Identifikation einer SMC-B G2.0 mit folgenden Optionen:

• Konnektor-Managementoberfläche (Admin): Überprüfen Sie im Menüpunkt „Kartenverwaltung“ oder „Zertifikate“, ob ECC-Zertifikate vorhanden sind.
• Kartenterminal: Bei bestimmten Modellen, wie dem CHERRY ST1506, navigieren Sie zu:
  Menü → Einstellungen → Status → gSMC-KT Informationen
  Dort können Sie Details zu den Zertifikaten einsehen.
• Kartenportal des Anbieters: Melden Sie sich im Portal Ihres Kartenanbieters an und prüfen Sie die Zertifikatsinformationen Ihrer Karten.

• Kartentyp anhand des Aufdrucks: Überprüfen Sie den Aufdruck auf der Karte:

  • G2: Nicht ECC-fähig. → neuen HBA G2.1 beantragen

  • G2.1: ECC-fähig.

Neue SMC-B G2.1 beantragen

• Antragsportal: Neue SMC-B (G2.1) beantragen, falls noch keine Kontaktaufnahme von Kartenherausgeber erfolgt ist.
  • Identitätsprüfung durchführen

Hinweis: Bei Kartentausch oder Anbieterwechsel die TelematikID beibehalten, um betrieblichen Problemen vorzubeugen.

Nach erfolgreicher Prüfung durch die KV erfolgt der Versand der Karte und des Transport-PINs und die Inbetriebnahme kann erfolgen:

• Freischaltung der Karte im Antragsportal
• Stecken der Karte in das Kartenterminal und Aktivierung der Karte mittels Transport-PIN und Vergabe eines neuen PINs über das Praxisverwaltunsgsystem
• Funktionstest inkl. Überprüfung der TI-Verbindung

Praxisinhaber (Beantragung)

ggfs. DVO oder Admin (Einrichtung)

KV/Kammer (Genehmigung)

ECC erforderlich: Ältere SMC-B (G2.0, nur RSA) sind zukünftig nicht nutzbar.

Zeit: spätestens September 2025 (3 Monate vor Ablauf) neue SMC-B G2.1 beantragen, falls noch keine Kontaktaufname vom Anbieter erfolgt ist, da Postlaufzeit + Freischaltung nötig. 

Identifikation einer HBA G2.0 mit folgenden Optionen:

• Kartentyp anhand des Aufdrucks: Überprüfen Sie auf der Kartenrückseite:

  • G2: Nicht ECC-fähig. → neuen HBA G2.1 beantragen

  • G2.1: ECC-fähig.

• Medisign: Versionsnummer auf der Kartenrückseite

  • G2.0: Die Versionsnummer lautet 3.20 → neuen HBA G2.1 beantragen

  • G2.1: Die Versionsnummer lautet 10.21 oder 02.22.

• Medisign: Chip-Design

  • G2.0: Der Chip ist quadratisch und verfügt über 20 Kontaktflächen. → neuen HBA G2.1 beantragen

  • G2.1: Der Chip ist rechteckig und hat nur 7 Kontaktflächen.

• Kartenportal des Anbieters: Melden Sie sich im Portal Ihres Kartenanbieters an und prüfen Sie die Zertifikatsinformationen Ihrer Karten.

Neuen eHBA G2.1 beantragen

• Antragsportal: Neuen HBA (G2.1) beantragen, falls noch keine Kontaktaufnahme von Kartenherausgeber erfolgt ist.
  • Identitätsprüfung durchführen

Hinweis: Bei Kartentausch oder Anbieterwechsel die TelematikID beibehalten, um betrieblichen Problemen vorzubeugen.

Nach erfolgreicher Prüfung erfolgt die Lieferung mit PIN/PUK-Brief. Leistungserbringer ändert PIN (nonQES+QES) und nutzt neue Karte im Terminal. Alte HBA ggf. bis Ablauf parallel nutzbar, dann sperren/vernichten. 

• Freischaltung der Karte im Antragsportal mittels Freischaltcode aus PIN-Brief
• Stecken der Karte in das Kartenterminal und Aktivierung der Karte mittels Transport-PINs (PIN.CH für die Karte und PIN.QES für die qualifizierte elektronische Signatur) in persönliche PINs. Dies erfolgt in der Regel über das Praxisverwaltungssystem oder mit einem Tool des Vertrauensdiensteanbieters.
  • Neuer PIN für PIN.CH
  • Neuer PIN für PIN.QES

• Funktionstest (z.B. signieren eines E-Rezeptes)

Jeweiliger Karteninhaberin (Arzt/Zahnarzt/Apotheker) selbst;

Kammer/Anbieter stellt aus.

ECC erforderlich: Ältere HBAs der Generation G2.0 ohne ECC funktionieren für neue TI-Funktionen nicht. 

Zeit: spätestens September 2025 (3 Monate vor Ablauf) neue SMC-B G2.1 beantragen, falls noch keine Kontaktaufname vom Anbieter erfolgt ist, da Postlaufzeit + Freischaltung nötig.  Ohne gültigen HBA kein E-Rezept / ePA-Zugriff möglich.

Identifikation einer gSMC-KT G2.0 mit folgenden Optionen:

Über den Konnektor je nach Hersteller:

• Navigiere zu „Praxis → Karten“ oder Kartenmanagement in der Admin-Oberfläche

• Suche nach der gSMC-KT der Terminal-Komponente.

Direkt am Kartenterminal je nach Hersteller:

• Im Web‑Interface: Menü „Info → gSMC‑KT“ anzeigen – zeigt es nur RSA oder auch EC (ECC)? Fehlt EC, ist es G2.0 → Karte tauschen

• Im Terminal‑Menü: → Service → Test → Einzeltest → Slot 3 (oder 4):

  • Anzeige „AUT“ + „AUT2“ → G2.1

  • Nur „AUT“ ohne „AUT2“ → G2.0 (RSA-only) → Karte tauschen 

Neuen gSMC-KT G2.1

Terminal selbst bleibt, nur die Sicherheitskarte tauschen.

• Neue gSMC-KT beim Hersteller für jedes betroffene Kartenterminal bestellen.

Sobald neue Karte für jedes Kartenterminal vorhanden ist:

• Siegel und alte Karte entfernen
• Neue Karte am Terminal einstecken und neues Siegel (Aufkleber) aufbringen
• Anschließend Terminal im Konnektor neu koppeln (Admin-Oberfläche), damit TLS-Verbindung mit neuem Zertifikat aufgebaut wird. Terminal meldet danach wieder eGK-Lesebereitschaft.

Praxis-Admin/IT kann Tausch selbst vornehmen (laut Anleitung);

alternativ DVO beim Praxisbesuch.

ECC erforderlich: G2.0-Karten (RSA) sollten gegen G2.1 ersetzt werden, da sonst keine ausreichend sichere Verbindung mehr zum Konnektor besteht.

Nach physischem Tausch, Admin-Passwörter für Koppelung nötig.

Prüfung auf ggf. notwendiges Software-Update des Primärsystems durch Prüfung der letzten Release-Notes, Mitteilung des Herstellers oder durch Kontaktaufnahme zum Hersteller

Primärsystem auf aktuelle ECC-fähige Version bringen

• Update via Autoupdate oder Installer durchführen. Individuelle Herstellervorgaben einhalten.
• Funktionstests (VSDM, KIM-Mail, eRezept) durchführen.

Überprüfung der installierten KIM-Clientmodulversion

Ältere KIM-Versionen (KIM1.0/1.5.2-8 - für das CM ist das PTV 1.2.2 bis PTV 1.6.2-8) versagen bei ECC.

Es ist unbedingt das Update auf  KIM 1.5.2-9 (CM PTV >= 1.6.2-9) einzuspielen. Gegebenenfalls Hersteller zur Hilfestellung der Versionsermittlung kontaktieren.

KIM-Software updaten auf ECC-fähige Version. 

• Update durchführen - Integriert im PVS: kommt per PS-Update;  extern: neuen Client installieren
• Test: E-Mail Versand/Empfang

Empfehlung: Innerhalb der RSA-ECC-Übergangszeit sollten KIM-Mails regelmäßig abgerufen werden, um im Falle eines Kartentausches das Risiko eines Datenverlustes zu reduzieren (z. B. Tausch G2.0 zu G2.1-Karten und damit Wechsel der Zertifikate). 

Hinweise: 

• Clientzertifikat vom Modul zum KIM-Fachdienst: Wird automatisch ab KIM 1.5.2.-9 (CM PTV 1.6.2-9) vom Clientmodul vom Fachdienst bezogen und muss nicht manuell bezogen und eingebracht werden 
• Clientzertifikat vom Modul zum Konnektor: Zertifikat auf ECC durch DVO umstellen.

Kompatibilität: Ältere KIM-Versionen (KIM1.0/1.5.2-8 - für das CM ist das PTV 1.2.2 bis PTV 1.6.2-8) versagen bei ECC. Es ist unbedingt das Update auf  KIM 1.5.2-9 (CM PTV >= 1.6.2-9) einzuspielen. 

Timing: Update ist vor 2026 durchzuführen, da sonst KIM-Ausfall.

KIM-Zertifikat an SMC-B gebunden – bei Kartentausch Mails vorher abrufen und neue Karte bei KIM anmelden.

Erkennen eines RSA‑only Konnektors

Suche nach "gSMC‑K" in der Admin-Oberfläche des Konnektors

• Anzeige nur ein RSA‑Zertifikat = Karte ist G2.0 (RSA‑only).

  • → Austausch gegen TI-Gateway

Austausch gegen TI-Gateway/Highspeed-Konnekor

Anbieter auswählen

• Zugelassenen TI-Gateway-Anbieter auswählen und Vertrag abschließen

• Bestehende Konnektor- und KIM-Verträge prüfen und ggf. kündigen unter Berücksichtigung von Fristen

Installation Vor-Ort:

• Installation des TI-Clients und Einrichtung der Verbindung

• Migration der Konfigurationen: Um zu vermeiden, dass der neue Konnektor nicht von Grund auf neu konfiguriert werden muss, ist hierbei die Migration der Konfigurationen (Aufrufkontext, Einstellungen, Clientzertifikate, etc.) nötig. 
  • Alternativ: Neueinrichtung
• Funktionstest durchführen (z.B.: Versichertenstammdaten, KIM, eAU/E-Rezept, ePA)
• Alten Konnektor zurücksenden oder ordnungsgemäße Entsorgung

DVO/IT-Dienstleister für Installation

Praxis stellt SMC-B + Credentials bereit.

Frist: Die RSA-Only Konnektoren sind nur 5 Jahre gültig. Nach Ende 2025 wird der Betrieb nicht mehr erlaubt – ohne gültiges Zertifikat funktioniert der TI-Zugang nicht mehr

Die Nutzung eines HSK als Ersatz via TI-Gateway (gehosteter Konnektor) ist möglich seit 2024. 

Erkennen eines dual-personalisierten RSA+ECC Konnektors

Suche nach "gSMC‑K" in der Admin-Oberfläche des Konnektors

• Anzeige RSA + ECC‑Zertifikate = Karte ist G2.1 (ECC‑fähig)

  • • → ggfs. Laufzeitverlängerung durchführen

Laufzeitverlängerung mit PTV6

• Die ECC-Zertifikate eines solchen Konnektors müssten Laufzeitverlängert werden. Der Konnektor benötigt dazu jedoch das LZV2 Feature des PTV6, damit er seine ECC-Laufzeitverlängerung erneut durchführen kann.

Umstieg auf TI-Gateway

• Da nach derzeitigem Plan PTV6 jedoch erst im Q4 2025 im Feld zur Verfügung steht, wird ein Umstieg auf HSK oder TI-Gateway empfohlen. (Siehe "Austausch gegen TI-Gateway")

DVO/IT-Dienstleister für Installation

Praxis stellt SMC-B + Credentials bereit.

Frist: Die Laufzeitverlängerung bzw. der Umstieg auf ein TI-GW/HSK müssen bis zum Ablaufdatum des Konnektors vollzogen sein.

LZV2 kostenpflichtig: Es wird eine Laufzeitverängerung Stufe 2 (LZV2) für dualpersonaliserte Konnektoren geben. Um die LZV2 nutzen zu können ist voraussichtlich ein kostenpflichtiges Update beim Anbieter notwendig. Es wird der Umstieg auf ein HSK/TI-Gateway empfohlen.

Clientsystemauthentisierung zum Konnektor

Prüfen, welche Client-Zertifikate (KIM-Modul, PS, Authenticator) verwendet werden in der Admin-Oberfläche des Konnektors (Alternativ: Konnektorlogs, oder Konnektorevent "EC_TLS_Client_Certificate_Security")

• Wenn in der Clientsystemauthentisierung RSA-2048 oder BASIC-AUTH genutzt wird, dann sollte diese gegen ein Authentisierungsmittel mit >120 Bit Sicherheitsniveau ersetzt werden.

Ersetze Clientsystemauthentisierung

• Einloggen in der Admin-Oberfläche des Konnektors und nach Clientsystemauthentisierung suchen
• Für bestehende Clientsysteme neue Client-Zertifkate generieren
  • ECC-NIST (empfohlen), ECC-Brainpool des AK.AUT der gSMC-K oder RSA3072
• Neues Zertifikat im Clientsystem hinterlegen (Primärsystem, KIM-Modul, Authenticator)
• Funktionstest durchführen (Verbindung zum Konnektor)

Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote), DVO

Registrierung am VPN-Zugangsdienst mit ECC

• In der Admin-Oberfläche des Konnektors kann der aktuelle Registrierungsstatus am VPN-Zugangsdienst überprüft werden. Sollte dieser anzeigen, dass die derzeitige Registrierung auf dem RSA basiert, so muss eine Re-Registrierung mit dem ECC durchgeführt werden.

Re-Registrierung mit ECC

• Einloggen in der Admin-Oberfläche des Konnektors

• GGfs. Konnektor Firmware aktualisieren (ECC-ready)

• ECC-VPN-Registrierung mit ECC-Zertifikat der SMC-B G2.1 

• VPN-Verbindung neu aufbauen & Funktionstest durchführen 

• Nach erfolgreichen Funktionstest kann die Alte RSA-Registrierung entfernt werden (optional)

Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote) oder DVO

Hinweis: Mit der zukünftigen Konnektorgeneration PTV6 (verfügbar ab 2026) wird sich dieser automatisch mit ECC Re-Registrieren. Aktuell wird empfohlen den bisherigen PTV5-Konnektor manuell auf ECC zu Registrieren (falls nicht bereits erfolgt).

Versionsupdate prüfen

Firmware der Kartenterminals auf Update prüfen und ggf. FW/TSL updaten

Firmware Update einspielen

Falls die installierte Firmwareversion kleiner sein sollte, muss entweder ein Firmwareupdate durchgeführte werden oder zumindest die aktuelle von den jeweiligen Kartenherstellern zu Verfügung gestellte KT-TSL geladen werden (dazu die Hersteller kontaktieren).