Identifikation einer SMC-B G2.0 mit folgenden Optionen:

• Konnektor-Managementoberfläche (Admin): Überprüfen Sie im Menüpunkt „Kartenverwaltung“ oder „Zertifikate“, ob ECC-Zertifikate vorhanden sind.
• Kartenportal des Anbieters: Melden Sie sich im Portal Ihres Kartenanbieters an und prüfen Sie die Zertifikatsinformationen Ihrer Karten.

• Kartentyp anhand des Aufdrucks: Überprüfen Sie den Aufdruck (falls vorhanden) auf der Karte:

  • G2: Nicht ECC-fähig. → neue SMC-B G2.1 beantragen

  • G2.1: ECC-fähig.

Neue SMC-B G2.1 als Folgekarte beantragen

• Antragsportal: Neue SMC-B (G2.1) beantragen, falls noch keine Kontaktaufnahme von Kartenherausgeber erfolgt ist.
  • Identitätsprüfung durchführen (Nur bei neuer Karte mit voller Laufzeit! Nicht bei Ersatzkarte)

Hinweis: Bei Kartentausch oder Anbieterwechsel die TelematikID beibehalten, um betrieblichen Problemen vorzubeugen.

Nach erfolgreicher Prüfung durch die KV erfolgt der Versand der Karte und des Transport-PINs und die Inbetriebnahme kann erfolgen:

• Freischaltung der Karte im Antragsportal
• Stecken der Karte in das Kartenterminal und Aktivierung der Karte mittels Transport-PIN und Vergabe eines neuen PINs über das Praxisverwaltunsgsystem
• Funktionstest inkl. Überprüfung der TI-Verbindung

Praxisinhaber (Beantragung)

ggfs. DVO oder Admin (Einrichtung)

KV/Kammer (Genehmigung)

ECC erforderlich: Ältere SMC-B (G2.0, nur RSA) sind zukünftig nicht nutzbar.

Zeit: spätestens September 2025 (3 Monate vor Ablauf) neue SMC-B G2.1 beantragen, falls noch keine Kontaktaufnahme vom Anbieter erfolgt ist, da Postlaufzeit + Freischaltung nötig. 

Telematik-ID muss gleichbleiben (wichtig für KIM)! Folgekarte beantragen (KEINE neue Karte)

Identifikation einer HBA G2.0 mit folgenden Optionen:

• Konnektor-Managementoberfläche (Admin): Überprüfen Sie im Menüpunkt „Kartenverwaltung“ oder „Zertifikate“, ob ECC-Zertifikate vorhanden sind.

• Kartentyp anhand des Aufdrucks (falls vorhanden): Überprüfen Sie auf der Kartenrückseite:

  • G2: Nicht ECC-fähig. → neuen HBA G2.1 beantragen

  • G2.1: ECC-fähig.

• Medisign: Versionsnummer auf der Kartenrückseite

  • G2.0: Die Versionsnummer lautet 3.20 → neuen HBA G2.1 beantragen

  • G2.1: Die Versionsnummer lautet 10.21 oder 02.22.

• Medisign: Chip-Design

  • G2.0: Der Chip ist quadratisch und verfügt über 20 Kontaktflächen. → neuen HBA G2.1 beantragen

  • G2.1: Der Chip ist rechteckig und hat nur 7 Kontaktflächen.

• Kartenportal des Anbieters: Melden Sie sich im Portal Ihres Kartenanbieters an und prüfen Sie die Zertifikatsinformationen Ihrer Karten.

Neuen eHBA G2.1 als Folgekarte beantragen

• Antragsportal: Neuen HBA (G2.1) beantragen, falls noch keine Kontaktaufnahme von Kartenherausgeber erfolgt ist.
  • Identitätsprüfung durchführen (Nur bei neuer Karte mit voller Laufzeit! Nicht bei Ersatzkarte)

Hinweis: Bei Kartentausch oder Anbieterwechsel die TelematikID beibehalten, um betrieblichen Problemen vorzubeugen.

Nach erfolgreicher Prüfung erfolgt die Lieferung mit PIN/PUK-Brief. Leistungserbringer ändert PIN (nonQES+QES) und nutzt neue Karte im Terminal. Alte HBA ggf. bis Ablauf parallel nutzbar, dann sperren/vernichten. 

• Freischaltung der Karte im Antragsportal mittels Freischaltcode aus PIN-Brief
• Stecken der Karte in das Kartenterminal und Aktivierung der Karte mittels Transport-PINs (PIN.CH für die Karte und PIN.QES für die qualifizierte elektronische Signatur) in persönliche PINs. Dies erfolgt in der Regel über das Praxisverwaltungssystem oder mit einem Tool des Vertrauensdiensteanbieters.
  • Neuer PIN für PIN.CH
  • Neuer PIN für PIN.QES

• Funktionstest (z.B. signieren eines E-Rezeptes)

Jeweiliger Karteninhaberin (Arzt/Zahnarzt/Apotheker) selbst;

Kammer/Anbieter stellt aus.

ECC erforderlich: Ältere HBAs der Generation G2.0 ohne ECC funktionieren für neue TI-Funktionen nicht. 

Zeit: spätestens September 2025 (3 Monate vor Ablauf) neuen HBA G2.1 beantragen, falls noch keine Kontaktaufnahme vom Anbieter erfolgt ist, da Postlaufzeit + Freischaltung nötig.  Ohne gültigen HBA kein E-Rezept / ePA-Zugriff möglich.

Telematik-ID muss gleichbleiben (wichtig für KIM)! Folgekarte beantragen (KEINE neue Karte)

Identifikation einer gSMC-KT G2.0 mit folgenden Optionen:

Über den Konnektor je nach Hersteller:

• Navigiere zu „Praxis → Karten“ oder Kartenmanagement in der Admin-Oberfläche

• Suche nach der gSMC-KT der Terminal-Komponente.

Direkt am Kartenterminal je nach Hersteller:

• Im Web‑Interface: Menü „Info → gSMC‑KT“ anzeigen – zeigt es nur RSA oder auch EC (ECC)? Fehlt EC, ist es G2.0 → Karte tauschen

• Im Terminal‑Menü: → Service → Test → Einzeltest → Slot 3 (oder 4):

  • Anzeige „AUT“ + „AUT2“ → G2.1

  • Nur „AUT“ ohne „AUT2“ → G2.0 (RSA-only) → Karte tauschen 

  • Bei bestimmten Modellen, wie dem CHERRY ST1506, navigieren Sie zu:
    Menü → Einstellungen → Status → gSMC-KT Informationen
    Dort können Sie Details zu den Zertifikaten einsehen.

Neue gSMC-KT G2.1

Terminal selbst bleibt, nur die Sicherheitskarte tauschen.

• Neue gSMC-KT beim Hersteller für jedes betroffene Kartenterminal bestellen.

Sobald neue Karte für jedes Kartenterminal vorhanden ist:

• Siegel und alte Karte entfernen
• Neue Karte am Terminal einstecken und neues Siegel (Aufkleber) aufbringen
• Anschließend Terminal im Konnektor neu koppeln (Admin-Oberfläche), damit TLS-Verbindung mit neuem Zertifikat aufgebaut wird. Terminal meldet danach wieder eGK-Lesebereitschaft.

Praxis-Admin/IT kann Tausch selbst vornehmen (laut Anleitung);

alternativ DVO beim Praxisbesuch.

ECC erforderlich: G2.0-Karten (RSA) sollten gegen G2.1 ersetzt werden, da sonst keine ausreichend sichere Verbindung mehr zum Konnektor besteht.

Nach physischem Tausch, Admin-Passwörter für Kopplung nötig.

Prüfung auf ggf. notwendiges Software-Update des Primärsystems durch Prüfung der letzten Release-Notes, Mitteilung des Herstellers oder durch Kontaktaufnahme zum Hersteller

Primärsystem auf aktuelle ECC-fähige Version bringen

• Update via Autoupdate oder Installer durchführen. Individuelle Herstellervorgaben einhalten.
• Funktionstests (VSDM, KIM-Mail, eRezept) durchführen.

KIM-Software updaten auf ECC-fähige Version. 

• Update durchführen - Integriert im PVS: kommt per PS-Update;  extern: neuen Client installieren
• Test: E-Mail Versand/Empfang

Wichtig: Direkt vor dem Tausch G2.0- zu G2.1-SMC-B oder HBA und damit vor dem Wechsel der Zertifikate müssen KIM-Nachrichten abgerufen werden. Sonst droht nach dem Wechsel der Verlust älterer, noch nicht abgerufener KIM-Nachrichten. 

Hinweise: 

• Clientzertifikat vom Modul zum KIM-Fachdienst: Wird automatisch ab KIM 1.5.2.-9 (CM PTV 1.6.2-9) vom Clientmodul vom Fachdienst bezogen und muss nicht manuell bezogen und eingebracht werden 
• Clientzertifikat vom Modul zum Konnektor: Zertifikat auf ECC durch DVO umstellen.

Kompatibilität: Ältere KIM-Versionen (KIM1.0 bis KIM 1.5.2-8 - für das CM ist das PTV 1.2.2 bis PTV 1.6.2-8) versagen bei ECC. Es ist unbedingt das Update auf KIM 1.5.2-9 (CM PTV >= 1.6.2-9) einzuspielen. 

Timing: Update ist vor 2026 durchzuführen, da sonst KIM-Ausfall.

Aktualität: Das KIM-CM muss auf KIM 1.5.2-9 (CM PTV >= 1.6.2-9) aktualisiert werden bevor der Konnektors auf PTV6 aktualisiert wird – sonst Ausfall von TI-Funktionen. 

KIM-Adresse an SMC-B gebunden – bei Kartentausch Mails vorher abrufen und neue Karte bei KIM anmelden.

KIM-Adresse an HBA gebunden – bei Kartentausch Mails vorher abrufen und neue Karte bei KIM anmelden.

Telematik-ID muss gleichbleiben! Folgekarte beantragen (KEINE neue Karte)

Erkennen eines RSA‑only Konnektors

Suche nach "gSMC‑K" in der Admin-Oberfläche des Konnektors

• Anzeige nur ein RSA‑Zertifikat = Karte ist G2.0 (RSA‑only).

  • → Austausch gegen TI-Gateway

Austausch gegen TI-Gateway/Highspeed-Konnekor

Anbieter auswählen

• Zugelassenen TI-Gateway-Anbieter auswählen und Vertrag abschließen

• Bestehende Konnektor- und KIM-Verträge prüfen und ggf. kündigen unter Berücksichtigung von Fristen

Installation Vor-Ort:

• Installation des TI-Clients und Einrichtung der Verbindung

• Migration der Konfigurationen: Um zu vermeiden, dass der neue Konnektor nicht von Grund auf neu konfiguriert werden muss, ist hierbei die Migration der Konfigurationen (Aufrufkontext, Einstellungen, Clientzertifikate, etc.) nötig. 
  • Alternativ: Neueinrichtung
• Funktionstest durchführen (z.B.: Versichertenstammdaten, KIM, eAU/E-Rezept, ePA)
• Alten Konnektor zurücksenden oder ordnungsgemäße Entsorgung

DVO/IT-Dienstleister für Installation

Praxis stellt SMC-B + Credentials bereit.

Frist: Die RSA-Only Konnektoren verfügen über kein ECC-Schlüsselmaterial auf der gSMC-K. Nach Ende 2025 wird RSA-basierter Betrieb nicht mehr erlaubt – ohne gültiges Zertifikat funktioniert der TI-Zugang nicht mehr

Die Nutzung eines HSK als Ersatz via TI-Gateway (gehosteter Konnektor) ist möglich seit 2024. 

Erkennen eines dual-personalisierten RSA+ECC Konnektors

Suche nach "gSMC‑K" in der Admin-Oberfläche des Konnektors

• Anzeige RSA + ECC‑Zertifikate = Karte ist G2.1 (ECC‑fähig)

  • • → ggfs. Laufzeitverlängerung durchführen

Laufzeitverlängerung mit PTV6

• Die ECC-Zertifikate eines solchen Konnektors müssten vor dem Ablauf der Laufzeit der gSMC-K-Zertifikate laufzeitverlängert werden. Der Konnektor benötigt dazu jedoch das LZV2 Feature, damit er seine ECC-Laufzeitverlängerung erneut durchführen kann. Bei RISE ist PTV6 die Voraussetzung, um LZV2 Feature durchzuführen.

Umstieg auf TI-Gateway

• Da nach derzeitigem Plan PTV6 jedoch erst im Q4 2025 im Feld zur Verfügung steht, wird ein Umstieg auf HSK oder TI-Gateway empfohlen. (Siehe "Austausch gegen TI-Gateway")

DVO/IT-Dienstleister für Installation

Praxis stellt SMC-B + Credentials bereit.

Frist: Die Laufzeitverlängerung bzw. der Umstieg auf ein TI-GW/HSK müssen bis zum Ablaufdatum des Konnektors vollzogen sein.

LZV2 kostenpflichtig: Es wird eine Laufzeitverlängerung Stufe 2 (LZV2) für dualpersonalisierte Konnektoren geben. Um die LZV2 nutzen zu können ist voraussichtlich ein kostenpflichtiges Update beim Anbieter notwendig. Es wird der Umstieg auf ein HSK/TI-Gateway empfohlen.

Clientsystemauthentisierung zum Konnektor

Prüfen, welche Client-Zertifikate (KIM-Modul, PS, Authenticator) verwendet werden in der Admin-Oberfläche des Konnektors (Alternativ: Konnektorlogs, oder Konnektorevent "EC_TLS_Client_Certificate_Security")

• Wenn in der Clientsystemauthentisierung RSA-2048 oder BASIC-AUTH genutzt wird, dann sollte diese gegen ein Authentisierungsmittel mit >120 Bit Sicherheitsniveau ersetzt werden.

Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote), DVO

Registrierung am VPN-Zugangsdienst mit ECC

• In der Admin-Oberfläche des Konnektors kann der aktuelle Registrierungsstatus am VPN-Zugangsdienst überprüft werden.
  
• Sollte dieser anzeigen, dass die derzeitige Registrierung auf dem RSA basiert, so muss
  • dafür gesorgt werden, dass sich bereits eine G2.1 SMC-B im Einsatz befindet (siehe oben in dieser Tabelle)
  • eine Re-Registrierung mit dem ECC durchgeführt werden.

Re-Registrierung mit ECC

• Einloggen in der Admin-Oberfläche des Konnektors

• GGfs. Konnektor Firmware aktualisieren (ECC-ready)

• SMC-B G2.1 einsetzen (falls nicht bereits erfolgt, siehe oben in dieser Tabelle)

• ECC-VPN-Registrierung mit ECC-Zertifikat der SMC-B G2.1 

• VPN-Verbindung neu aufbauen & Funktionstest durchführen 

• Nach erfolgreichen Funktionstest kann die Alte RSA-Registrierung entfernt werden (optional)

Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote) oder DVO

Hinweis: Mit der zukünftigen Konnektorgeneration PTV6 (verfügbar ab Q4/25 bzw. Q1/26) wird sich dieser automatisch mit ECC Re-Registrieren. Aktuell wird empfohlen den bisherigen PTV5-Konnektor manuell auf ECC zu registrieren (falls nicht bereits erfolgt).

Versionsupdate prüfen

Firmware der Kartenterminals auf Update prüfen und ggf. FW/TSL updaten

Firmware Update einspielen

Falls die installierte Firmwareversion kleiner sein sollte, muss entweder ein Firmwareupdate durchgeführte werden oder zumindest die aktuelle von den jeweiligen Kartenherstellern zu Verfügung gestellte KT-TSL geladen werden (dazu die Hersteller kontaktieren).