17.09.2025 - Folgeworkshop rund um PTV6 (Konnektor) und PTV2 (Highspeed-Konnektor) im Kontext von RSA2ECC – gewonnene Erkenntnisse vertiefen und offene Punkte gemeinsam besprechen:
Mehr erfahren

23.07.2025 - Wichtige Information: Ablauf der Nutzbarkeit von älteren Konnektoren mit RSA2048-Verschlüsselung:
Mehr erfahren

10.07.2025 - Nutzen Sie diese Gelegenheit: Die Testwochen Q3 2025 starten bald.
Mehr erfahren

06.06.2025 - Konnektoren und Kartenterminals mit veralteter oder nicht mehr zugelassener Software im Einsatz:
Mehr erfahren

16.05.2025 - Neue Firmware-Versionen für Konnektoren: Vorbereitung auf aktualisierte Vertrauensliste der BNetzA:
Mehr erfahren

24.04.2025 - Einstellung des Vertriebs und des technischen Supports für den Konnektorsimulator für Primärsysteme (KoPS):
Mehr erfahren

RSA zu ECC Migration

Die Telematikinfrastruktur (TI) stellt ihre Kryptografie von RSA (Rivest-Shamir-Adleman) auf ECC (Elliptic Curve Cryptography) um.

ECC für Sicherheit und Zukunftsfähigkeit

Mit der Umstellung von RSA zu ECC stärkt die gematik die kryptografische Grundlage bestehender Systeme der TI. ECC ermöglicht bei kürzeren Schlüsseln ein höheres Sicherheitsniveau und reduziert gleichzeitig Rechenaufwand sowie Speicherbedarf. Damit erfüllt die TI aktuelle Sicherheitsstandards und optimiert die Performance sicherheitskritischer Anwendungen. 

Primärsystemhersteller und Dienstleister vor Ort sollten jetzt die Migration auf ECC vornehmen und die notwendigen Änderungen sowohl in ihren Systemen als auch bei den Leistungserbringerorganisationen umsetzen.

Einsatz von RSA ab 2026 unzulässig

Der Einsatz des RSA-Algorithmus mit Schlüssellängen zwischen 1900 und 3000 Bit ist gemäß der Technischen Richtlinie BSI TR-02102-1 in Verbindung mit der SOG-IS-2020-Anforderung nur noch bis zum 31.12.2025 zulässig. Diese Vorgabe des Bundesamt für Sicherheit in der Informationstechnik betrifft insbesondere sicherheitsrelevante Komponenten wie Konnektoren.

Zeitplanung zur Umstellung von RSA auf ECC

Komponenten / Anwendungen mit QES (Qualifizierte elektronische Signatur)
Der Einsatz von RSA (1900–3000 Bit) ist ab 2026 unzulässig. Die Regelungen gemäß eIDAS und der Bundesnetzagentur lassen keinen Ermessensspielraum zu. Nach Einschätzung von gematik und BSI würde somit die Nutzung von RSA-2048 nach dem Stichtag des SOG-IS-Katalogs als Verletzung der Aufsichtspflichten gewertet. In einem solchen Fall müssten alle betroffenen Zertifikate gesperrt werden.

Komponenten / Anwendungen nonQES (ohne qualifizierte elektronische Signatur)
Der Einsatz von RSA (1900–3000 Bit) ist über das Jahr 2026 hinaus ausschließlich im Rahmen eines eng begrenzten Ermessensspielraums und nur in begründeten Ausnahmefällen zulässig. Die Verantwortung liegt bei der gematik in Abstimmung mit dem BSI. Das BSI empfiehlt dringend, RSA-Schlüssel < 3000 Bit nicht über 2025 hinaus zu verwenden.

Weitere Informationen zu QES und nonQES finden Sie hier
 

Weitere Informationen

Allgemeine Hinweise zur RSA2ECC-Migration

Aktuelles, technische Hintergründe und wichtige Inhalte zur RSA2ECC-Migration finden Sie auf unserer RUaaS-Seite.

Zur Seite

Umsetzung der ECC-Migration

Informationen zur technischen Umsetzung der ECC-Migration wie z.B. Umstellungsleitfäden.

Zur Seite

ECC-Testwochen

Aktuelle und vergangene Testwochen im Überblick. Nutzen Sie die Gelegenheit, Ihre Systeme optimal vorzubereiten und ihre Systeme zu überprüfen.

Zur Seite

Informationen für Leistungserbringer

Auf gematik.de finden Leistungserbringer relevante Informationen für Ihre Einrichtung.

Zur Seite

FAQ

  1. Informieren: Verschaffen Sie sich einen Überblick auf der RUaaS-Seite zur Migration auf ECC. Dort finden Sie auch unsere Kommunikationskanäle.
  2. Umsetzen: Setzen Sie die Migration auf ECC in Ihrem Primärsystem um. Die bereitgestellten Umstellungsleitfäden unterstützen Sie dabei.
  3. Testen: Nehmen Sie an den ECC-Testwochen teil, um die ECC-Kompatibilität Ihrer Primärsysteme in der Referenzumgebung (RU) zu überprüfen.
  4. Unterstützen: Begleiten Sie Ihre Kunden bei der Migration, indem Sie die Hinweise und Beispiele aus „Blick in die Praxis“ in Ihrer Lösung umsetzen.

  1. Informieren: Verschaffen Sie sich einen Überblick auf der RUaaS-Seite zur Migration auf ECC – mit besonderem Fokus auf „Blick in die Praxis“. Hier finden Sie Informationen zu den betroffenen Komponenten und konkrete Vorgehensweisen.
  2. Prüfen: Überprüfen Sie die Laufzeiten und den Status der Komponenten Ihrer Leistungserbringerorganisationen.
  3. Unterstützen: Begleiten Sie Ihre Kunden bei der Migration auf ECC unter Nutzung der Hinweise aus „Blick in die Praxis“.

Eine Orientierungs- und Umsetzungshilfe für DVOs, IT-Servicetechniker bzw. IT-Servicemanager in Leistungserbringerinstitutionen zur Verwaltung und Sicherstellung der RSA2ECC-Fitness der eigenen dezentralen TI-Infrastruktur in Selbstverwaltung/Eigenverantwortung finden Sie auf "Blick in die Praxis" – Betroffene Komponenten in Leistungserbringerinstitutionen

Bei den Sicherheitsrichtlinien orientieren wir uns an den Empfehlungen und Vorgaben der obersten Sicherheitsbehörden und international anerkannten Standards. Das BSI orientiert sich an dem internationalem Standard SOGIS-Katalog bei ihrer Empfehlung. Der aktuell vorgesehene Zeitplan basiert auf den Empfehlungen des BSI und Vorgaben der Bundesnetzagentur (BNetzA) für die qualifizierte elektronische Signatur (QES), RSA<3000 bit nach 31.12.2025 nicht mehr zu nutzen. Die QES fällt in die Regelungskompetenz der BNetzA.

Nein, das RSA-Gerätezertifikat läuft zum Jahresende nach einer zweijährigen Verlängerung aus und ist damit ungültig. Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors.

Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen.