Grundlagen  


Was ist RSA/ECC?

  • RSA und ECC sind kryptografische Verfahren zur Verschlüsselung. Beide werden in TI-Komponenten und -Diensten eingesetzt, um Kommunikation und Daten sicher zu schützen.


Warum ist der Wechsel von RSA auf ECC notwendig?

  • Ein sicherer TI-Betrieb hat für die gematik oberste Priorität.
  • RSA2048 gilt nach aktuellen Sicherheitsrichtlinien ab 2026 nicht mehr als ausreichend sicher.
  • Der Austausch von RSA2048 auf ECC256 bis Ende 2025 ist eine zentrale Maßnahme, um die TI auch künftig an den höchsten Sicherheitsstandards auszurichten.


Regulierung & Vorgaben  


Warum gilt der Stichtag 31.12.2025?

  • Die gematik orientiert sich an Empfehlungen und Vorgaben des BSI und international anerkannter Standards (z. B. SOGIS-Katalog, Seite 24).
  • Die Bundesnetzagentur (BNetzA) hat für die qualifizierte elektronische Signatur (QES) festgelegt, dass RSA <3000 Bit nach dem 31.12.2025 nicht mehr für die Nutzung im QES Bereich geeignet ist (Quelle).
  • Da die QES in die Regelungskompetenz der BNetzA fällt, ist die Frist verbindlich.


Wann erfolgt die Abschaltung im non-QES-Bereich?

  • Die Abschaltung erfolgt nach dem erfolgreichen PTV6-Konnektor-Rollout.
  • Das aktuelle Planungsziel ist der 01.07.2026.


Seit wann sind die Vorgaben bekannt?

  • Das BSI und internationale Gremien veröffentlichen seit mindestens 10 Jahren Dokumente, in denen die Migration von RSA auf ECC vorgesehen ist.
  • Die gematik hat die beteiligten Akteure frühzeitig informiert und in ihre Spezifikationen eingearbeitet

  

Clientanbindung

Wie verhält sich ein Konnektor bzgl. seines Software-Konnektorzertifikats zum einen nach dem Update auf PTV6 oder PTV2 (für HSK) und zum anderen ab 01.01.2026 bzw. nach dem Tag, wenn RSA tatsächlich im nonQES-Bereich abgeschaltet wird?

  • Eine ausführliche Antwort findet sich in der Zeile 36 der Tabelle "Fragen und Antworten" auf der Seite FAQ zu PTV6/PTV2- Fragen und Antworten.
  • In diesem Zusammenhang sind auch die Zeilen 32-35 relevant.

Wie verhält sich ein Konnektor bzgl. der Clientzertifikate ab 01.01.2026 bzw. nach dem Tag, wenn RSA tatsächlich im nonQES-Bereich abgeschaltet wird?

  • Eine ausführliche Antwort findet sich in der Zeile 35 der Tabelle "Fragen und Antworten" auf der Seite FAQ zu PTV6/PTV2- Fragen und Antworten.
  • In diesem Zusammenhang sind auch die Zeilen 32-34 und 36 relevant.


Konnektoren  

Kann ein single-personalisierter Konnektor mit RSA-Zertifikat nach dem 31.12.2025 weiter genutzt werden?

  • Nach aktuellem Stand: Nein.
  • Die Zertifikate aller single-personalisierter Konnketoren laufen spätestens zum 31.12.2025 aus und werden damit ungültig.
  • Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors. Dieser kann sich nicht mehr mit der TI verbinden.


Gibt es eine Verlängerung der Zertifikate?

  • Nach aktuellem Stand: Nein.
  • Eine weitere Verlängerung ist aus Sicherheitsgründen technisch nicht vorgesehen.


Welche Alternativen gibt es?

  • TI-Gateway
  • Neuere ECC-personalisierte Konnektoren

  

nonQ

Karten 

Wird es ab dem 01.01.2026 HBAs als ECC-only-Karten ausgeben?

  • ja
  • Heilberufsausweise werden ab dem 01.01.2026 nur noch als ECC-only Variante herausgegeben
  • Das gilt für QES-Zertifikate, als auch für nonQES-Zertfikate


Ab wann dürfen weitere ECC-only-Karten (eGK, SMC-B, gSMC-KT) herausgegeben werden?

  • Sobald der PTV6-Konnektor flächendeckend verfügbar ist.
  • Planungszieldatum: 01.07.2026.
  • Die gematik teilt den Starttermin den Kartenherausgebern und Stakeholdern mit einer Vorlaufzeit von etwa 6 Monaten mit.


Muss die gSMC-KT G2.0 im Feld bis Ende 2025 getauscht werden?

  • Die gematik empfiehlt den Tausch der G2.0 Karten. Die Nutzung wird jedoch bis Ende 2026 toleriert und es erfolgt keine Abschaltung 


Soll ein Primärsystem eine Warnung anzeigen, wenn eine G2.0 noch in Verwendung ist?

  • Nach aktuellem Stand: Ja.
  • Regulatorische Vorgaben sehen vor, dass diese Karten nicht mehr genutzt und durch neue Karten ersetzt werden müssen.
  • Eine Abschaltung im nonQES erfolgt dennoch erst ab Mitte 2026 nach dem erfolgreichen PTV6-Konnektor-Rollout. Eine Außnahme stellen dabei die gSMC-KT G2.0 dar. Diese sollte getauscht werden, bleibt aber bis Ende 2026 funktionsfähig.

  

Weitere Fragen? 

👉 Du hast noch eine Frage und findest hier keine Antwort? Schreib uns gerne deine Frage an: ServiceDesk-Portal 

Wir sammeln die Fragen aus den verschiedenen Sitzungen und Tickets welche uns erreichen und werden diese an dieser Stelle mit der passenden Antwort veröffentlichen.