Diese Seite ist öffentlich und der Inhalt kann unter Angabe der Quell-URL dieser Seite gerne mit Partnern/Kunden geteilt oder an Dritte weitergegeben werden.
Die Telematikinfrastruktur (TI) stellt ihre Kryptografie von RSA auf ECC (Elliptic Curve Cryptography) um. Dies erfolgt auf Empfehlung des BSI und der Europäischen eIDAS, da RSA-2048 nur noch befristet bis Ende 2025 zulässig ist. In einer Leistungserbringerinstitution sind dabei auch Komponenten betroffen. Im Folgenden wird für jede relevante Komponente dargestellt, ob ein Austausch oder Update nötig ist und wie der Ablauf gegebenfalls aussieht.
Allgemeine Liste der durchzuführenden Tätigkeiten
Komponente | Prüfung auf ECC-Fähigkeit | Wenn nicht ECC-fähig (G2.0) Was tun? |
---|---|---|
Institutionskennkarte (SMC-B) | – Im Konnektor‑Webinterface unter „Kartenverwaltung“ prüfen auf ECC‑Zertifikate – Im Kartenportal Informationen einsehen | → Neue SMC‑B G2.1 beantragen (Antrag → Ident) Telematik-ID muss gleichbleiben (wichtig für KIM)! Folgekarte beantragen (KEINE neue Karte) |
Heilberufsausweis (HBA) | – Aufdruck Rückseite: „G2“ (kein ECC) – Medisign-Version: 3.20 (G2.0) vs. 10.21/02.22 (G2.1) – Im Konnektor‑Webinterface unter „Kartenverwaltung“ prüfen auf ECC‑Zertifikate | → Neuen eHBA G2.1 beantragen (Antrag → PIN/PUK) Telematik-ID muss gleichbleiben (wichtig für KIM)! Folgekarte beantragen (KEINE neue Karte) |
gSMC-KT (Terminalkarte) | – Im Konnektor‑Interface: nur RSA-Zertifikat sichtbar – Direkt im stationären Terminal: Anzeige „AUT“ ohne „AUT2“ | → gSMC‑KT G2.1 bestellen, tauschen + neu koppeln |
Kartenterminal (Firmware) | Firmware-Version im Menü prüfen – Herstellerdoku auf ECC-Unterstützung prüfen | → Firmware-Update einspielen, erneut koppeln |
Konnektor | Im Konnektor‑Interface: Suche nach "gSMC‑K" → Anzeige nur ein RSA‑Zertifikat = Karte ist G2.0 (RSA‑only). | → Umstieg auf TI-Gateway |
PVS-/KIM-Software | Versionsdetail im PVS/KIM: braucht Support für ECC (PTV ≥ 1.6.2‑9) | → Update auf ECC-kompatible Softwareversion durchführen |
Detaillierter Blick mit konkreteren Handlungsanweisungen
Komponente | Prüfung auf ECC-Fähigkeit (manuell bzw. nicht standardisiert) | Prüfung auf ECC-Fähigkeit (standardisiert) | Beschreibung: Was zu tun bei nicht ECC-Fähigkeit | Involvierte Rollen (wer es tun muss) | Hintergrund/Zusatzinfo | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Institutionskennkarte/Praxisausweis (SMC-B) | Identifikation einer SMC-B G2.0 mit folgenden Optionen:
| Für SMC-B, HBA und gSMC-KT lässt sich die ECC-Fähigkeit dieser gesteckten Karten nach folgendem Algorithmus über die SOAP-Schnittstelle des Konnektors ermitteln.
| Neue SMC-B G2.1 als Folgekarte beantragen
Hinweis: Bei Kartentausch oder Anbieterwechsel die TelematikID beibehalten, um betrieblichen Problemen vorzubeugen. Nach erfolgreicher Prüfung durch die KV erfolgt der Versand der Karte und des Transport-PINs und die Inbetriebnahme kann erfolgen:
| Praxisinhaber (Beantragung) ggfs. DVO oder Admin (Einrichtung) KV/Kammer (Genehmigung) | ECC erforderlich: Ältere SMC-B (G2.0, nur RSA) sind zukünftig nicht nutzbar. Zeit: spätestens September 2025 (3 Monate vor Ablauf) neue SMC-B G2.1 beantragen, falls noch keine Kontaktaufnahme vom Anbieter erfolgt ist, da Postlaufzeit + Freischaltung nötig. Telematik-ID muss gleichbleiben (wichtig für KIM)! Folgekarte beantragen (KEINE neue Karte) | ||||||||||||||||||||
Heilberufsausweis (HBA) | Identifikation einer HBA G2.0 mit folgenden Optionen:
| Neuen eHBA G2.1 als Folgekarte beantragen
Hinweis: Bei Kartentausch oder Anbieterwechsel die TelematikID beibehalten, um betrieblichen Problemen vorzubeugen. Nach erfolgreicher Prüfung erfolgt die Lieferung mit PIN/PUK-Brief. Leistungserbringer ändert PIN (nonQES+QES) und nutzt neue Karte im Terminal. Alte HBA ggf. bis Ablauf parallel nutzbar, dann sperren/vernichten.
| Jeweiliger Karteninhaberin (Arzt/Zahnarzt/Apotheker) selbst; Kammer/Anbieter stellt aus. | ECC erforderlich: Ältere HBAs der Generation G2.0 ohne ECC funktionieren für neue TI-Funktionen nicht. Zeit: spätestens September 2025 (3 Monate vor Ablauf) neuen HBA G2.1 beantragen, falls noch keine Kontaktaufnahme vom Anbieter erfolgt ist, da Postlaufzeit + Freischaltung nötig. Ohne gültigen HBA kein E-Rezept / ePA-Zugriff möglich. Telematik-ID muss gleichbleiben (wichtig für KIM)! Folgekarte beantragen (KEINE neue Karte) | |||||||||||||||||||||
gSMC-KT | Identifikation einer gSMC-KT G2.0 mit folgenden Optionen: Über den Konnektor je nach Hersteller:
Direkt am Kartenterminal je nach Hersteller:
| Neue gSMC-KT G2.1 Terminal selbst bleibt, nur die Sicherheitskarte tauschen.
Sobald neue Karte für jedes Kartenterminal vorhanden ist:
| Praxis-Admin/IT kann Tausch selbst vornehmen (laut Anleitung); alternativ DVO beim Praxisbesuch. | ECC erforderlich: G2.0-Karten (RSA) sollten gegen G2.1 ersetzt werden, da sonst keine ausreichend sichere Verbindung mehr zum Konnektor besteht. Nach physischem Tausch, Admin-Passwörter für Kopplung nötig. | |||||||||||||||||||||
Primärsystem | Prüfung auf ggf. notwendiges Software-Update des Primärsystems durch Prüfung der letzten Release-Notes, Mitteilung des Herstellers oder durch Kontaktaufnahme zum Hersteller |
| Primärsystem auf aktuelle ECC-fähige Version bringen
| Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote) | Aktualität: Das PVS muss kompatibel sein vor der Aktualisierung des Konnektors auf PTV6 – sonst Ausfall von TI-Funktionen. Herstellerinfos beachten zu TI-Updates (meist in Release Notes). | ||||||||||||||||||||
KIM-Clientmodul | Überprüfung der installierten KIM-Clientmodulversion Ältere KIM-Versionen (KIM1.0 bis KIM 1.5.2-8 - für das CM ist das PTV 1.2.2 bis PTV 1.6.2-8) versagen bei ECC. Es ist unbedingt das Update auf KIM 1.5.2-9 (CM PTV >= 1.6.2-9) einzuspielen. Ab Datum haben alle KIM-CM Hersteller ein CM mit KIM 1.5.2-9 zum Update/Download bereitgestellt. Unmittelbar nach dem Datum muss KIM-CM aktualisiert werden, unabhängig davon, welche Version das vorhandene KIM-CM trägt.
|
NB:
| KIM-Software updaten auf ECC-fähige Version.
Wichtig: Direkt vor dem Tausch G2.0- zu G2.1-SMC-B oder HBA und damit vor dem Wechsel der Zertifikate müssen KIM-Nachrichten abgerufen werden. Sonst droht nach dem Wechsel der Verlust älterer, noch nicht abgerufener KIM-Nachrichten. Hinweise:
| Praxis-Admin/IT oder DVO; in Abstimmung mit PVS-Hersteller und KIM-Dienstanbieter. | Kompatibilität: Ältere KIM-Versionen (KIM1.0 bis KIM 1.5.2-8 - für das CM ist das PTV 1.2.2 bis PTV 1.6.2-8) versagen bei ECC. Es ist unbedingt das Update auf KIM 1.5.2-9 (CM PTV >= 1.6.2-9) einzuspielen. Timing: Update ist vor 2026 durchzuführen, da sonst KIM-Ausfall. Aktualität: Das KIM-CM muss auf KIM 1.5.2-9 (CM PTV >= 1.6.2-9) aktualisiert werden bevor der Konnektors auf PTV6 aktualisiert wird – sonst Ausfall von TI-Funktionen. KIM-Adresse an SMC-B gebunden – bei Kartentausch Mails vorher abrufen und neue Karte bei KIM anmelden. KIM-Adresse an HBA gebunden – bei Kartentausch Mails vorher abrufen und neue Karte bei KIM anmelden. Telematik-ID muss gleichbleiben! Folgekarte beantragen (KEINE neue Karte) | ||||||||||||||||||||
Konnektor | Erkennen eines RSA‑only Konnektors Suche nach "gSMC‑K" in der Admin-Oberfläche des Konnektors
| Der Zugriff auf Informationen der gSMC-K des Konnektors über die Außenschnittstelle des Konnektors ist limitiert und variiert leicht zwischen PTV5 und PTV6. Die PTV des vorliegenden Konnektors kann via API über die Service Discovery aus der Datei connector.sds entnommen werden. Um an die Datei kommen muss ein HTTPS GET an die URL des Konnektors https://<konnektor_url>:<port>/connector.sds mit der gleichen Clientsystemauthentisierung wie an der SOAP Schnittstelle des Konnektor konfiguriert. In der XML-Struktur der connector.sds Datei kann die PTV dem Element
Dabei ist zusätzlich zu prüfen, ob es sich bei dem vorliegendem Konnektor um einen Einboxkonnektor (EBK) und nicht etwa um einen Highspeed-Konnektor (HSK) handelt. HSKs sind grundsätzlich nicht RSA-Only singlepersonalisiert und daher bezüglich der Geräteidentität immer ECC-fähig, sodass die weiteren Prüfschritte auf Personalisierung der gSM(C)-K für HSKs nicht durchgeführt werden müssen. Um den Konnektortyp (HSK oder EBK) zu ermitteln kann ebenfalls in der connector.sds im Element
Für EBK PTV <6:
Für EBK PTV >=6: Gehe äquivalent zu "Für PTV <6" vor, jedoch rufe CheckCertificateExpiration ohne Angabe des crypt Parameters auf.
Zusatzinfo ggf. zum Verständnis des vorgestellten Algorithmus:
| Austausch gegen TI-Gateway/Highspeed-Konnekor Anbieter auswählen
Installation Vor-Ort:
| DVO/IT-Dienstleister für Installation Praxis stellt SMC-B + Credentials bereit. | Frist: Die RSA-Only Konnektoren verfügen über kein ECC-Schlüsselmaterial auf der gSMC-K. Nach Ende 2025 wird RSA-basierter Betrieb nicht mehr erlaubt – ohne gültiges Zertifikat funktioniert der TI-Zugang nicht mehr Die Nutzung eines HSK als Ersatz via TI-Gateway (gehosteter Konnektor) ist möglich seit 2024. | ||||||||||||||||||||
Erkennen eines dual-personalisierten RSA+ECC Konnektors Suche nach "gSMC‑K" in der Admin-Oberfläche des Konnektors
| Laufzeitverlängerung mit PTV6
Umstieg auf TI-Gateway
| DVO/IT-Dienstleister für Installation Praxis stellt SMC-B + Credentials bereit. | Frist: Die Laufzeitverlängerung bzw. der Umstieg auf ein TI-GW/HSK müssen bis zum Ablaufdatum des Konnektors vollzogen sein. LZV2 kostenpflichtig: Es wird eine Laufzeitverlängerung Stufe 2 (LZV2) für dualpersonalisierte Konnektoren geben. Um die LZV2 nutzen zu können ist voraussichtlich ein kostenpflichtiges Update beim Anbieter notwendig. Es wird der Umstieg auf ein HSK/TI-Gateway empfohlen. | ||||||||||||||||||||||
Clientsystemauthentisierung zum Konnektor Prüfen, welche Client-Zertifikate (KIM-Modul, PS, Authenticator) verwendet werden in der Admin-Oberfläche des Konnektors (Alternativ: Konnektorlogs, oder Konnektorevent "EC_TLS_Client_Certificate_Security")
|
| Sollte erkannt werden, dass die an einem Konnektor eingerichtete Clientsystemauthentisierung RSA2048 basiert ist, sollte diese zwar gegen eine andere ersetzt werden, jedoch gibt es im Rahmen der geplanten RSA-Abschaltungen keine Durchsetzungsmechanismen und daher auch keine Konsequenzen, wenn dies in einer LEI nicht umgesetzt wird. D.h. bestehende RSA2048 Verbindungen werden auch mit PTV6 weiterhin nutzbar sein. Nichtsdestotrotz weist die gematik darauf hin, dass gem. SOG-IS solche Verbindungen ab 2026 nicht mehr zulässig sind. Ersetze Clientsystemauthentisierung
| Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote), DVO | Hinweis: Die neue Generation der Konnektoren unterstützt auch nach einem Update weiterhin RSA-2048 zur Clientauthentisierung auch in 2026. Ein Umstieg auf ECC_NIST wird empfohlen. | |||||||||||||||||||||
Registrierung am VPN-Zugangsdienst mit ECC
|
| Re-Registrierung mit ECC
| Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote) oder DVO | Hinweis: Mit der zukünftigen Konnektorgeneration PTV6 (verfügbar ab Q4/25 bzw. Q1/26) wird sich dieser automatisch mit ECC Re-Registrieren. Aktuell wird empfohlen den bisherigen PTV5-Konnektor manuell auf ECC zu registrieren (falls nicht bereits erfolgt). | |||||||||||||||||||||
eHealth-Kartenterminal | Versionsupdate prüfen Firmware der Kartenterminals auf Update prüfen und ggf. FW/TSL updaten | Für die am Konnektor verbundenen KTs lässt sich die ECC-Fähigkeit der KT-Firmware nach folgendem Algorithmus über die SOAP-Schnittstelle des Konnektors ermitteln.
| Firmware Update einspielen Falls die installierte Firmwareversion kleiner sein sollte, muss entweder ein Firmwareupdate durchgeführte werden oder zumindest die aktuelle von den jeweiligen Kartenherstellern zu Verfügung gestellte KT-TSL geladen werden (dazu die Hersteller kontaktieren). | Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote)oder DVO |
Wir freuen uns über Rückmeldungen, Hinweise oder Feedback, um die Übersicht weiter zu verbessern und den Nutzen für alle Beteiligten zu maximieren.
Nutzen Sie hierfür gerne unser Service-Portal: https://service.gematik.de/servicedesk/customer/portal/22
8 Comments
Benjamin Kim
16.06.2025Die Idee dieser Übersicht ist super, aber die Primärsystemhersteller brauchen für die Spalte "Prüfung auf ECC-Fähigkeit" Aussagen/Vorgehensbeschreibungen auf API-Ebene. Es ist den Leistungserbringenden nicht zuzumuten, sich durch die Web-Oberflächen der Komponenten durchzuklicken (von denen sie die Zugangsdaten häufig nicht parat haben) oder Karten rauszuziehen und sich anzuschauen, ob da etwas aufgedruckt ist. Die Primärsysteme müssen dazu in die Lage gebracht werden, diese Informationen automatisch, im Hintergrund, abzufragen.
Peter Schüller
07.07.2025In der o. g. Tabelle zum Konnektor reichen die Angaben m. E. nicht aus für den PTV6-Test. Es fehlt die Info, wie man einen Einbox-Konnektor von einem HSK unterscheiden kann (weil letzterer ja, leider, die ProductTypeVersion 2.0.0 haben wird).
Münz, Erik
07.07.2025Danke für den Hinweis. Wir haben eine Beschreibung hinzugefügt, wie man erkennen kann ob ein EBK/HSK vorliegt.
Ralf Großhans
07.07.2025Sinnvoller wäre es, dass der HSK die gleiche Versionsnr. erhält wie ein Einbox Konnektor. Das ist doch nur ein Zahlenwert (String) den die HSK Anbieter ändern müssten. Diese zwei Nr.-Kreise für das selbe schafft nur Verwirrung und Probleme.
Münz, Erik
08.07.2025Das ist bereits so umgesetzt. Für HSK wird in
ProductInformation.ProductTypeInformation.ProductTypeVersion
nicht die HSK PTV berichtet, sondern das EBK-Äquivalent.Ralf Großhans
08.07.2025Ihre Aussage verstehe ich nicht. der HSK sagt doch 2.0.0. Diese Version war aber im EBK schon vor Jahren verbrannt.
Münz, Erik
08.07.2025siehe diese HSK-AFO: https://gemspec.gematik.de/docs/gemF/gemF_Highspeed-Konnektor/latest/#A_26376
Ralf Großhans
08.07.2025ich sehe dort
ich würde aber erwarten dass man einfach in der ersten Spalte auch 6.0.0-0 schreibt und alle Verwirrung ist erledigt.