TI-Anbindung
Ihr Weg in die Telematikinfrastruktur
Die Telematikinfrastruktur (TI) ist ein besonders geschütztes Netzwerk, das in Deutschland als Grundlage für den Austausch, Empfang und Versand von Gesundheitsdaten dient. Ein Zugang zur TI ist notwendig, um digitale Anwendungen wie das E-Rezept, den sicheren E-Mail-Dienst KIM oder die elektronische Patientenakte zu nutzen.
TI-Gateway: Der neue Weg in die Telematikinfrastruktur
Bei der Nutzung des TI-Gateways verbinden Sie sich über eine sichere VPN-Verbindung mit einem Rechenzentrum eines zertifizierten Anbieters. Über das Rechenzentrum wird dann ein Zugang zur TI hergestellt. Dieser Weg eignet sich besonders für (Zahn-)Arztpraxen, Apotheken und Reha- oder Pflegeeinrichtungen.
Erklärfilm: So funktioniert das TI-Gateway
So funktioniert das TI-Gateway
Um das TI-Gateway zu nutzen, müssen Sie einen Vertrag mit einem von der gematik zertifizierten TI-Gateway-Anbieter abschließen. Von Ihrem Anbieter erhalten Sie dann einen VPN-Zugang, über den Sie sich in ein Rechenzentrum einwählen können. Dort betreibt der Anbieter ein Zugangsmodul und einen Highspeed-Konnektor. Der Highspeed-Konnektor ist von der gematik geprüft und zugelassen und stellt den sicheren Zugang zur TI her.
Vorteile des TI-Gateways
Der Vorteil ist: Während bisher im Regelfall jede medizinische Einrichtung einen eigenen Konnektor für den TI-Zugang besitzen musste, schließen die TI-Gateway-Anbieter nun mehrere Einrichtungen über einen zentral betriebenen Highspeed-Konnektor an die TI an. Updates und Wartungsarbeiten an den Konnektoren erfolgen zentral und nicht mehr vor Ort. Damit entfallen auch mögliche Haftungsfragen für die Einrichtung. Besonders kleinere Arztpraxen, Apotheken oder Reha- und Pflege-Einrichtungen haben so weniger Aufwand mit der Pflege der technischen Infrastruktur.
Schritte zum Anschluss
- Prüfen Sie, ob Sie über eine gültige SMC-B-Karte, einen HBA und mindestens ein E-Health-Kartenterminal verfügen.
- Suchen Sie hier einen zugelassenen TI-Gateway-Anbieter.
- Nehmen Sie Kontakt auf und schließen Sie einen Vertrag ab.
- Richten Sie die entsprechende Software Ihres Anbieters in Ihrer Einrichtung ein.
Zugelassene TI-Gateway-Anbieter
Nur von der gematik geprüfte und zertifizierte Anbieter dürfen medizinischen Einrichtungen das TI-Gateway bereitstellen. Die Firmen RISE sowie AKQUINET in Kooperation mit ehex haben bislang die Anbieterzulassung erhalten. Weitere Hersteller planen ebenfalls, eine TI-Gateway-Lösung anzubieten.
Weitere Informationen zum TI-Gateway bei RISE (externer Link)
Weitere Informationen zum TI-Gateway bei AKQUINET (externer Link)
Hinweis für Primärsystemhersteller
Primärsystemhersteller können ab sofort prüfen, ob ihre Software kompatibel mit dem TI-Gateway bzw. dem Highspeed-Konnektor ist. Die Hersteller von Highspeed-Konnektoren und TI-Gateway-Zugangsmodulen bieten dafür Optionen in der Referenzumgebung der gematik an.
Für weitere Informationen zur Prüfung können die Hersteller per E-Mail kontaktiert werden:
CGM / KoCo: connectivity.itsm.de@cgm.com
secunet: ehealth.vp.jira@secunet.com
Ob und welche Kosten abgedeckt sind, kann Ihnen Ihre Standesorganisation mitteilen. Bitte wenden Sie sich deshalb an die kassenärztliche Bundesvereinigung (KBV), die kassenzahnärztliche Bundesvereinigung oder die Bundespsychotherapeutenkammer. Hier finden Sie außerdem aktuelle Informationen der KBV zu den Finanzierungsvereinbarungen.
Mit dem TI-Gateway wird weiterhin ein Dienstleister vor Ort (DVO) Kartenterminals pairen, Informationsmodelle einrichten und Clientsysteme konfigurieren. Ergänzend kommt die Einrichtung einer VPN-Verbindung mit der vom Anbieter des Gateways ausgewählten Technologie hinzu, sowie entsprechende Anpassungen bzw. Einstellungen für das Routing im lokalen Netz. Das Einstellen und Warten eines Einbox-Konnektors entfällt hingegen.
(Zahn)Arztpraxen, Apotheken und Kliniken müssen über einen Zugang zum sicheren Datennetz im Gesundheitswesen, der Telematikinfrastruktur (TI), verfügen. Ab dem 1. Juli 2025 sind auch Pflegeeinrichtungen verpflichtet, an die TI angebunden zu sein.
Das TI-Gateway bietet kleineren Einrichtungen wie (Zahn-)Arztpraxen, Apotheken, Pflege-Diensten oder Reha-Kliniken einen sicheren Anschluss an die Telematikinfrastruktur (TI). Durch die Nutzung des TI-Gateways muss es in der Einrichtung selbst keinen Konnektor geben, da sie einen Highspeed-Konnektor im Rechenzentrum eines Anbieters mitnutzt. Die Betriebsverantwortung dieses Konnektors liegt beim Anbieter des TI-Gateways, mit dem die medizinische Einrichtung einen Vertrag für Anschluss, Betrieb und Support abschließt.
Anders als bei kleineren Einrichtungen, wie etwa einer Arztpraxis, besteht für Krankenhäuser sowohl die Möglichkeit sich via TI-Gateway an die Telematikinfrastruktur zu verbinden oder aber auch einen sogenannten Highspeed-Konnektor im hauseigenen Rechenzentrum zu nutzen. Das TI-Gateway kann dementsprechend auch für Krankenhäuser eine wirtschaftliche Möglichkeit sein, sich mit der TI zu verbinden und lokale Konnektoren überflüssig zu machen.
Das TI-Gateway beinhaltet die gleichen fachlichen Funktionalitäten und unterstützt die gleichen Schnittstellen wie der Einboxkonnektor. Im Kontext der Sicherheit setzt die gematik beim TI-Gateway verpflichtend auf mTLS, welches entsprechend durch den DVO im PVS konfiguriert werden muss. Dabei können sowohl Zertifikate auf der virtuellen Konnektor-Instanz (vKON) erzeugt werden, als auch außerhalb erzeugte Zertifikate importiert werden.
Die Netzwerkkonfiguration beim Kunden ist individuell. Portfreigaben (Firewall) braucht es einerseits für die Kommunikation mit dem oder den Kartenterminals (je nach Konfiguration) bzw. für die VPN-Verbindung.
Die bisher genutzten Kartenterminals können auch weiterhin genutzt werden. Somit müssen von medizinischen Einrichtungen keine neuen Hardwarekomponenten beschafft werden.
Die Telematikinfrastruktur (TI) ist ein besonders geschütztes Netzwerk, das in Deutschland als Grundlage für den Austausch, Empfang und Versand von Gesundheitsdaten dient. Ein Zugang zur TI ist notwendig, um digitale Anwendungen wie das E-Rezept, den sicheren E-Mail-Dienst KIM oder die elektronische Patientenakte zu nutzen.
Der Konnektor: Die bisherige Lösung
Der Großteil der an die Telematikinfrastruktur angeschlossenen Institutionen nutzt derzeit noch einen Konnektor. Konnektoren sind kleine Boxen, die an einen WLAN-Router erinnern. Einen Konnektor können Sie über Ihren IT-Dienstleister beziehen. Er wird in Ihrer Einrichtung aufgestellt und muss von Ihnen betrieben und gewartet werden.
Wichtige Infos zur Laufzeitverlängerung
Mit der Laufzeitverlängerung ist es möglich, die Laufzeit von Konnektoren bis Ende 2025 zu verlängern. Besonders für Praxen, Apotheken und Krankenhäuser, die von einem Zertifikatsablauf des Konnektors betroffen sind, kann die Laufzeitverlängerung eine adäquate Lösung dafür sein, an die Telematikinfrastruktur (TI) angebunden zu bleiben. Wie Sie herausfinden, ob Ihre TI-Komponenten von einem Zertifikatsablauf betroffen sind, haben wir Ihnen im nächsten Absatz auf dieser Seite zusammengefasst.
Die Finanzierungsvereinbarung zur TI-Anbindung berücksichtigt die Option der Laufzeitverlängerung, von der speziell TI-Teilnehmer:innen profitieren können, deren Konnektor-Zertifikate ablaufen.
Die Option der Laufzeitverlängerung von Konnektoren wird seit August 2023 angeboten. Je nach Hersteller kann die Umsetzung der Laufzeitverlängerung eine einmalige Einrichtung durch einen Dienst vor Ort notwendig machen, oder auch mit einem Software-Update durchgeführt werden.
Ein überwiegender Teil von Konnektoren, die 2024 ihre Gültigkeit verlieren, sind mit dem sogenannten RSA Verschlüsselung-Algorithmus ausgestattet. RSA steht für Rivest–Shamir–Adleman und ist ein asymmetrisches kryptographisches Verfahren. Gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Nutzungserlaubnis für diese Verschlüsselung auf Ende 2025 begrenzt. Danach ist die Nutzung dieses kryptographischen Verfahrens nicht mehr zulässig. Daraus ergibt sich, dass eine Laufzeitverlängerung für Konnektoren mit RSA-Verschlüsselung nur bis maximal Ende 2025 möglich ist. Danach können TI-Teilnehmende eine andere Möglichkeit zur Anbindung nutzen.
Seit Herbst 2020 sind auch Konnektoren in Nutzung, die neben den RSA-Zertifikaten auch ECC-Zertifikate (Elliptic Curve Cryptography / Elliptische Kurven-Kryptographie) tragen. Im Vergleich zu RSA ist ECC eine relativ neue Verschlüsselungsart. Diese neueren Geräte sind also in der Lage, die ECC-Schlüssel zu nutzen. Deshalb können diese Konnektoren auch über 2025 hinaus betrieben werden.
Infos zum möglichen Zertifikatsablauf
Wir zeigen Ihnen, wie Sie herausfinden, ob Ihre TI-Komponenten in diesem Jahr von einem Zertifikatsablauf betroffen sind. Bitte beachten Sie dabei die grün markierten Links unter dem Text.
Für den Anschluss an die Telematikinfrastruktur (TI) nutzen Praxen, Krankenhäuser und Apotheken den „Konnektor“, der neben dem Zugang zur TI auch die Kartenterminals steuert. Zudem wird in einer Praxis oder Apotheke auch die SMC-B (Security ModuleCard – Betriebsstätte) als Identifikationsmittel genutzt.
Seit Oktober 2023 erreichen die in den Konnektoren der Hersteller RISE - Research Industrial Systems Engineering und Secunet Security Networks AG genutzten Zertifikate sukzessive das Ende ihrer Gültigkeit erreichen. Die hier genutzten Zertifikatskarten können nicht einfach ersetzt werden.
Damit sichergestellt ist, dass jede Praxis, jedes Krankenhaus und jede Apotheke unterbrechungsfrei auf die TI zugreifen kann, ist es deshalb erforderlich, rechtzeitig vor Zertifikatsablauf zu prüfen, ob seitens der Apotheke oder Praxis Handlungsbedarf besteht.
Im Rahmen der folgenden Informationen zum Konnektor, dem Kartenterminal und den SMC-Bs möchten wir Ihnen deshalb so einfach wie möglich erklären, wie sie die notwendigen Informationen über das entsprechende Laufzeitende Ihrer Zugangskomponenten ermitteln können. Für jede dieser Komponente haben wir deshalb Anleitungen erstellt, mit denen Sie Schritt für Schritt überprüfen können, ob auch Ihre Geräte von einem Zertifikatsablauf betroffen sind.
Unter den folgenden Links finden Sie Anleitungen bzw. ein FAQ (als PDF) für die jeweiligen Komponenten in Ihrer Praxis.
Anleitung zur Überprüfung des Konnektors
Ob und welche Kosten abgedeckt sind, kann Ihnen Ihre Standesorganisation mitteilen. Bitte wenden Sie sich deshalb an die kassenärztliche Bundesvereinigung (KBV), die kassenzahnärztliche Bundesvereinigung oder die Bundespsychotherapeutenkammer. Hier finden Sie außerdem aktuelle Informationen der KBV zu den Finanzierungsvereinbarungen.
Wir haben zum Thema Konnektortausch eine umfangreiche Erläuterung verfasst - von der Entscheidungsfindung bis hin zu den möglichen Alternativen. Mit diesem Link gelangen Sie zur entsprechenden Seite.
Ein Konnektor ermöglicht den sicheren Netzzugang in die TI. Er ist mit den stationären Kartenterminals der Praxis und dem Praxisverwaltungssystem (PVS) von (Zahn-)Ärztinnen und (Zahn-)Ärzten sowie Krankenhäusern via Netzwerk verbunden. Zurzeit ist in einer Arztpraxis mindestens ein Konnektor für die TI-Anbindung notwendig. In Praxisgemeinschaften können auch mehrere Konnektoren in Betrieb sein. In Krankenhäusern sind es – je nach Größe – eine Vielzahl von Konnektoren. Dies wird sich voraussichtlich 2024 mit der Entwicklung des Highspeed-Konnektors ändern:
Einfach ausgedrückt ist der Highspeed-Konnektor im Vergleich zum aktuell genutzten Konnektor ein technisch deutlich leistungsfähigeres und moderneres Gerät, das die Anbindung an die Telematikinfrastruktur ermöglicht. Mit dem Highspeed-Konnektor soll die Grundlage für eine hochverfügbare und skalierbare Konnektorlösung zum Betrieb in einem krankenhauseigenen bzw. einem zertifizierten Rechenzentrum geschaffen werden. Technisch basiert der neue Konnektor dann auf Standard-Hardware, die problemlos in Rechenzentren betrieben werden kann. Als Rechenzentren sind in der Regel physische Standorte definiert, in denen sich IT-Services und IT-Infrastrukturen befinden bzw. von denen aus IT-Dienstleistungen angeboten werden. Krankenhäuser haben in der Regel ein eigenes Rechenzentrum, Arztpraxen oder Apotheken oftmals nicht.
In einer ersten Ausbaustufe wird der Highspeed-Konnektor künftig in den Rechenzentren von Krankenhäusern den Betrieb mehrerer „Einbox“-Konnektoren unnötig machen. Ein einzelner Highspeed-Konnektor wird dann, je nach Ausbaustufe, voraussichtlich für die Anbindung eines gesamten Krankenhauses ausreichen. Auch wird die Verwaltung der Kartenterminals verbessert.
In einer weiteren Ausbaustufe werden auch Praxen künftig von Highspeed-Konnektoren profitieren können. Ziel ist es, dass Dienstleister in sogenannten zertifizierten Rechenzentren einen Highspeed-Konnektor für mehrere Praxen via sogenanntem „Gateway“ betreiben. Dieses Gateway ist eine technische Lösung, die es ermöglicht, dass ein einzelner Highspeed-Konnektor im Rechenzentrum für eine Vielzahl von Praxen den TI-Anschluss bereitstellen kann. Dafür wird eine Praxis wahrscheinlich einen Vertrag mit einem Dienstleister eingehen, der den Anschluss und Betrieb garantiert. Ein separater Konnektor in der Praxis vor Ort wäre dann nicht mehr notwendig.
Der Highspeed-Konnektor sowie das angesprochene Gateway befinden sich aktuell in der Entwicklung. Seit Anfang 2024 werden die neuen Technologien im Rahmen sogenannter „Friendly User Tests“ erprobt. Im Laufe des Jahres 2024 wird mit ersten Zulassungen gerechnet, sodass mit dem Highspeed-Konnektor und dem TI-Gateway moderne, hochverfügbare und sichere Zugangswege in die TI zur Verfügung stehen.
Wird ein Konnektor dauerhaft außer Betrieb genommen, muss dieser deregistriert und auf Werkseinstellungen zurückgestellt werden.
Bei der Außerbertiebnahme von eHealth-Kartenterminals muss die Gerätekarte (gSMC-KT) entnommen werden. Sie kann – sofern noch nicht abgelaufen – in einem anderen Kartenterminal weiterverwendet werden oder muss in allen anderen Fällen zerstört werden. Die gespeicherten Pairing-Informationen im Kartenterminal müssen gelöscht werden - auch in der Konfiguration des angebundenen Konnektors, sofern dieser weiterverwendet wird.
Die weitere, korrekte Vorgehensweise zur Außerbetriebnahme, Entsorgung von Konnektoren und eHealth-Kartenterminals und ggf. zur Rücksendung des Konnektors sind im Produkthandbuch des Konnektors bzw. Kartenterminals nachzulesen.
Wichtig: Konnektoren und Kartenterminals dürfen keinesfalls im Hausmüll entsorgt werden.
Informationen der Konnektor- und Kartenterminalhersteller hat die gematik in ihrem Fachportal zusammengestellt: https://fachportal.gematik.de/leistungserbringer