17.09.2025 - Folgeworkshop rund um PTV6 (Konnektor) und PTV2 (Highspeed-Konnektor) im Kontext von RSA2ECC – gewonnene Erkenntnisse vertiefen und offene Punkte gemeinsam besprechen:
Mehr erfahren

11.08.2025 - Geplante Wartungsarbeiten im VSDM am Mittwoch, 13.08.2025:
Mehr erfahren

23.07.2025 - Wichtige Information: Ablauf der Nutzbarkeit von älteren Konnektoren mit RSA2048-Verschlüsselung:
Mehr erfahren

10.07.2025 - Nutzen Sie diese Gelegenheit: Die Testwochen Q3 2025 starten bald.
Mehr erfahren

06.06.2025 - Konnektoren und Kartenterminals mit veralteter oder nicht mehr zugelassener Software im Einsatz:
Mehr erfahren

16.05.2025 - Neue Firmware-Versionen für Konnektoren: Vorbereitung auf aktualisierte Vertrauensliste der BNetzA:
Mehr erfahren

24.04.2025 - Einstellung des Vertriebs und des technischen Supports für den Konnektorsimulator für Primärsysteme (KoPS):
Mehr erfahren

Komponenten & Dienste

Authenticator

Das Tool zur sicheren Authentifizierung für digitale Anwendungen des Gesundheitswesens

Seite abonnieren

Was ist der Authenticator?

Der Authenticator ist eine kostenfreie Desktop-App, die eine sichere Authentisierung von Nutzern für die Anmeldung an digitalen Gesundheitsanwendungen ermöglicht. Die App identifiziert berechtigte Ärztinnen und Ärzte, medizinische Einrichtungen, Apotheken sowie weiteres medizinisches Personal – unterstützt werden dabei HBA- und SMC-B-Karten.

Direkt bei der Anmeldung aus einer webbasierten TI-Anwendung (z. B. DEMIS, Organspende) wird der Authenticator gestartet und schützt so den Zugriff auf kritische TI-Applikationen. Der Authenticator fungiert dabei als Bindeglied zwischen der klassischen TI 1.0 (via Konnektor) und der zukünftigen, föderierten Architektur der TI 2.0 – inklusive OAuth2-/OpenID-basiertem Single Sign-on.

Welche Anwendungen mit Authenticator-Einsatz sind aktuell im Einsatz? 

AnwendungBetreiberArtNutzerbereichKarte
Zentrales VorsorgeregistersBundesnotarkammerFreiwilligAmbulant + StationärHBA
Betäubungsmittelrezept (eBTM)BfArMFreiwilligAmbulantHBA
DEMISRKIPflichtAmbulant + StationärSMC-B
OrganspenderegisterBfArMPflichtStationär (Entnahmekrankenhäuser)HBA + SMC-B
ImplantateregisterBMGPflichtStationärSMC-B

Der Authenticator ist auch bei Anwendungen wie dem TI-Messenger oder dem Verzeichnisdienst (VZD) als Produktfeature integriert.

Alle genannten Anwendungen rufen den Authenticator über WANDA-Anbindungen zur Anmeldung auf – in der Regel über deeplinkgestützte OAuth2-Workflows in Verbindung mit dem TI-Konnektor.

Was ist notwendig für die Nutzung des Authenticators?

Damit der Authenticator für entsprechende Anwendungen betrieben werden kann, ist die Installation der Software sowie die einmalige Administration der Einstellungen durch einen Dienstleister vor Ort (DVO) oder Administrator notwendig.

Voraussetzungen zur Nutzung sind:

  • Installation auf einem Gerät mit Windows 10 oder macOS 
  • Anschluss eines TI‑Konnektors (Secunet, RISE oder KoCo) oder TI-Gateway
  • Verfügbare und freigeschaltete SMC‑B oder HBA aus der jeweiligen Einrichtung. 
  • Eindeutige Konfiguration des Authenticator zur Kommunikation mit dem Konnektor (Aufrufkontext).
  • Netzwerkeinstellungen beachten:
    • IP-Routing zum TI-/WANDA-Netzwerk
    • Firewall-Freigaben zu den IdP Enpunkte (TI und Internet) 

Wie funktioniert der Authenticator

Der Authenticator ist eine Desktop-Anwendung mit grafischer Benutzerschnittstelle, welche aktuell unter Windows lauffähig ist und aus Anwendungen (typisch: Web-Anwendungen) heraus aufgerufen wird. Der Authenticator ist somit eine Anwendung für das Authentifizierungsverfahren und muss daher als Schnittstelle fest in die Fachanwendung eingebunden werden.

  1. Login in der Fachanwendung:
    Der Nutzer klickt (im Web) auf „Anmelden“.
  2. Start des Authenticators:
    Die Fachanwendung startet den gematik Authenticator per Deeplink.
  3. Kartenauswahl:
    Der Authenticator fordert – je nach Anwendung – die eHBA oder SMC-B über den Konnektor an.
  4. Kartenprüfung:
    Der Authenticator prüft, ob die richtige Karte eingesteckt ist, und fordert ggf. zum Einstecken auf.
  5. PIN-Eingabe:
    Der Nutzer gibt seine persönliche PIN am Kartenterminal ein.
  6. Externe Verifikation:
    Die Verifikation erfolgt über den TI Identity Provider (IDP).
  7. Token-Übergabe:
    Nach erfolgreicher Authentisierung wird ein ID Token erzeugt und an die Fachanwendung übergeben.
  8. Zugang zur Fachanwendung:
    Die Fachanwendung gewährt Zugang; die Zugriffsrechte basieren auf der IDP- bzw. Konnektor-Rolle.

Kurzüberblick

ThemaWichtigstes Merkmal
WasDesktop-App für sichere Anmeldung via HBA/SMC‑B
WofürAuthentifizierung für Anwendungen wie DEMIS, OGR, eBTM, TI‑Messenger
VoraussetzungenWindows/Mac, TI‑Konnektor, konfigurierter Authenticator, Karte
AblaufFachanwendung → Deeplink → PIN-Eingabe → ID‑Token → Zugriff
Installation & UpdatesDownload über App Stores oder Fachportal (github)

 

Download

Releasenotes

In der folgenden Tabelle können Sie ausschließlich die Änderungen der letzten drei Versionen einsehen.
Wenn Sie alle Versionen und deren Änderungen sehen möchten, klicken Sie bitte hier.

VersionÄnderungenDatum
4.15.2

fixed

  • Solved an issue with KoCo-Box connector
30.06.2025
4.15.1

fixed

  • Fixed paths for correct reading of certificates and environment variables
24.06.2025
4.15

added

Config Assistant Enhancements:

  • Added new pages to guide users through the SMC-B PIN entry process
  • Improved menu structure and wording based on user feedback
  • Updated screenshots in the authentication section for better clarity

Configuration Updates:

  • Introduced RSA2ECC Warning and Checker options in the settings page
  • Simplified host configuration by removing the Port option

fixed

Configuration and Setup:

  • Removed the migration script for transferring credentials from config.json to Windows Credential Manager
  • Fixed the 'configuration-video' button in the Config Assistant to ensure proper functionality

User Experience:

  • Enhanced overall user interface and experience in the Config Assistant
  • Improved feedback during function tests when card terminals are unavailable

security

  • Added operating system trust stores for certificate checks
  • Upgraded Windows registry communication and session ID retrieval to use Microsoft Windows API for increased security
  • Updated Truststore to include ECC-CAs for verifying connector certificates
16.06.2025

 

Hinweis: Sie möchten künftig automatisch per E-Mail über Versionsupdates des Authenticators informiert werden? Dann nutzen Sie einfach die Abonnement-Funktion im Fachportal. Diese finden Sie auf dieser Seite über den Button „Seite abonnieren“ oben rechts im Fenster.

Weiterführende Informationen

Datenschutzhinweis für den gematik Authenticator

zur Seite

Sie haben Fragen zum Authenticator?

Für die Klärung technischer Fragen ist das Expertenteam des gematik Authenticator Ihr kompetenter Ansprechpartner.

Gern beantwortet die gematik Ihre Fragen. Sie erreichen uns über das Anfrageportal oder per Mail.

Um Ihnen bei ihren Fragen oder Störungen schnellstmöglich weiterhelfen zu können, bitten wir Sie folgende Informationen anzuhängen:

  • Kurze Problembeschreibung / genutzte Web-Anwendung
  • Screenshots (Fehlermeldung, Funktionstest, Authenticator Einstellungen)
  • Log File.