TI-Status

Authenticator

Das Tool zur sicheren Authentifizierung für digitale Anwendungen des Gesundheitswesens

Wichtiges Sicherheitsupdate

Am 26.03.2026 wurde ein Sicherheitsupdate für den gematik Authenticator veröffentlicht, mit dem zwei kritische Schwachstellen behoben wurden.
Wir bitten alle Benutzer dringend darum, den Authenticator zu aktualisieren.
Stellen Sie sicher, dass die auf Ihrem Computer installierte Version 4.16.0 ist.

Bitte folgende Hinweise beachten

Wie kann die Aktualisierung durchgeführt werden?
  • Falls Sie den Authenticator über den Microsoft oder Apple App Store installiert haben, so findet das Update in der Regel automatisch statt. Stellen Sie sicher, dass die automatische Aktualisierung aktiviert ist und stoßen Sie das Update, wenn nötig, manuell an (siehe Dokumentation für Windows und MacOS).
  • Falls Sie den Authenticator per Download von GitHub installieren, so laden Sie bitte die aktualisierte Version herunter und installieren Sie sie.
  • Falls Sie unsicher sind oder Sie Ihr System nicht selbst verwalten, so kontaktieren Sie bitte Ihren Administrator oder die gematik. Sie erreichen uns über das Anfrageportal oder per Mail (authenticator[at]gematik[dot]de).
Wie kann ich prüfen, welche Version des Authenticators installiert ist?
  • Wenn Sie den Authenticator starten, so wird die aktuell installierte Version unten rechts im Anwendungsfenster angezeigt.
  • Stellen Sie sicher, dass die angezeigte Version mindestens 4.16.0 ist.
Wie kann ich mich sonst vor Angreifern schützen?
  • Behandeln Sie Links, die Sie bspw. per E-Mail enthalten, mit größter Vorsicht.
    Starten Sie nur dann den Authenticator, wenn Sie sich auf einer bekannten, vertrauenswürdigen Webseite befinden.
  • Installieren Sie keine Dateien aus nicht vertrauenswürdigen Quellen und nehmen Sie keine Änderungen an der Konfiguration ihres Computers oder des Authenticators vor, wenn sie von Fremden dazu aufgefordert werden. 
    Halten Sie immer Rücksprache mit Ihrem Administrator oder einem technisch versierten, bekannten Ansprechpartner.
Wo finde ich technische Details zu den Schwachstellen?

Alle weiteren Informationen entnehmen Sie bitte den Security Advisories auf Github: 

Was ist der Authenticator?

Der Authenticator ist eine kostenfreie Desktop-App, die eine sichere Authentisierung von Nutzern für die Anmeldung an digitalen Gesundheitsanwendungen ermöglicht. Die App identifiziert berechtigte Ärztinnen und Ärzte, medizinische Einrichtungen, Apotheken sowie weiteres medizinisches Personal – unterstützt werden dabei HBA- und SMC-B-Karten.

Direkt bei der Anmeldung aus einer webbasierten TI-Anwendung (z. B. DEMIS, Organspende) wird der Authenticator gestartet und schützt so den Zugriff auf kritische TI-Applikationen. Der Authenticator fungiert dabei als Bindeglied zwischen der klassischen TI 1.0 (via Konnektor) und der zukünftigen, föderierten Architektur der TI 2.0 – inklusive OAuth2-/OpenID-basiertem Single Sign-on.

Welche Anwendungen mit Authenticator-Einsatz sind aktuell im Einsatz?

Der Authenticator ist auch bei Anwendungen wie dem TI-Messenger oder dem Verzeichnisdienst (VZD) als Produktfeature integriert.

Alle genannten Anwendungen rufen den Authenticator über WANDA-Anbindungen zur Anmeldung auf – in der Regel über deeplinkgestützte OAuth2-Workflows in Verbindung mit dem TI-Konnektor.

AnwendungBetreiberArtNutzerbereichKarte
Zentrales VorsorgeregisterBundesnotarkammerFreiwilligAmbulant + StationärHBA
Betäubungsmittelrezept (eBTM)BfArMFreiwilligAmbulantHBA
DEMISRKIPflichtAmbulant + StationärSMC-B
OrganspenderegisterBfArMPflichtStationär (Entnahmekrankenhäuser)HBA + SMC-B
ImplatateregisterBMGPflichtStationärSMC-B

Was ist notwendig für die Nutzung des Authenticators?

Damit der Authenticator für entsprechende Anwendungen betrieben werden kann, ist die Installation der Software sowie die einmalige Administration der Einstellungen durch einen Dienstleister vor Ort (DVO) oder Administrator notwendig.

Voraussetzungen zur Nutzung sind:

  • Installation auf einem Gerät mit mind. Windows 10 oder macOS 
  • Anschluss eines TI‑Konnektors (Secunet, RISE oder KoCo) oder TI-Gateway
  • Verfügbare und freigeschaltete SMC‑B oder HBA aus der jeweiligen Einrichtung. 
  • Eindeutige Konfiguration des Authenticator zur Kommunikation mit dem Konnektor (Aufrufkontext).
  • Netzwerkeinstellungen beachten:
    • IP-Routing zum TI-/WANDA-Netzwerk
    • Firewall-Freigaben zu den IdP Enpunkte (TI und Internet) 

 

Wie funktioniert der Authenticator

Der Authenticator ist eine Desktop-Anwendung mit grafischer Benutzerschnittstelle, welche aktuell unter Windows lauffähig ist und aus Anwendungen (typisch: Web-Anwendungen) heraus aufgerufen wird. Der Authenticator ist somit eine Anwendung für das Authentifizierungsverfahren und muss daher als Schnittstelle fest in die Fachanwendung eingebunden werden.

  • 1
    Login in der Fachanwendung

    Der Nutzer klickt (im Web) auf „Anmelden“.

  • 2
    Start des Authenticators

    Die Fachanwendung startet den gematik Authenticator per Deeplink.

  • 3
    Kartenauswahl

    Der Authenticator fordert – je nach Anwendung – die eHBA oder SMC-B über den Konnektor an.

  • 4
    Kartenprüfung

    Der Authenticator prüft, ob die richtige Karte eingesteckt ist, und fordert ggf. zum Einstecken auf.

  • 5
    PIN-Eingabe

    Der Nutzer gibt seine persönliche PIN am Kartenterminal ein.

  • 6
    Externe Verifikation

    Die Verifikation erfolgt über den TI Identity Provider (IDP).

  • 7
    Token-Übergabe

    Nach erfolgreicher Authentisierung wird ein ID Token erzeugt und an die Fachanwendung übergeben.

  • 8
    Zugang zur Fachanwendung

    Die Fachanwendung gewährt Zugang; die Zugriffsrechte basieren auf der IDP- bzw. Konnektor-Rolle.

Kurzüberblick

ThemaWichtigstes Merkmal
WasDesktop-App für sichere Anmeldung via HBA/SMC‑B
WofürAuthentifizierung für Anwendungen wie DEMIS, OGR, eBTM, TI‑Messenger
VoraussetzungenWindows/Mac, TI‑Konnektor, konfigurierter Authenticator, Karte
AblaufFachanwendung → Deeplink → PIN-Eingabe → ID‑Token → Zugriff
Installation & UpdatesDownload über App Stores oder Fachportal (github)

Download

Microsoft

Mac

GitHub

Releasenotes

In der folgenden Tabelle können Sie ausschließlich die Änderungen der letzten drei Versionen einsehen.
Wenn Sie alle Versionen und deren Änderungen sehen möchten, klicken Sie bitte hier.

VersionÄnderungenDatum
4.16.0

added

  • Konnektor Gateway sample for connector.sds adjustments regarding Konnektor URLs
  • Konnektor gateway sample kubernetes setup from a real hospital environment added
  • Display a optional warning if a card is expired or about to expire in Auth flow and ECC test
  • Show a FAQ button in Function Test dialog if a possible solution is available
  • Package for better web accessibility
  • Show warning when mock konnektor certificates are expired or not valid yet

 

fixed

  • Auto update functionality is removed due to Microsoft/Apple Store usage
  • Brainpool Support for TLS connections to the connector
  • The Authenticator now closes after a successful authentication instead of minimizing to the taskbar
  • Delete obsolete functions and clean up
  • Remove certificate retrieval from OS (Win/Mac) trust stores for Konnektor communication
  • Remove unneeded connector certificates
  • Show a relevant error message when the PinStatus returns error
  • Show the file input required warning in the correct position.

 

security

  • Login consent dialog with security hint to protect users against phishing and unauthorized authentication requests.
  • TLS cipher suites for Konnektor communication is restricted to modern and secure ones

 

26.03.2026
4.15.2

fixed

  • Solved an issue with KoCo-Box connector
30.06.2025
4.15.1

fixed

  • Fixed paths for correct reading of certificates and environment variables
24.06.2025
4.15

added

Config Assistant Enhancements:

  • Added new pages to guide users through the SMC-B PIN entry process
  • Improved menu structure and wording based on user feedback
  • Updated screenshots in the authentication section for better clarity

Configuration Updates:

  • Introduced RSA2ECC Warning and Checker options in the settings page
  • Simplified host configuration by removing the Port option

fixed

Configuration and Setup:

  • Removed the migration script for transferring credentials from config.json to Windows Credential Manager
  • Fixed the 'configuration-video' button in the Config Assistant to ensure proper functionality

User Experience:

  • Enhanced overall user interface and experience in the Config Assistant
  • Improved feedback during function tests when card terminals are unavailable

security

  • Added operating system trust stores for certificate checks
  • Upgraded Windows registry communication and session ID retrieval to use Microsoft Windows API for increased security
  • Updated Truststore to include ECC-CAs for verifying connector certificates
16.06.2025

Weiterführende Informationen

Wissensdatenbank Authenticator

WANDA

Konnektor

DVO

Datenschutzhinweis Authenticator

Barrierefreiheit Authenticator

Sie haben Fragen zum Authenticator?

Für die Klärung technischer Fragen ist das Expertenteam des gematik Authenticator Ihr kompetenter Ansprechpartner.

Gern beantwortet die gematik Ihre Fragen. Sie erreichen uns über das Anfrageportal oder per Mail.

Um Ihnen bei ihren Fragen oder Störungen schnellstmöglich weiterhelfen zu können, bitten wir Sie folgende Informationen anzuhängen:

  • Kurze Problembeschreibung / genutzte Web-Anwendung
  • Screenshots (Fehlermeldung, Funktionstest, Authenticator Einstellungen)
  • Log File.

Noch nicht das richtige gefunden?

Erweiterte Suche

Beliebte Suchbegriffe