TI-Status

RSA zu ECC Migration

Die Telematikinfrastruktur (TI) stellt ihre Kryptografie um.

ECC für Sicherheit und Zukunftsfähigkeit

Mit der Umstellung von RSA (Rivest-Shamir-Adleman) auf ECC (Elliptic Curve Cryptography) stärkt die gematik die kryptografische Grundlage bestehender Systeme der TI. ECC ermöglicht bei kürzeren Schlüsseln ein höheres Sicherheitsniveau und reduziert gleichzeitig Rechenaufwand sowie Speicherbedarf. Damit erfüllt die TI aktuelle Sicherheitsstandards und optimiert die Performance sicherheitskritischer Anwendungen. 

Primärsystemhersteller und Dienstleister vor Ort sollten jetzt die Migration auf ECC vornehmen und die notwendigen Änderungen sowohl in ihren Systemen als auch bei den Leistungserbringerorganisationen umsetzen.

Start der ECC Testwochen Q1/2026

Testwochen zwischen 16. Februar und 19. März 2026

Wir möchten Sie dazu einladen, an unseren bevorstehenden Testwochen Q1/2026 auf der RU teilzunehmen und aktiv mitzuwirken. Diese Gelegenheit bietet Ihnen die Chance, kurz vor der geplanten Abschaltung von RSA in Q3/2026, wertvolle Einblicke in die ECC-Fähigkeit Ihrer Primärsysteme zu gewinnen.

Termine:

  • 16.02. RSA-Abschaltung QES/nonQES
  • 16./17.02. Quickcheck
  • 18.02. - 19.03. ECConly-Testphase (QES/nonQES) intern/extern
  • 20.03. RSA-Anschaltung
  • 23./24.03. Quickcheck
  • ab 25.03. allgemeine Tests auf der RU (RSA/ECC aktiv).

Ziel der Testwochen ist es, die Interoperabilität Ihrer Primärsysteme nach der Abschaltung von RSA (QES/nonQES) zu prüfen – gleichzeitig möchten wir Ihr Feedback sammeln.

Hinweis: Bitte nutzen Sie für Ihre Tests auch ECConly-Testkarten, die Sie im Onlineshop der gematik  bestellen können.

Warum sollten Sie teilnehmen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat klare Vorgaben zur Nutzung von Verschlüsselungsalgorithmen veröffentlicht, die ab Mitte 2026 in der TI gültig sein werden. Die Einhaltung dieser Richtlinien ist essenziell, um die Zukunftsfähigkeit Ihrer Produkte zu gewährleisten.

Bei Fragen oder Anmerkungen kontaktieren Sie einfach unser ServiceDesk-Portal.

Wir freuen uns auf Ihre aktive Teilnahme und wünschen Ihnen erfolgreiche Testwochen!

 

TI-Verschlüsselung von RSA auf ECC: Was ändert sich mit dem neuen Verfahren?

Einsatz von RSA ab 1.7.2026 unzulässig

Der Einsatz des RSA-Algorithmus mit Schlüssellängen zwischen 1900 und 3000 Bit ist gemäß der Technischen Richtlinie BSI TR-02102-1 in Verbindung mit der SOG-IS-2020-Anforderung im Übergangszeitraum noch bis zum 30.06.2026 zulässig. Diese Vorgabe des Bundesamt für Sicherheit in der Informationstechnik betrifft insbesondere sicherheitsrelevante Komponenten wie Konnektoren.

Zeitplanung zur Umstellung von RSA auf ECC

Komponenten / Anwendungen mit QES (Qualifizierte elektronische Signatur)
Der Einsatz von RSA (1900–3000 Bit) ist ab 01.07.2026 unzulässig. Die Regelungen gemäß eIDAS und der Bundesnetzagentur lassen keinen Ermessensspielraum zu. Nach Einschätzung von gematik und BSI würde somit die Nutzung von RSA-2048 nach dem Stichtag des SOG-IS-Katalogs als Verletzung der Aufsichtspflichten gewertet. In einem solchen Fall müssten alle betroffenen Zertifikate gesperrt werden.

Komponenten / Anwendungen nonQES (ohne qualifizierte elektronische Signatur)
Der Einsatz von RSA (1900–3000 Bit) ist nach dem Übergangszeitraum, ab dem 01.07.2026, unzulässig. Die Verantwortung liegt bei der gematik in Abstimmung mit dem BSI. Das BSI empfiehlt dringend, RSA-Schlüssel < 3000 Bit nicht über 2025 hinaus zu verwenden.

Weitere Informationen zu QES und nonQES finden Sie hier
 

Zeitlicher Projektplan

Weitere Informationen

Umsetzung der ECC-Migration

ECC-Testwochen

Informationen für Leistungserbringer

News auf gematik.de

Aktuelle Information TI-Verschlüsselungsalgorithmen: Umstellung von RSA auf ECC.

Allgemeine Hinweise zur RSA2ECC-Migration

FAQ

Was sind die nächsten Schritte für Sie als Primärsystemhersteller?
  1. Informieren: Verschaffen Sie sich einen Überblick auf der RUaaS-Seite zur Migration auf ECC. Dort finden Sie auch unsere Kommunikationskanäle.
  2. Umsetzen: Setzen Sie die Migration auf ECC in Ihrem Primärsystem um. Die bereitgestellten Umstellungsleitfäden unterstützen Sie dabei.
  3. Testen: Nehmen Sie an den ECC-Testwochen teil, um die ECC-Kompatibilität Ihrer Primärsysteme in der Referenzumgebung (RU) zu überprüfen.
  4. Unterstützen: Begleiten Sie Ihre Kunden bei der Migration, indem Sie die Hinweise und Beispiele aus „Blick in die Praxis“ in Ihrer Lösung umsetzen.
Was sind die nächsten Schritte für Sie als Dienstleister vor Ort?
  1. Informieren: Verschaffen Sie sich einen Überblick auf der RUaaS-Seite zur Migration auf ECC – mit besonderem Fokus auf „Blick in die Praxis“. Hier finden Sie Informationen zu den betroffenen Komponenten und konkrete Vorgehensweisen.
  2. Prüfen: Überprüfen Sie die Laufzeiten und den Status der Komponenten Ihrer Leistungserbringerorganisationen.
  3. Unterstützen: Begleiten Sie Ihre Kunden bei der Migration auf ECC unter Nutzung der Hinweise aus „Blick in die Praxis“.
Gibt es Informationen zur Umstellung von Komponenten in Leistungserbringerinstitutionen?

Eine Orientierungs- und Umsetzungshilfe für DVOs, IT-Servicetechniker bzw. IT-Servicemanager in Leistungserbringerinstitutionen zur Verwaltung und Sicherstellung der RSA2ECC-Fitness der eigenen dezentralen TI-Infrastruktur in Selbstverwaltung/Eigenverantwortung finden Sie auf "Blick in die Praxis" – Betroffene Komponenten in Leistungserbringerinstitutionen

Welchen Fristen gibt es für den Tausch von TI-Komponenten?

Für die Umstellung von RSA auf ECC müssen mehrere TI-Komponenten innerhalb festgelegter Fristen erneuert oder aktualisiert werden:

  • Konnektor – bis 31.12.2025
    Nicht ECC-fähige Konnektoren müssen bis Jahresende ersetzt werden.
    Ab 1. Januar 2026 ist kein TI-Zugang mehr mit sogenannten "RSA-only-Konnektoren" möglich.
  • Primärsystem und KIM – bis 31.12.2025
    Für beide Systeme stellen die Hersteller entsprechende Software-Updates bereit.
    Einige Updates sind bereits verfügbar, weitere folgen zum Jahresende.
  • Heilberufsausweis (HBA) – bis 30.06.2026
    HBA der Generation 2.0 ohne ECC müssen gegen Karten der Generation 2.1 ausgetauscht werden –
    auch wenn der bisherige Ausweis offiziell ein längeres Ablaufdatum trägt.
  • Praxisausweis (SMC-B) – bis 30.06.2026
    SMC-B der Generation 2.0 müssen durch ECC-fähige Karten ersetzt werden.
    Ohne gültige SMC-B ist kein Zugriff auf Anwendungen wie eRezept, eAU, VSDM oder ePA möglich.
  • Gerätekarte für Kartenterminals (gSMC-KT) – bis 31.12.2026
    gSMC-KT der Generation 2.0 müssen gegen Version 2.1 getauscht werden,
    damit Kartenterminals weiterhin eine gültige digitale Identität besitzen.
Kann eine medizinische Einrichtung einen Konnektor mit nur RSA-Identität nach dem 31.12.2025 nutzen?

Nein, das RSA-Gerätezertifikat läuft zum Jahresende nach einer zweijährigen Verlängerung aus und ist damit ungültig. Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors.

Gibt es eine (weitere) Verlängerungsoption für Konnektoren?

Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen.

Noch nicht das richtige gefunden?

Erweiterte Suche

Beliebte Suchbegriffe