitnah, ob und welche Komponenten von der Umstellung bei Ihnen betroffen sind und sorgen Sie dafür, dass diese rechtzeitig auf die neue, leistungsfähigere ECC-Verschlüsselung umgestellt werden. Nur so kann ein reibungsloser und sicherer Betrieb sichergestellt werden.

News

Last Call: Heilberufsausweise jetzt tauschen 

Zum 30. Juni 2026 endet die Frist, zu der bestimmte Heilberufsausweise, kurz HBA, getauscht werden müssen.

Zur News-Meldung

Kartentausch bleibt wichtig: Was Gesundheitseinrichtungen wissen müssen

Informationen zu zwei wichtigen Kartentausch-Maßnahmen finden Sie in unserer News.

Zur News-Meldung

Hinweise und Fristen zur Umstellung von RSA auf ECC

Mehr Informationen zur Umstellung der Verschlüsselungsalgorithmen finden Sie in der News.

Zur News-Meldung

 

Die folgenden drei Komponenten sollten von Ihrem zuständigen Dienstleister vor Ort zeitnah überprüft werden:

Bitte prüfen Sie Ihren Konnektor auf ein neues Update (PTV6).

Zertifikate mit RSA-Verschlüsselung

HBA, die Zertifikate mit RSA-Verschlüsselung enthalten, können noch bis zum 30. Juni 2026 von Betroffenen genutzt werden.

Zertifikate mit ECC-Verschlüsselung

Bereits jetzt gibt es eine relevante Anzahl spezifikationskonformer HBA (betrifft aktuell den Anbieter Telekom/T-Systems), die ab 2026 ausschließlich ECC-fähig sind. Zudem werden ab dem 1. Januar 2026 alle Kartenanbieter nur noch Karten produzieren und ausgeben, die ECC-verschlüsselt sind.

Wenn Sie bereits einen ECC-fähigen HBA haben oder im Tauschprozess sind, müssen Ihr Konnektor und Primärsystem (inkl. KIM-Clientmodul) ebenfalls auf ECC umgestellt sein. Ein ECC-fähiger HBA allein reicht nicht aus, um die Anwendungen der Telematikinfrastruktur (TI) nutzen zu können. Wenn Sie wissen möchten, ob Ihr Konnektor bzw. Primärsystem und KIM-Clientmodul ECC-fähig sind, wenden sich am besten an Ihren IT-Dienstleister bzw. an den Support ihres Softwareherstellers.

Spätestens ab dem 30. Juni 2026 können nur noch HBA mit ECC-basierten Zertifikaten eingesetzt werden, um beispielsweise E-Rezepte zu signieren.

Im Kartenportal Ihres Anbieters können Sie sich anmelden und dort die Zertifikatsinformationen Ihrer Karte prüfen, um die ECC-Fähigkeit zu verifizieren. Bei Fragen kontaktieren Sie bitte rechtzeitig Ihren Kartenherausgeber oder wenden sich an Ihren zuständigen Dienstleister vor Ort. Sehen Sie dazu auch:

https://ti.telekom-healthcare.com/telematikinfrastruktur/ti-smartcards 

https://www.medisign.de/blog/ehba-und-smc-b-der-generation-2-0-werden-ausgetauscht/
https://www.d-trust.net/de/support/elektronischer-praxisausweis-institutionsausweis

Ob Ihr HBA ECC-fähig ist, erfahren Sie bei Ihrem Anbieter. Bitte wenden Sie sich direkt dorthin.

 

Zusätzliche Informationen
Für den Anschluss an die Telematikinfrastruktur benötigen Sie mindestens einen elektronischen Heilberufsausweis (eHBA) je Institution. Anbieter, bei denen Sie diesen beantragen können, finden Sie auf der Website der für Sie zuständigen Kammern. Pflegefachkräfte, Hebammen und weitere Heilmittelerbringende erhalten ihn bundesweit zentral über das elektronische Gesundheitsberuferegister eGBR. Sobald Sie Ihren eHBA erhalten, kann dieser mittels PIN beim Anbieter freigeschaltet werden.

Weitere Informationen zum HBA erhalten Sie hier

Frist für Tausch: 30.06.2026

Die SMC-B Karte ist Ihr Institutionsausweis. Diese kann erst beantragt werden, wenn ein eHBA innerhalb der Institution vorhanden ist. Ist das der Fall, können Sie die SMC-B bei einem in ihrem Sektor tätigen Anbieter anfordern. Eine Übersicht der durch die gematik zugelassenen Anbieter finden Sie hier in unserem Fachportal.

Die gematik empfiehlt die SMC-B Karten, die ausschließlich auf dem Verschlüsselungsverfahren RSA basieren (Kartengeneration 2.0), so schnell wie möglich auszutauschen. Um den Zugang zur Telematikinfrastruktur und deren Anwendungen sicherzustellen, ist ein vorzeitiger Wechsel zur SMC-B Folgekarte der Kartengeneration 2.1 zwingend erforderlich.

Aktuell ist davon auszugehen, dass die SMC-B G2.0-Karten im nächsten Jahr voraussichtlich nicht mehr im Feld sein werden, da die Austauschprozesse gut verlaufen. Sollten Restkarten der Generation SMC-B G2.0 auch nach dem 01. Januar 2026 im Feld verbleiben, sind diese aus technischer Sicht weiterhin funktionsfähig, denn trotz des regulatorischen Endes der Zulässigkeit bleibt die technische Funktionsfähigkeit von RSA-2048-basierten Zertifikaten im nonQES-Bereich für SMC-B übergangsweise erhalten. Diese Übergangsphase ist notwendig, da die vollständige RSA-Deaktivierung in der TI-PKI erst nach Abschluss des bundesweiten Rollouts von Konnektoren mit PTV6 (u. PTV2 HSK) stattfinden wird. Mit der verpflichtenden und erzwungenen Nutzung von ECC durch PTV6-Konnektoren stellt dieser Rollout faktisch bereits einen weiteren Migrationsschritt dar. Voraussichtlich wird der Rollout am 01. Juli 2026 abgeschlossen sein. 

Die gematik empfiehlt den Austausch so zeitnah wie möglich vorzunehmen.  

Die verschiedenen Kartenanbieter werden Sie dazu kontaktieren. Bei Fragen melden Sie sich bitte direkt bei Ihrem Anbieter oder wenden sich an Ihren zuständigen Dienstleister vor Ort. 

Weitere Informationen rund um die Beantragung der SMC-B G2.1 finden Sie auf den Seiten der Anbieter D-Trust, medisign, T-Systems und SHC+Care.

Frist für Tausch: 31.12.2026

Sie benötigen ein stationäres Kartenterminal. Das Kartenterminal kann entweder direkt beim Hersteller oder über den Einzelhandel gekauft werden und muss für den Einsatz von der gematik zugelassen sein. Die gSMC-KT (gerätespezifische Security Module Card des Kartenterminals) ist die Eintrittskarte Ihres eHealth Kartenterminals in die Telematikinfrastruktur des deutschen Gesundheitswesens. Die gSMC-KT ist im Kartenterminal installiert und wird Ihnen bei Bestellung eines TI-fähigen E-Health-Kartenterminals mitgeliefert. Die gSMC-KT gibt dem Terminal somit eine digitale Identität, um sich mit einem Konnektor verbinden zu können (man spricht hier vom sogenannten „Pairing“).

Ab dem 01.01.2026 wird von der Nutzung der gSMC-KT G2.0 in stationären Kartenterminals abgeraten.

Da ein vollständiger Kartentausch bis Jahresende voraussichtlich nicht möglich ist und unter Berücksichtigung, dass die RSA-Zertifikate der gSMC-KT 2.0 ausschließlich in geschlossenen Netzen (z. B. innerhalb einer Arztpraxis) und nicht zur Verschlüsselung oder Signatur medizinischer Daten verwendet werden, bleibt die Nutzung der gSMC-KT 2.0 über den 01.01.2026 hinaus vorerst zulässig. Unabhängig von der Laufzeit der auf den Karten gespeicherten Zertifikate ist die Nutzung jedoch spätestens zum 31.12.2026 einzustellen.

Um den neuen kryptografischen Sicherheitsanforderungen des BSI zu entsprechen, empfehlen wir, die Karte spätestens bis zum 01.01.2026 gegen eine gSMC-KT 2.1 auszutauschen.

Weitere Informationen: So finden Sie heraus, wann Ihr eHealth Kartenterminal seine Gültigkeit verliert (PDF)

Erklärfilm

FAQ Kartentausch

Aktuell gibt es zwei wichtige Maßnahmen in größerem Umfang, die spätestens bis Mitte des Jahres abgeschlossen sein werden: Zum einen die Umstellung der TI-Verschlüsselungsalgorithmen von RSA auf ECC, zum anderen ein sicherheitsrelevanter Austausch von Heilberufsausweisen bei den Kartenanbietern D-Trust und SHC+Care. Die Umstellung von RSA auf ECC basiert auf europarechtlichen Vorgaben und ist notwendig, damit weiterhin die höchsten Sicherheitsstandards für die Telematikinfrastruktur (TI) eingehalten werden können. Den laufenden Prozess begleitet die gematik engmaschig. 

Betroffen von der Tauschaktion im Rahmen der RSA/ECC-Umstellung sind Heilberufsausweise, Institutionskarten und Gerätekarten. Bei der Tauschaktion der zwei Anbieter D-Trust und SHC+Care sind hingegen ausschließlich Heilberufsausweise betroffen. Ein wichtiger Unterschied liegt zudem in der Verschlüsselung der Karten: Während die zu tauschenden HBA von D-Trust und SHC+Care ausschließlich ECC-fähig sind, werden im Zuge der RSA/ECC-Umstellung Karten, die ausschließlich RSA-Zertifikate besitzen durch „ECC-only“-Karten ausgetauscht. 

Nein. Im Rahmen der Umstellung von RSA zu ECC wurden und werden den Kund:innen nur Karten ausgeliefert, die nicht die Sicherheitsmaßnahme bei den betroffenen Anbietern D-Trust und SHC+Care durchlaufen müssen.

FAQ

Bei RSA und ECC handelt es sich um Bezeichnungen für kryptografischen Verfahren. Diese Verschlüsselungsalgorithmen werden auch für das Gesundheitswesen in TI-Komponenten und Diensten eingesetzt.

Der Austausch der Verschlüsselungsverfahren vom sogenannten RSA (Rivest-Shamir-Adleman) auf den ECC (Elliptic Curve Cryptography)-Algorithmus ist eine zentrale Maßnahme, damit TI-Komponenten und Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet sind. Bis zum Jahresende 2025 mussten Softwaresysteme und KIM-Clientmodule auf sogenannte RSA-only-Konnektoren umgestellt werden. Das sind Konnektoren, die ausschließlich RSA-Zertifikate haben.

Für die Umstellung von RSA auf ECC müssen mehrere TI-Komponenten innerhalb festgelegter Fristen erneuert oder aktualisiert werden:

  • Konnektor – bis 31.12.2025
    Seit 1. Januar 2026 ist kein TI-Zugang mehr mit sogenannten "RSA-only-Konnektoren" möglich.
  • Primärsystem und KIM – bis 31.12.2025
  • Heilberufsausweis (HBA) – bis 30.06.2026
    HBA der Generation 2.0 ohne ECC müssen gegen Karten der Generation 2.1 ausgetauscht werden –
    auch wenn der bisherige Ausweis offiziell ein längeres Ablaufdatum trägt.
  • Praxisausweis (SMC-B) – bis 30.06.2026
    SMC-B der Generation 2.0 müssen durch ECC-fähige Karten ersetzt werden.
    Ohne gültige SMC-B ist kein Zugriff auf Anwendungen wie eRezept, eAU, VSDM oder ePA möglich.
  • Gerätekarte für Kartenterminals (gSMC-KT) – bis 31.12.2026
    gSMC-KT der Generation 2.0 müssen gegen Version 2.1 getauscht werden,
    damit Kartenterminals weiterhin eine gültige digitale Identität besitzen.

Nein, das RSA-Gerätezertifikat ist zum Jahresende 2025 nach einer zweijährigen Verlängerung abgelaufen und ist damit ungültig. Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors.

Ja. Das TI-Gateway ist ein moderner Zugangsweg zur TI. Im Gegensatz zu (Einbox-)Konnektoren braucht es für das TI-Gateway keinen eigenen Konnektor in der Einrichtung vor Ort. Um Wartung und Instandhaltung kümmern sich die Anbieter.

Der ggf. notwendige Wechsel bzw. Austausch wird im Rahmen der TI-Pauschale abgedeckt. Separate Finanzierungen sind nicht vorgesehen.

Downloads

Auf einen Blick: TI-Verschlüsselung - Umstellung von RSA auf ECC

Informationen für Praxen, Kliniken und Apotheken
Download

Erfahren Sie mehr

Technische Details zur RSA2ECC-Migration
TI-Zugang - Ihr Weg in die Telematikinfrastruktur
Datensicherheit - Der beste Schutz für Ihre Gesundheitsdaten