08.07.2025
- Workaroundbeschreibung zur Störungsmeldung 07.07.2025 secunet Konnektoren :
Mehr erfahren

RSA zu ECC Migration
Die Telematikinfrastruktur (TI) stellt ihre Kryptografie von RSA (Rivest-Shamir-Adleman) auf ECC (Elliptic Curve Cryptography) um.
ECC für Sicherheit und Zukunftsfähigkeit
Mit der Umstellung von RSA zu ECC stärkt die gematik die kryptografische Grundlage bestehender Systeme der TI. ECC ermöglicht bei kürzeren Schlüsseln ein höheres Sicherheitsniveau und reduziert gleichzeitig Rechenaufwand sowie Speicherbedarf. Damit erfüllt die TI aktuelle Sicherheitsstandards und optimiert die Performance sicherheitskritischer Anwendungen.
Primärsystemhersteller und Dienstleister vor Ort sollten jetzt die Migration auf ECC vornehmen und die notwendigen Änderungen sowohl in ihren Systemen als auch bei den Leistungserbringerorganisationen umsetzen.
Einsatz von RSA ab 2026 unzulässig
Der Einsatz des RSA-Algorithmus mit Schlüssellängen zwischen 1900 und 3000 Bit ist gemäß der Technischen Richtlinie BSI TR-02102-1 in Verbindung mit der SOG-IS-2020-Anforderung nur noch bis zum 31.12.2025 zulässig. Diese Vorgabe des Bundesamt für Sicherheit in der Informationstechnik betrifft insbesondere sicherheitsrelevante Komponenten wie Konnektoren.
Zeitplanung zur Umstellung von RSA auf ECC
Komponenten / Anwendungen mit QES (Qualifizierte elektronische Signatur)
Der Einsatz von RSA (1900–3000 Bit) ist ab 2026 unzulässig. Die Regelungen gemäß eIDAS und der Bundesnetzagentur lassen keinen Ermessensspielraum zu. Nach Einschätzung von gematik und BSI würde somit die Nutzung von RSA-2048 nach dem Stichtag des SOG-IS-Katalogs als Verletzung der Aufsichtspflichten gewertet. In einem solchen Fall müssten alle betroffenen Zertifikate gesperrt werden.
Komponenten / Anwendungen nonQES (ohne qualifizierte elektronische Signatur)
Der Einsatz von RSA (1900–3000 Bit) ist über das Jahr 2026 hinaus ausschließlich im Rahmen eines eng begrenzten Ermessensspielraums und nur in begründeten Ausnahmefällen zulässig. Die Verantwortung liegt bei der gematik in Abstimmung mit dem BSI. Das BSI empfiehlt dringend, RSA-Schlüssel < 3000 Bit nicht über 2025 hinaus zu verwenden.
Weitere Informationen zu QES und nonQES finden Sie hier
FAQ
- Informieren: Verschaffen Sie sich einen Überblick auf der RUaaS-Seite zur Migration auf ECC. Dort finden Sie auch unsere Kommunikationskanäle.
- Umsetzen: Setzen Sie die Migration auf ECC in Ihrem Primärsystem um. Die bereitgestellten Umstellungsleitfäden unterstützen Sie dabei.
- Testen: Nehmen Sie an den ECC-Testwochen teil, um die ECC-Kompatibilität Ihrer Primärsysteme in der Referenzumgebung (RU) zu überprüfen.
- Unterstützen: Begleiten Sie Ihre Kunden bei der Migration, indem Sie die Hinweise und Beispiele aus „Blick in die Praxis“ in Ihrer Lösung umsetzen.
- Informieren: Verschaffen Sie sich einen Überblick auf der RUaaS-Seite zur Migration auf ECC – mit besonderem Fokus auf „Blick in die Praxis“. Hier finden Sie Informationen zu den betroffenen Komponenten und konkrete Vorgehensweisen.
- Prüfen: Überprüfen Sie die Laufzeiten und den Status der Komponenten Ihrer Leistungserbringerorganisationen.
- Unterstützen: Begleiten Sie Ihre Kunden bei der Migration auf ECC unter Nutzung der Hinweise aus „Blick in die Praxis“.
Eine Orientierungs- und Umsetzungshilfe für DVOs, IT-Servicetechniker bzw. IT-Servicemanager in Leistungserbringerinstitutionen zur Verwaltung und Sicherstellung der RSA2ECC-Fitness der eigenen dezentralen TI-Infrastruktur in Selbstverwaltung/Eigenverantwortung finden Sie auf "Blick in die Praxis" – Betroffene Komponenten in Leistungserbringerinstitutionen
Bei den Sicherheitsrichtlinien orientieren wir uns an den Empfehlungen und Vorgaben der obersten Sicherheitsbehörden und international anerkannten Standards. Das BSI orientiert sich an dem internationalem Standard SOGIS-Katalog bei ihrer Empfehlung. Der aktuell vorgesehene Zeitplan basiert auf den Empfehlungen des BSI und Vorgaben der Bundesnetzagentur (BNetzA) für die qualifizierte elektronische Signatur (QES), RSA<3000 bit nach 31.12.2025 nicht mehr zu nutzen. Die QES fällt in die Regelungskompetenz der BNetzA.
Nein, das RSA-Gerätezertifikat läuft zum Jahresende nach einer zweijährigen Verlängerung aus und ist damit ungültig. Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors.
Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen.