Diese Seite ist öffentlich und der Inhalt kann unter Angabe der Quell-URL dieser Seite gerne mit Partnern/Kunden geteilt oder an Dritte weitergegeben werden.
Zielgruppe dieser Seite sind v.a.: DVOs, Entwickler:innen, PS-Hersteller, Leistungserbringer:innen die eine Übersicht zum detaillierten technischen Vorgehen benötigen!
Die Telematikinfrastruktur (TI) stellt ihre Kryptografie von RSA auf ECC (Elliptic Curve Cryptography) um. Dies erfolgt auf Empfehlung des BSI und der Europäischen eIDAS, da RSA-2048 nur noch befristet bis Ende 2025 zulässig ist. In einer Leistungserbringerinstitution sind dabei auch Komponenten betroffen. Im Folgenden wird für jede relevante Komponente dargestellt, ob ein Austausch oder Update nötig ist und wie der Ablauf gegebenfalls aussieht.
Allgemeine Liste der durchzuführenden Tätigkeiten
Komponente | Prüfung auf ECC-Fähigkeit | Wenn nicht ECC-fähig (G2.0) Was tun? |
---|---|---|
Institutionskennkarte (SMC-B) | – Im Konnektor‑Webinterface unter „Kartenverwaltung“ prüfen auf ECC‑Zertifikate – Im Kartenportal Informationen einsehen | → Neue SMC‑B G2.1 beantragen (Antrag → Ident) Für KIM ist es wichtig, dass die Telematik-ID gleich bleibt! Folgekarte/Austauschkarte beantragen (KEINE neue Karte). |
Heilberufsausweis (HBA) | – Aufdruck Rückseite: „G2“ (kein ECC) – Medisign-Version: 3.20 (G2.0) vs. 10.21/02.22 (G2.1) – Im Konnektor‑Webinterface unter „Kartenverwaltung“ prüfen auf ECC‑Zertifikate | → Neuen eHBA G2.1 beantragen (Antrag → PIN/PUK):
Für KIM ist es wichtig, dass die Telematik-ID gleich bleibt! Folgekarte/Austauschkarte beantragen (KEINE neue Karte). |
gSMC-KT (Terminalkarte) | – Im Konnektor‑Interface: nur RSA-Zertifikat sichtbar – Direkt im stationären Terminal: Anzeige „AUT“ ohne „AUT2“ | → gSMC‑KT G2.1 bestellen, tauschen + neu koppeln |
Kartenterminal (Firmware) | Firmware-Version im Menü prüfen – Herstellerdoku auf ECC-Unterstützung prüfen | → Firmware-Update einspielen, erneut koppeln |
Konnektor | Im Konnektor‑Interface: Suche nach "gSMC‑K" → Anzeige nur ein RSA‑Zertifikat = Karte ist G2.0 (RSA‑only). | → Umstieg auf TI-Gateway |
KIM-Software (CM) | Versionsdetail im PVS/KIM: braucht Support für ECC (PTV ≥ 1.6.2‑9) | → Update auf ECC-kompatible Softwareversion durchführen |
Detaillierter Blick mit konkreteren Handlungsanweisungen
Komponente | Prüfung auf ECC-Fähigkeit (manuell bzw. nicht standardisiert) | Prüfung auf ECC-Fähigkeit (standardisiert) | Beschreibung: Was zu tun bei nicht ECC-Fähigkeit | Involvierte Rollen (wer es tun muss) | Hintergrund/Zusatzinfo | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Institutionskarte (auch Institutionsausweis, Praxisausweis oder Institutionskennkarte genannt) (SMC-B) | Identifikation einer SMC-B G2.0 mit folgenden Optionen:
| Für SMC-B, HBA und gSMC-KT lässt sich die ECC-Fähigkeit dieser gesteckten Karten nach folgendem Algorithmus über die SOAP-Schnittstelle des Konnektors ermitteln.
| Neue SMC-B G2.1 als Folgekarte/Austauschkarte beantragen
Hinweis: Bei Kartentausch oder Anbieterwechsel die TelematikID beibehalten, um betrieblichen Problemen vorzubeugen. Nach erfolgreicher Prüfung durch die KV erfolgt der Versand der Karte und des Transport-PINs und die Inbetriebnahme kann erfolgen:
| Praxisinhaber (Beantragung) ggfs. DVO oder Admin (Einrichtung) KV/Kammer (Genehmigung) | ECC erforderlich: Ältere SMC-B (G2.0, nur RSA) sind zukünftig nicht nutzbar. Zeit: spätestens September 2025 (3 Monate vor Ablauf) neue SMC-B G2.1 beantragen, falls noch keine Kontaktaufnahme vom Anbieter erfolgt ist, da Postlaufzeit + Freischaltung nötig. Für KIM ist es wichtig, dass die Telematik-ID gleich bleibt! Folgekarte/Austauschkarte beantragen (KEINE neue Karte). | ||||||||||||||||||||
Heilberufsausweis (HBA) | Identifikation einer HBA G2.0 mit folgenden Optionen:
| Neuen eHBA G2.1 als Folgekarte/Austauschkarte beantragen
Hinweis: Bei Kartentausch oder Anbieterwechsel die TelematikID beibehalten, um betrieblichen Problemen vorzubeugen. Nach erfolgreicher Prüfung erfolgt die Lieferung mit PIN/PUK-Brief. Leistungserbringer ändert PIN (nonQES+QES) und nutzt neue Karte im Terminal. Alte HBA ggf. bis Ablauf parallel nutzbar, dann sperren/vernichten.
| Jeweiliger Karteninhaberin (Arzt/Zahnarzt/Apotheker) selbst; Kammer/Anbieter stellt aus. | ECC erforderlich: Ältere HBAs der Generation G2.0 ohne ECC funktionieren für neue TI-Funktionen nicht. Zeit: spätestens September 2025 (3 Monate vor Ablauf) neuen HBA G2.1 beantragen, falls noch keine Kontaktaufnahme vom Anbieter erfolgt ist, da Postlaufzeit + Freischaltung nötig. Ohne gültigen HBA kein E-Rezept / ePA-Zugriff möglich. Bestellprozess: Die Anbieter schreiben die Betroffenen an und führen die Antragsteller in ihren Portalen durch den Prozess der Beantragung eines neuen eHBA. Die Prozesse der Anbieter unterscheiden sich im Detail. Im Falle geänderter Stammdaten ist immer ein Ident-Verfahren notwendig und es erfolgt die Ausgabe einer neuen Karte mit neuer 5-jähriger Laufzeit. Ändern sich keine Stammdaten (auch nicht die Kammerzugehörigkeit), ist kein Ident -Verfahren notwendig. Die Karte wird ausgetauscht entweder mit der Restlaufzeit der alten Karte oder ebenfalls auf 5 Jahre (nur medisign). Ein Neuantrag kann selbstverständlich auch bei einem anderen Anbieter als dem bisherigen gestellt werden. Die Telematik-ID sollte möglichst auch bei einem Anbieterwechsel gleichbleiben. Dazu liefern die Kammern im Rahmen der Freigabe die "alte" Telematik-ID an den neuen Anbieter. Hier greifen zudem die üblichen Standardvorgaben der Antragsportale und -prozesse, die den Antragsteller zur Beibehaltung der Telematik-ID hinführen. Für KIM ist es wichtig, dass die Telematik-ID gleich bleibt! Folgekarte/Austauschkarte beantragen (KEINE neue Karte). | |||||||||||||||||||||
gSMC-KT | Identifikation einer gSMC-KT G2.0 mit folgenden Optionen: Über den Konnektor je nach Hersteller:
Direkt am Kartenterminal je nach Hersteller:
| Neue gSMC-KT G2.1 Terminal selbst bleibt, nur die Sicherheitskarte tauschen.
Sobald neue Karte für jedes Kartenterminal vorhanden ist:
| Praxis-Admin/IT kann Tausch selbst vornehmen (laut Anleitung); alternativ DVO beim Praxisbesuch. | ECC erforderlich: G2.0-Karten (RSA) sollten gegen G2.1 ersetzt werden, da sonst keine ausreichend sichere Verbindung mehr zum Konnektor besteht. Nach physischem Tausch, Admin-Passwörter für Kopplung nötig. Ab dem 01.01.2026 wird von der Nutzung der gSMC-KT G2.0 in stationären Kartenterminals abgeraten. Da ein vollständiger Kartentausch bis Jahresende voraussichtlich nicht möglich ist und unter Berücksichtigung, dass die RSA-Zertifikate der gSMC-KT 2.0 ausschließlich in geschlossenen Netzen (z. B. innerhalb einer Arztpraxis) und nicht zur Verschlüsselung oder Signatur medizinischer Daten verwendet werden, bleibt die Nutzung der gSMC-KT 2.0 über den 01.01.2026 hinaus vorerst zulässig. Unabhängig von der Laufzeit der auf den Karten gespeicherten Zertifikate ist die Nutzung jedoch spätestens zum 31.12.2026 einzustellen. Um den neuen kryptografischen Sicherheitsanforderungen des BSI zu entsprechen, empfehlen wir, die Karte spätestens bis zum 01.01.2026 gegen eine gSMC-KT 2.1 auszutauschen. | |||||||||||||||||||||
Primärsystem | Prüfung auf ggf. notwendiges Software-Update des Primärsystems durch Prüfung der letzten Release-Notes, Mitteilung des Herstellers oder durch Kontaktaufnahme zum Hersteller |
| Primärsystem auf aktuelle ECC-fähige Version bringen
| Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote) | Aktualität: Das PVS muss kompatibel sein vor der Aktualisierung des Konnektors auf PTV6 – sonst Ausfall von TI-Funktionen. Herstellerinfos beachten zu TI-Updates (meist in Release Notes). | ||||||||||||||||||||
KIM-Clientmodul | Überprüfung der installierten KIM-Clientmodulversion Ältere KIM-Versionen (KIM1.0 bis KIM 1.5.2-8 - für das CM ist das PTV 1.2.2 bis PTV 1.6.2-8) versagen bei ECC. Es ist unbedingt das Update auf KIM 1.5.2-9 (CM PTV >= 1.6.2-9) einzuspielen. Ab Datum haben alle KIM-CM Hersteller ein CM mit KIM 1.5.2-9 zum Update/Download bereitgestellt. Unmittelbar nach dem Datum muss KIM-CM aktualisiert werden, unabhängig davon, welche Version das vorhandene KIM-CM trägt.
|
NB:
| KIM-Software updaten auf ECC-fähige Version.
Wichtig: Direkt vor dem Tausch G2.0- zu G2.1-SMC-B oder HBA und damit vor dem Wechsel der Zertifikate müssen KIM-Nachrichten abgerufen werden. Sonst droht nach dem Wechsel der Verlust älterer, noch nicht abgerufener KIM-Nachrichten. Hinweise:
| Praxis-Admin/IT oder DVO; in Abstimmung mit PVS-Hersteller und KIM-Dienstanbieter. | Kompatibilität: Ältere KIM-Versionen (KIM1.0 bis KIM 1.5.2-8 - für das CM ist das PTV 1.2.2 bis PTV 1.6.2-8) versagen bei ECC. Es ist unbedingt das Update auf KIM 1.5.2-9 (CM PTV >= 1.6.2-9) einzuspielen. Timing: Update ist vor 2026 durchzuführen, da sonst KIM-Ausfall. Aktualität: Das KIM-CM muss auf KIM 1.5.2-9 (CM PTV >= 1.6.2-9) aktualisiert werden bevor der Konnektors auf PTV6 aktualisiert wird – sonst Ausfall von TI-Funktionen. KIM-Adresse an SMC-B gebunden – bei Kartentausch Mails vorher abrufen und neue Karte bei KIM anmelden. KIM-Adresse an HBA gebunden – bei Kartentausch Mails vorher abrufen und neue Karte bei KIM anmelden. Telematik-ID muss gleichbleiben! Folgekarte/Austauschkarte beantragen (KEINE neue Karte) | ||||||||||||||||||||
Konnektor | Erkennen eines RSA‑only Konnektors Suche nach "gSMC‑K" in der Admin-Oberfläche des Konnektors
| Der Zugriff auf Informationen der gSMC-K des Konnektors über die Außenschnittstelle des Konnektors ist limitiert und variiert leicht zwischen PTV5 und PTV6. Die PTV des vorliegenden Konnektors kann via API über die Service Discovery aus der Datei connector.sds entnommen werden. Um an die Datei kommen muss ein HTTPS GET an die URL des Konnektors https://<konnektor_url>:<port>/connector.sds mit der gleichen Clientsystemauthentisierung wie an der SOAP Schnittstelle des Konnektor konfiguriert. In der XML-Struktur der connector.sds Datei kann die PTV dem Element
Dabei ist zusätzlich zu prüfen, ob es sich bei dem vorliegendem Konnektor um einen Einboxkonnektor (EBK) und nicht etwa um einen Highspeed-Konnektor (HSK) handelt. HSKs sind grundsätzlich nicht RSA-Only singlepersonalisiert und daher bezüglich der Geräteidentität immer ECC-fähig, sodass die weiteren Prüfschritte auf Personalisierung der gSM(C)-K für HSKs nicht durchgeführt werden müssen. Um den Konnektortyp (HSK oder EBK) zu ermitteln kann ebenfalls in der connector.sds im Element
Für EBK PTV <6:
Für EBK PTV >=6: Gehe äquivalent zu "Für PTV <6" vor, jedoch rufe CheckCertificateExpiration ohne Angabe des crypt Parameters auf.
Zusatzinfo ggf. zum Verständnis des vorgestellten Algorithmus:
| Austausch gegen TI-Gateway/Highspeed-Konnekor Anbieter auswählen
Installation Vor-Ort:
| DVO/IT-Dienstleister für Installation Praxis stellt SMC-B + Credentials bereit. | Frist: Die RSA-Only Konnektoren verfügen über kein ECC-Schlüsselmaterial auf der gSMC-K. Nach Ende 2025 wird RSA-basierter Betrieb nicht mehr erlaubt – ohne gültiges Zertifikat funktioniert der TI-Zugang nicht mehr Die Nutzung eines HSK als Ersatz via TI-Gateway (gehosteter Konnektor) ist möglich seit 2024. | ||||||||||||||||||||
Erkennen eines dual-personalisierten RSA+ECC Konnektors Suche nach "gSMC‑K" in der Admin-Oberfläche des Konnektors
| Laufzeitverlängerung mit PTV6
Umstieg auf TI-Gateway
| DVO/IT-Dienstleister für Installation Praxis stellt SMC-B + Credentials bereit. | Frist: Die Laufzeitverlängerung bzw. der Umstieg auf ein TI-GW/HSK müssen bis zum Ablaufdatum des Konnektors vollzogen sein. LZV2 kostenpflichtig: Es wird eine Laufzeitverlängerung Stufe 2 (LZV2) für dualpersonalisierte Konnektoren geben. Um die LZV2 nutzen zu können ist voraussichtlich ein kostenpflichtiges Update beim Anbieter notwendig. Es wird der Umstieg auf ein HSK/TI-Gateway empfohlen. | ||||||||||||||||||||||
Clientsystemauthentisierung zum Konnektor Prüfen, welche Client-Zertifikate (KIM-Modul, PS, Authenticator) verwendet werden in der Admin-Oberfläche des Konnektors (Alternativ: Konnektorlogs, oder Konnektorevent "EC_TLS_Client_Certificate_Security")
|
| Sollte erkannt werden, dass die an einem Konnektor eingerichtete Clientsystemauthentisierung RSA2048 basiert ist, sollte diese zwar gegen eine andere ersetzt werden, jedoch gibt es im Rahmen der geplanten RSA-Abschaltungen keine Durchsetzungsmechanismen und daher auch keine Konsequenzen, wenn dies in einer LEI nicht umgesetzt wird. D.h. bestehende RSA2048 Verbindungen werden auch mit PTV6 weiterhin nutzbar sein. Nichtsdestotrotz weist die gematik darauf hin, dass gem. SOG-IS solche Verbindungen ab 2026 nicht mehr zulässig sind. Ersetze Clientsystemauthentisierung
| Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote), DVO | Hinweis: Die neue Generation der Konnektoren unterstützt auch nach einem Update weiterhin RSA-2048 zur Clientauthentisierung auch in 2026. Ein Umstieg auf ECC_NIST wird empfohlen. | |||||||||||||||||||||
Registrierung am VPN-Zugangsdienst mit ECC
|
| Re-Registrierung mit ECC
| Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote) oder DVO | Hinweis: Mit der zukünftigen Konnektorgeneration PTV6 (verfügbar ab Q4/25 bzw. Q1/26) wird sich dieser automatisch mit ECC Re-Registrieren. Aktuell wird empfohlen den bisherigen PTV5-Konnektor manuell auf ECC zu registrieren (falls nicht bereits erfolgt). | |||||||||||||||||||||
eHealth-Kartenterminal | Versionsupdate prüfen Firmware der Kartenterminals auf Update prüfen und ggf. FW/TSL updaten | Für die am Konnektor verbundenen KTs lässt sich die ECC-Fähigkeit der KT-Firmware nach folgendem Algorithmus über die SOAP-Schnittstelle des Konnektors ermitteln.
| Firmware Update einspielen Falls die installierte Firmwareversion kleiner sein sollte, muss entweder ein Firmwareupdate durchgeführte werden oder zumindest die aktuelle von den jeweiligen Kartenherstellern zu Verfügung gestellte KT-TSL geladen werden (dazu die Hersteller kontaktieren). | Praxis-IT/Administrator oder PVS-Hersteller-Support (Remote)oder DVO |
Wir freuen uns über Rückmeldungen, Hinweise oder Feedback, um die Übersicht weiter zu verbessern und den Nutzen für alle Beteiligten zu maximieren.
Nutzen Sie hierfür gerne unser Service-Portal: https://service.gematik.de/servicedesk/customer/portal/22
14 Comments
Benjamin Kim
16.06.2025Die Idee dieser Übersicht ist super, aber die Primärsystemhersteller brauchen für die Spalte "Prüfung auf ECC-Fähigkeit" Aussagen/Vorgehensbeschreibungen auf API-Ebene. Es ist den Leistungserbringenden nicht zuzumuten, sich durch die Web-Oberflächen der Komponenten durchzuklicken (von denen sie die Zugangsdaten häufig nicht parat haben) oder Karten rauszuziehen und sich anzuschauen, ob da etwas aufgedruckt ist. Die Primärsysteme müssen dazu in die Lage gebracht werden, diese Informationen automatisch, im Hintergrund, abzufragen.
Peter Schüller
07.07.2025In der o. g. Tabelle zum Konnektor reichen die Angaben m. E. nicht aus für den PTV6-Test. Es fehlt die Info, wie man einen Einbox-Konnektor von einem HSK unterscheiden kann (weil letzterer ja, leider, die ProductTypeVersion 2.0.0 haben wird).
Münz, Erik
07.07.2025Danke für den Hinweis. Wir haben eine Beschreibung hinzugefügt, wie man erkennen kann ob ein EBK/HSK vorliegt.
Ralf Großhans
07.07.2025Sinnvoller wäre es, dass der HSK die gleiche Versionsnr. erhält wie ein Einbox Konnektor. Das ist doch nur ein Zahlenwert (String) den die HSK Anbieter ändern müssten. Diese zwei Nr.-Kreise für das selbe schafft nur Verwirrung und Probleme.
Münz, Erik
08.07.2025Das ist bereits so umgesetzt. Für HSK wird in
ProductInformation.ProductTypeInformation.ProductTypeVersion
nicht die HSK PTV berichtet, sondern das EBK-Äquivalent.Ralf Großhans
08.07.2025Ihre Aussage verstehe ich nicht. der HSK sagt doch 2.0.0. Diese Version war aber im EBK schon vor Jahren verbrannt.
Münz, Erik
08.07.2025siehe diese HSK-AFO: https://gemspec.gematik.de/docs/gemF/gemF_Highspeed-Konnektor/latest/#A_26376
Ralf Großhans
08.07.2025ich sehe dort
ich würde aber erwarten dass man einfach in der ersten Spalte auch 6.0.0-0 schreibt und alle Verwirrung ist erledigt.
Carlos Leber
28.07.2025Hallo zusammen,
kann mir ggf. jemand weiterhelfen, zu verstehen, ob bei den dezentralen Komponenten die RSA Zertifikate nicht mehr funktionieren werden?
Wir stellen aus unserer Software eine Verbindung zum TI-Konnektor her, um Dokumente zu signieren und zum KIM-Clientmodul, um diese Dokumente zu versenden.
Aktuell nur mit RSA Zertifikaten. Müssen wir demnächst Mithilfe der jeweiligen DVOs bei allen Kunden die RSA durch ECC Zertifikate tauschen, oder gilt diese Migration nur für zentrale Komponenten?
Kann man das irgendwo nachlesen, was die Gematik genau vor hat?
Beste Grüße
Carlos Leber
Jaworek, Tomasz
28.07.2025Die Antwort findet sich in der Spalte "Hintergrund/Zusatzinfo" der Zeile "Clientsystemauthentisierung zum Konnektor":
"Hinweis: Die neue Generation der Konnektoren unterstützt auch nach einem Update weiterhin RSA-2048 zur Clientauthentisierung auch in 2026. Ein Umstieg auf ECC_NIST wird empfohlen."
Claus-Guntram Henning
31.07.2025Hallo,
eine Stelle, die ich nicht verstehe, ist, wie ermittelt werden soll, ob es sich um einen EBK oder HSK handelt. Warum wird nicht einfach
ProductTypeInformation.ProductType
verwendet (Konnektor
: EBK,vkon
: HSK)?Claus Henning, Dampsoft GmbH
Münz, Erik
31.07.2025Es gibt in den HSK PTV < 2 leider noch keine genaue Anforderung, welche regelt dass als ProductTypeInformation.ProductType = "vkon" zu setzen ist. Daher sind derzeit HSKs im Feld, welche hier "Konnektor" verauskunften und daher nicht zwischen EBK und HSK unterschieden werden kann.
Ab HSK PTV2 werden die HSK-Instanzen dann wie mittlerweile durch AFO gefordert "vkon" verauskunften. Bis es soweit ist, sollte jedoch der auf dieser RUaaS-Seite vorgestellte Ansatz von den PSen gewählt werden.
Claus-Guntram Henning
31.07.2025Und gleich noch eine Frage: Welche PTV-Version liefert denn der RISE-HSK 2.0.0: 6.0.0 oder wie der EBK 5.61.0?
Münz, Erik
31.07.2025Nach HSK-AFO A_26376 und anhand der veröffentlichten PTVen des EBK (siehe im Dropdown die zulassungsfähigen/gültigen Versionen) wird der RISE-HSK voraussichtlich 6.0.2-0 liefern.