TI-Status

RSA zu ECC Migration

Die Telematikinfrastruktur (TI) stellt ihre Kryptografie um.

ECC für Sicherheit und Zukunftsfähigkeit

Mit der Umstellung von RSA (Rivest-Shamir-Adleman) auf ECC (Elliptic Curve Cryptography) stärkt die gematik die kryptografische Grundlage bestehender Systeme der TI. ECC ermöglicht bei kürzeren Schlüsseln ein höheres Sicherheitsniveau und reduziert gleichzeitig Rechenaufwand sowie Speicherbedarf. Damit erfüllt die TI aktuelle Sicherheitsstandards und optimiert die Performance sicherheitskritischer Anwendungen. 

Primärsystemhersteller und Dienstleister vor Ort sollten jetzt die Migration auf ECC vornehmen und die notwendigen Änderungen sowohl in ihren Systemen als auch bei den Leistungserbringerorganisationen umsetzen.

TI-Verschlüsselung von RSA auf ECC: Was ändert sich mit dem neuen Verfahren?

Einsatz von RSA ab 1.7.2026 unzulässig

Der Einsatz des RSA-Algorithmus mit Schlüssellängen zwischen 1900 und 3000 Bit ist gemäß der Technischen Richtlinie BSI TR-02102-1 in Verbindung mit der SOG-IS-2020-Anforderung im Übergangszeitraum noch bis zum 30.06.2026 zulässig. Diese Vorgabe des Bundesamt für Sicherheit in der Informationstechnik betrifft insbesondere sicherheitsrelevante Komponenten wie Konnektoren.

Zeitplanung zur Umstellung von RSA auf ECC

Komponenten / Anwendungen mit QES (Qualifizierte elektronische Signatur)
Der Einsatz von RSA (1900–3000 Bit) ist ab 01.07.2026 unzulässig. Die Regelungen gemäß eIDAS und der Bundesnetzagentur lassen keinen Ermessensspielraum zu. Nach Einschätzung von gematik und BSI würde somit die Nutzung von RSA-2048 nach dem Stichtag des SOG-IS-Katalogs als Verletzung der Aufsichtspflichten gewertet. In einem solchen Fall müssten alle betroffenen Zertifikate gesperrt werden.

Komponenten / Anwendungen nonQES (ohne qualifizierte elektronische Signatur)
Der Einsatz von RSA (1900–3000 Bit) ist nach dem Übergangszeitraum, ab dem 01.07.2026, unzulässig. Die Verantwortung liegt bei der gematik in Abstimmung mit dem BSI. Das BSI empfiehlt dringend, RSA-Schlüssel < 3000 Bit nicht über 2025 hinaus zu verwenden.

Weitere Informationen zu QES und nonQES finden Sie hier
 

Zeitlicher Projektplan

Weitere Informationen

Umsetzung der ECC-Migration

ECC-Testwochen

Informationen für Leistungserbringer

News auf gematik.de

Aktuelle Information TI-Verschlüsselungsalgorithmen: Umstellung von RSA auf ECC.

Allgemeine Hinweise zur RSA2ECC-Migration

FAQ

Was sind die nächsten Schritte für Sie als Primärsystemhersteller?
  1. Informieren: Verschaffen Sie sich einen Überblick auf der RUaaS-Seite zur Migration auf ECC. Dort finden Sie auch unsere Kommunikationskanäle.
  2. Umsetzen: Setzen Sie die Migration auf ECC in Ihrem Primärsystem um. Die bereitgestellten Umstellungsleitfäden unterstützen Sie dabei.
  3. Testen: Nehmen Sie an den ECC-Testwochen teil, um die ECC-Kompatibilität Ihrer Primärsysteme in der Referenzumgebung (RU) zu überprüfen.
  4. Unterstützen: Begleiten Sie Ihre Kunden bei der Migration, indem Sie die Hinweise und Beispiele aus „Blick in die Praxis“ in Ihrer Lösung umsetzen.
Was sind die nächsten Schritte für Sie als Dienstleister vor Ort?
  1. Informieren: Verschaffen Sie sich einen Überblick auf der RUaaS-Seite zur Migration auf ECC – mit besonderem Fokus auf „Blick in die Praxis“. Hier finden Sie Informationen zu den betroffenen Komponenten und konkrete Vorgehensweisen.
  2. Prüfen: Überprüfen Sie die Laufzeiten und den Status der Komponenten Ihrer Leistungserbringerorganisationen.
  3. Unterstützen: Begleiten Sie Ihre Kunden bei der Migration auf ECC unter Nutzung der Hinweise aus „Blick in die Praxis“.
Gibt es Informationen zur Umstellung von Komponenten in Leistungserbringerinstitutionen?

Eine Orientierungs- und Umsetzungshilfe für DVOs, IT-Servicetechniker bzw. IT-Servicemanager in Leistungserbringerinstitutionen zur Verwaltung und Sicherstellung der RSA2ECC-Fitness der eigenen dezentralen TI-Infrastruktur in Selbstverwaltung/Eigenverantwortung finden Sie auf "Blick in die Praxis" – Betroffene Komponenten in Leistungserbringerinstitutionen

Welchen Fristen gibt es für den Tausch von TI-Komponenten?

Für die Umstellung von RSA auf ECC müssen mehrere TI-Komponenten innerhalb festgelegter Fristen erneuert oder aktualisiert werden:

  • Konnektor – bis 31.12.2025
    Nicht ECC-fähige Konnektoren müssen bis Jahresende ersetzt werden.
    Ab 1. Januar 2026 ist kein TI-Zugang mehr mit sogenannten "RSA-only-Konnektoren" möglich.
  • Primärsystem und KIM – bis 31.12.2025
    Für beide Systeme stellen die Hersteller entsprechende Software-Updates bereit.
    Einige Updates sind bereits verfügbar, weitere folgen zum Jahresende.
  • Heilberufsausweis (HBA) – bis 30.06.2026
    HBA der Generation 2.0 ohne ECC müssen gegen Karten der Generation 2.1 ausgetauscht werden –
    auch wenn der bisherige Ausweis offiziell ein längeres Ablaufdatum trägt.
  • Praxisausweis (SMC-B) – bis 30.06.2026
    SMC-B der Generation 2.0 müssen durch ECC-fähige Karten ersetzt werden.
    Ohne gültige SMC-B ist kein Zugriff auf Anwendungen wie eRezept, eAU, VSDM oder ePA möglich.
  • Gerätekarte für Kartenterminals (gSMC-KT) – bis 31.12.2026
    gSMC-KT der Generation 2.0 müssen gegen Version 2.1 getauscht werden,
    damit Kartenterminals weiterhin eine gültige digitale Identität besitzen.
Kann eine medizinische Einrichtung einen Konnektor mit nur RSA-Identität nach dem 31.12.2025 nutzen?

Nein, das RSA-Gerätezertifikat läuft zum Jahresende nach einer zweijährigen Verlängerung aus und ist damit ungültig. Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors.

Gibt es eine (weitere) Verlängerungsoption für Konnektoren?

Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen.

Noch nicht das richtige gefunden?

Erweiterte Suche

Beliebte Suchbegriffe