gematik stellt Verschlüsselungsmethode der Telematikinfrastruktur um
Die gematik stellt die Kryptografie der Telematikinfrastruktur (TI) von RSA auf ECC um. Die Umstellung erfolgt gemäß den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur (BNetzA). Damit ist die Verwendung der Verschlüsselungsmethode RSA-2048 ab dem Jahr 2026 nicht mehr zulässig.
Heilberufsausweise (HBA) und Security Module Card Typ B (SMC-B) der Generation 2.0 (G2.0) sind damit ab dem 01.01.2026 nicht mehr in der Apotheke für den Zugang für Telematikinfrastruktur einsetzbar. Von der Umstellung sind rund 7.500 HBA und 2.500 SMC-B betroffen.
Die Karten im Apothekensektor werden durch die Kartenanbieter D-Trust GmbH und medisign GmbH angeboten.
Beide Anbieter kennen die betroffenen Karteninhaber*innen und informieren diese derzeit persönlich per E-Mail über die Notwendigkeit des Austauschs. Ziel ist es, den Austausch der SMC-B möglichst frühzeitig umzusetzen, um eine reibungslose Inbetriebnahme (ggf. mithilfe des Dienstleisters vor Ort (DVO)) zu ermöglichen. HBA der beiden Anbieter werden im Nachgang folgen.
Wir empfehlen allen Apotheken, die durch D-Trust oder medisign über die Notwendigkeit des Kartentauschs informiert wurden, schnellstmöglich eine reguläre Folgekarte zu bestellen. Die ECC-Zertifikate der Folgekarten haben eine technisch bedingte Laufzeit von fünf Jahren. D-Trust erstattet in diesem Rahmen etwaige Restlaufzeiten der bisherigen, dann nicht mehr gültigen Karten. medisign wird im Kontext des Austausches den alten Vertrag beenden und mit dem Erhalt der neuen Karte einen neuen Vertrag beginnen.
Erfolgt der Austausch einer der oben genannten Komponenten (HBA, SMC-B) nicht bis spätestens zum 31.12.2025, verliert die betroffene Apotheke ab dem 01.01.2026 den Zugang zur TI. Ein Apothekenbetrieb wäre dann nicht mehr möglich. Ihre Rückmeldung an die Kartenanbieter und Mitwirkung beim Austausch ist also absolut essenziell.
Neben den oben genannten Karten ist auch ein Austausch der gSMC-KT (gerätespezifische Security Module Card des Kartenterminals) erforderlich. Hierbei handelt es sich um Chipkarten im Format einer SIM-Karte, welche zur Authentifizierung von Kartenterminals benötigt werden. In der Regel ist diese bereits zur Auslieferung im Kartenterminal verbaut und versiegelt. Für den Austausch der gSMC-KT ist ein Termin mit Ihrem DVO notwendig. Hierzu werden sich die AVS-Hersteller mit den Betroffenen in Verbindung setzen, um den Austausch zu organisieren. gSMC-KT werden nicht zur Verschlüsselung oder Signatur medizinischer Daten verwendet, der Austausch der gSMC‑KT 2.0 muss zum 31.12.2026 erfolgen.
Auch Konnektoren können von der Umstellung auf das ECC-Verfahren betroffen sein, wenn diese nur das RSA-Verschlüsselungsverfahren unterstützen. Die eingesetzten Zertifikate laufen zum Jahresende 2025 aus. Ein ungültiges Zertifikat führt zum Funktionsverlust des Konnektors.
Weitere Hinweise zum Kartentausch
Die SMC-B Folgekarte sollte lange genug vor dem tatsächlichen Wechsel der Vorgängerkarte freigeschaltet sein, um eine kontinuierliche Anwendungsnutzung zu garantieren.
Durch die Beantragung einer Folgekarte wird im Antragsportal die bestehende Telematik-ID von der Vorgängerkarte übernommen und damit die Änderung der Telematik-ID vermieden. Die genutzten Fachdienste der TI sind an die jeweilige Telematik-ID geknüpft und bedürfen so keinen weiteren Anpassungen.
Die Landesapothekerkammern sind für das Thema ebenfalls hoch sensibilisiert - sollte eine Folgeantrag einmal, z.B. wegen einer Adressänderung des Antragstellenden, nicht möglich sein und doch ein Karten-Neuantrag gestellt werden müssen, achten die Kammern im Antragsprozess auch ihrerseits auf die Beibehaltung der bisherigen Telematik-ID.
Zum Übergang Alt- auf die Neu-Karte sollte auf Folgendes geachtet werden:
- Nach der Freischaltung der Zertifikate der neuen Karte sollte die alte Karte noch mindestens 2 Tage im Kartenleser gesteckt bleiben.
- Vor dem endgültigen Kartenwechsel sollten die KIM-Nachrichten noch einmal abgerufen werden.
Wir empfehlen allen Betroffenen eine enge Abstimmung mit ihrem AVS-Serviceanbieter.