Grundlagen
Was ist RSA/ECC?
- RSA und ECC sind kryptografische Verfahren zur Verschlüsselung. Beide werden in TI-Komponenten und -Diensten eingesetzt, um Kommunikation und Daten sicher zu schützen.
Warum ist der Wechsel von RSA auf ECC notwendig?
- Ein sicherer TI-Betrieb hat für die gematik oberste Priorität.
- RSA2048 gilt nach aktuellen Sicherheitsrichtlinien ab 2026 nicht mehr als ausreichend sicher.
- Der Austausch von RSA2048 auf ECC256 bis Ende 2025 ist eine zentrale Maßnahme, um die TI auch künftig an den höchsten Sicherheitsstandards auszurichten.
Regulierung & Vorgaben
Warum gilt der Stichtag 31.12.2025?
- Die gematik orientiert sich an Empfehlungen und Vorgaben des BSI und international anerkannter Standards (z. B. SOGIS-Katalog, Seite 24).
- Die Bundesnetzagentur (BNetzA) hat für die qualifizierte elektronische Signatur (QES) festgelegt, dass RSA <3000 Bit nach dem 31.12.2025 nicht mehr für die Nutzung im QES Bereich geeignet ist (Quelle).
- Da die QES in die Regelungskompetenz der BNetzA fällt, ist die Frist verbindlich.
Wann erfolgt die Abschaltung im non-QES-Bereich?
- Die Abschaltung erfolgt nach dem erfolgreichen PTV6-Konnektor-Rollout.
- Das aktuelle Planungsziel ist der 01.07.2026.
Seit wann sind die Vorgaben bekannt?
- Das BSI und internationale Gremien veröffentlichen seit mindestens 10 Jahren Dokumente, in denen die Migration von RSA auf ECC vorgesehen ist.
- Die gematik hat die beteiligten Akteure frühzeitig informiert und in ihre Spezifikationen eingearbeitet
Clientanbindung
Wie verhält sich ein Konnektor bzgl. seines Software-Konnektorzertifikats zum einen nach dem Update auf PTV6 oder PTV2 (für HSK) und zum anderen ab 01.01.2026 bzw. nach dem Tag, wenn RSA tatsächlich im nonQES-Bereich abgeschaltet wird?
- Eine ausführliche Antwort findet sich in der Zeile 36 der Tabelle "Fragen und Antworten" auf der Seite FAQ zu PTV6/PTV2- Fragen und Antworten.
- In diesem Zusammenhang sind auch die Zeilen 32-35 relevant.
Wie verhält sich ein Konnektor bzgl. der Clientzertifikate ab 01.01.2026 bzw. nach dem Tag, wenn RSA tatsächlich im nonQES-Bereich abgeschaltet wird?
- Eine ausführliche Antwort findet sich in der Zeile 35 der Tabelle "Fragen und Antworten" auf der Seite FAQ zu PTV6/PTV2- Fragen und Antworten.
- In diesem Zusammenhang sind auch die Zeilen 32-34 und 36 relevant.
Konnektoren
Kann ein single-personalisierter Konnektor mit RSA-Zertifikat nach dem 31.12.2025 weiter genutzt werden?
- Nach aktuellem Stand: Nein.
- Die Zertifikate aller single-personalisierter Konnketoren laufen spätestens zum 31.12.2025 aus und werden damit ungültig.
- Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors. Dieser kann sich nicht mehr mit der TI verbinden.
Gibt es eine Verlängerung der Zertifikate?
- Nach aktuellem Stand: Nein.
- Eine weitere Verlängerung ist aus Sicherheitsgründen technisch nicht vorgesehen.
Welche Alternativen gibt es?
- TI-Gateway
- Neuere ECC-personalisierte Konnektoren
Karten
Wird es ab dem 01.01.2026 HBAs als ECC-only-Karten ausgeben?
- ja
- Heilberufsausweise werden ab dem 01.01.2026 nur noch als ECC-only Variante herausgegeben
- Das gilt für QES-Zertifikate, als auch für nonQES-Zertfikate
Ab wann dürfen weitere ECC-only-Karten (eGK, SMC-B, gSMC-KT) herausgegeben werden?
- Sobald der PTV6-Konnektor flächendeckend verfügbar ist.
- Planungszieldatum: 01.07.2026.
- Die gematik teilt den Starttermin den Kartenherausgebern und Stakeholdern mit einer Vorlaufzeit von etwa 6 Monaten mit.
Muss die gSMC-KT G2.0 im Feld bis Ende 2025 getauscht werden?
- Die gematik empfiehlt den Tausch der G2.0 Karten. Die Nutzung wird jedoch bis Ende 2026 toleriert und es erfolgt keine Abschaltung
Soll ein Primärsystem eine Warnung anzeigen, wenn eine G2.0 noch in Verwendung ist?
- Nach aktuellem Stand: Ja.
- Regulatorische Vorgaben sehen vor, dass diese Karten nicht mehr genutzt und durch neue Karten ersetzt werden müssen.
- Eine Abschaltung im nonQES erfolgt dennoch erst ab Mitte 2026 nach dem erfolgreichen PTV6-Konnektor-Rollout. Eine Außnahme stellen dabei die gSMC-KT G2.0 dar. Diese sollte getauscht werden, bleibt aber bis Ende 2026 funktionsfähig.
Weitere Fragen?
👉 Du hast noch eine Frage und findest hier keine Antwort? Schreib uns gerne deine Frage an: ServiceDesk-Portal
Wir sammeln die Fragen aus den verschiedenen Sitzungen und Tickets welche uns erreichen und werden diese an dieser Stelle mit der passenden Antwort veröffentlichen.
1 Comment
Gerit Freericks
26.09.2025Moin Zusammen,
mögt ihr die Seite noch etwas "aufhübschen"?
Wichtig wären mir Querlinks für:
- RSA2048 gilt nach aktuellen Sicherheitsrichtlinien ab 2026 nicht mehr als ausreichend sicher. → Link zu diesen Sicherheitsrichtlinien
- Die Bundesnetzagentur (BNetzA) hat für die qualifizierte elektronische Signatur (QES) festgelegt, dass RSA <3000 Bit nach dem 31.12.2025 nicht mehr genutzt werden darf. → Link zum Schreiben/Gesetz/... wo die BNetzA dies festgelegt hat.
- Kann ein single-personalisierter Konnektor mit RSA-Zertifikat nach dem 31.12.2025 weiter genutzt werden? → Ich würde da einfach noch bei schreiben "Ein dual-personalisierter Zertifikats-Container (P12-Datei) mit RSA und ECC ist kein Problem, falls alle Akteure das ECC-Zertifikat aus dem Container benutzen. Das RSA-Zertifikat aus solch einem Container geht natürlich dann nicht mehr." (oder so ähnlich, ich hoffe ich habe nun nicht die Begriffe durcheinander gebracht).
... ich wollte gerade "Eine ausführliche Antwort findet sich in der Zeile 36 der Tabelle "Fragen und Antworten" auf der Seite FAQ zu PTV6/PTV2- Fragen und Antworten." hinzufügen, aber er zeigt bei mir den Link einfach nur nicht an, er ist aber da (wenn ich mit der Maus drüber gehe ist der Text unterstrichen, sonst sieht der Text identisch aus, scheint wohl ein Problem/eine ungünstige Konstellation im Jira/Confluence zu sein)
Ansonsten ist diese Seite auf jeden Fall ein sehr guter Ankerpunkt, um die wichtigsten Fragen beantwortet zu bekommen. Viele Dinge sind mir jetzt beispielsweise etwas klarer. 💪
Liebe Grüße aus Neermoor
Gerit Freericks