Neues Verschlüsselungsverfahren für die TI – Zahlreiche Komponenten sollen bis Jahresende ausgetauscht werden
05.06.2025 - Zahlreiche Komponenten der Telematikinfrastruktur sollen nach Plänen der gematik bis Jahresende auf ein neues Verschlüsselungsverfahren umgestellt werden. Infolgedessen müssen etliche Konnektoren, Heilberufs-, Praxisausweise sowie Gerätekarten ausgetauscht werden.
Hintergrund ist eine Vorgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur. Danach läuft die Gültigkeit des aktuellen Verschlüsselungsalgorithmus RSA2048 zum 31. Dezember 2025 aus und muss auf das neue Verfahren ECC256 umgestellt werden. Dieses gilt als sicherer und effizienter als RSA2048. Verfahren zur Datenverschlüsselung kommen unter anderem bei der elektronischen Signatur zum Einsatz.
Alle Komponenten der Telematikinfrastruktur (TI), die nur mit dem RSA-Verfahren ausgestattet sind, müssen im Zuge der Umstellung ausgetauscht werden. So sind rund 35.000 Konnektoren in Arzt-, Zahnarzt- und Psychotherapiepraxen sowie Krankenhäusern betroffen, die noch nicht ECC-fähig sind. Außerdem müssen zehntausende Heilberufsausweise, SMC-B-Karten sowie gegebenenfalls Gerätekarten in E-Health-Kartenterminals, kurz gSMC-KT, gewechselt werden.
KBV drängt weiter auf Fristverlängerung
„Wir halten eine sichere und reibungsfreie Umsetzung der neuen Verschlüsselungsanforderungen in der Kürze der Zeit für kaum realisierbar“, sagte KBV-Vorstandsmitglied Dr. Sibylle Steiner den PraxisNachrichten. Ohne den rechtzeitigen Austausch zum Jahresende könnten die betroffenen Praxen nach jetzigem Stand TI-Anwendungen wie das eRezept oder die eAU nicht länger nutzen.
Die KBV hat bereits eine Verlängerung der Frist gefordert, um eine geordnete Umstellung zu ermöglichen, zumal andere Länder weiterhin beide Verfahren zulassen. So ist in Frankreich die Nutzung von RSA2048 noch bis Ende 2030 erlaubt.
Die gematik hält dennoch an dem Zeitplan fest – jetzt allerdings mit einigen Ausnahmen: So dürfen betroffene Gerätekarten für Kartenterminals in Abstimmung mit dem BSI vorübergehend auch nach der Frist am 31. Dezember weiter genutzt werden. Bundesweit betrifft dies circa 160.000 Karten.
Hinweise für Praxen
Von der Umstellung des Verschlüsselungsverfahrens sind nicht alle Praxen gleichermaßen betroffen. Dies hängt davon ab, ob die eingesetzten Komponenten bereits ECC-fähig sind oder ausschließlich mit dem RSA-Verfahren arbeiten können.
Die Anbieter von Heilberufsausweisen und Praxisausweisen (SMC-B-Karten) haben zugesagt, betroffene Praxen eigenständig auf auslaufende Ausweise hinzuweisen, ohne vorherige Kontaktaufnahme durch die Praxen. In der Regel werden sich auch die Hersteller von Praxisverwaltungssystemen und weiteren TI-Komponenten mit der Praxis in Verbindung setzen, wenn der Austausch erforderlich ist.
Stichwort: Verschlüsselungsverfahren
Damit medizinische Daten besonders gut geschützt werden, kommen in der Telematikinfrastruktur moderne Verfahren der Datenverschlüsselung zum Einsatz. Standard bislang ist der Verschlüsselungsalgorithmus RSA2048. Er soll ab 2026 durch das sogenannte ECC-Verfahren abgelöst werden. Der Vorteil des ECC-Algorithmus ist, dass er mit einer kürzeren Schlüssellänge als der RSA-Algorithmus ein höheres Sicherheitslevel gewährleistet.
Welche Verschlüsselungsverfahren im Gesundheitswesen als sicher eingestuft werden, legen für Deutschland die Bundesnetzagentur (BNetzA), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die gematik fest.
Für die qualifizierte elektronische Signatur gibt das BSI zusammen mit der BNetzA vor, dass das Verschlüsselungsverfahren „RSA“ mit einer Schlüssellänge von weniger als 2048 Bit nach 31. Dezember 2025 nicht mehr verwendet werden darf.
Die deutschen Behörden orientieren sich bei der Auswahl der Verschlüsselungsverfahren am europäischen Katalog für kryptographische Algorithmen („Senior Officials Group Information Systems Security“, kurz: SOG-IS-Katalog), einem Leitfaden für die Auswahl und Bewertung von Kryptografie in der Europäischen Union mit Empfehlungscharakter.
