UPDATE: Heilberufsausweise und SMC-B-Karten mit RSA-Verschlüsselung können noch bis zum 30. Juni und damit ein halbes Jahr länger als bislang vorgesehen genutzt werden. Mit der Fristverschiebung reagiert die gematik auf die anhaltenden Produktions- und Lieferprobleme von Kartenherstellern. Sie kommt damit einer Forderung der KBV nach, die sich seit Monaten für eine Übergangslösung eingesetzt hatte. Am Freitag, 13. November 2025, hat die gematik ihre Gesellschafter darüber informiert, dass im Austausch mit der Bundesnetzagentur und der eIDAS-Zertifizierungsstelle SRC für Heilberufsausweise eine Übergangslösung erzielt worden sei. Weitere Informationen finden Sie hier!
Ab Juli nur noch ECC-fähige Ausweise
Die Übergangslösung bedeutet, dass Ärzte Heilberufsausweise, die Zertifikate mit RSA-Verschlüsselung enthalten, noch bis zum 30. Juni 2026 nutzen können. Danach sind nur HBA mit ECC-basierten Zertifikaten einsetzbar, um beispielsweise eRezepte zu signieren. Bis zum 30. Juni dürften Kartenhersteller die alten Ausweise daher auch nicht sperren, schreibt die gematik weiter. Sie seien zugleich verpflichtet, ab 1. Januar ausschließlich ECC-fähige Karten zu produzieren und auszugeben.
Auch Praxisausweise (SMC-B-Karten), die nicht ECC-fähig sind, können laut gematik übergangsweise noch bis zum 30. Juni genutzt werden. Bis zu diesem Zeitpunkt wird die gematik keine Sperrung der Zertifikate veranlassen. Damit kommen Praxen, die noch keinen Praxisausweis der neuen Version haben, weiterhin in die Telematikinfrastruktur.
Die ebenfalls von der Umstellung des Verschlüsselungsverfahrens betroffenen Gerätekarten für Kartenterminals, sogenannte gSMC-KT, dürfen noch bis zum 31. Dezember 2026 genutzt werden. Die Fristverschiebung um ein Jahr hatte die gematik bereits im Frühjahr veranlasst, weil ein vollständiger Austausch bis Ende dieses Jahres schon damals nicht möglich schien.
Übergangslösung gilt nicht für Konnektoren
Unabhängig von den Fristverschiebungen rät die gematik, alle betroffenen Komponenten umgehend zu tauschen oder zu aktualisieren. Dies sei wichtig, damit die höchsten Sicherheitsstandards für die Telematikinfrastruktur eingehalten werden könnten.
Bei den „RSA-only“-Konnektoren ist ein Umtausch bis zum Jahresende zwingend erforderlich, wie die gematik betont. Eine Verlängerung der Zertifikate sei „technisch ausgeschlossen“. Laut gematik sind aktuell noch knapp 10.000 Konnektoren im Einsatz, die ausgetauscht werden müssen. Die verbleibende Zeit bis zum Jahresende müsse genutzt werden, um die Umstellung der Konnektoren anzustoßen. Als Alternative zum Hardware-Konnektor stehe das TI-Gateway zur Verfügung. Betroffen sind insbesondere Konnektoren, die fünf Jahre und älter sind. Praxen kommen mit diesen Geräten ab 1. Januar nicht mehr in die TI.
Zum Hintergrund
Hintergrund des erforderlichen Austausches ist die Umstellung des Verschlüsselungsverfahrens in der Telematikinfrastruktur. Dabei wird das bisher geltende RSA-Verfahren durch das leistungsfähigere und sicherere ECC-Verfahren ersetzt. Vertrauliche Daten sollen so noch besser geschützt werden. Infolge der Umstellung müssen alle TI-Komponenten ausgetauscht werden, die ausschließlich auf dem bisherigen RSA-Algorithmus basieren.
(Mitteilung: KBV)
Ab dem 1. Januar 2026 dürfen eHBA der Generation 2.0 aus Sicherheitsgründen[1] nicht mehr eingesetzt werden, da diese nur den Verschlüsselungsalgorithmus RSA 2048-Bit verwenden. Davon ist eine große Anzahl der derzeit im Umlauf befindlichen elektronischen Heilberufsausweise betroffen. Ein Austausch dieser Karten ist noch im Laufe dieses Jahres erforderlich. Im Wesentlichen handelt es sich dabei um eHBA der Anbieter D-Trust/Bundesdruckerei und DGN/medisign.
Die eHBA der Nachfolgegeneration 2.1 verfügen zusätzlich über den Verschlüsselungsalgorithmus ECC (Elliptic Curve Cryptography), der ab 2026 den alten RSA-Algorithmus ablösen wird. Diese Verschlüsselung entspricht nicht nur dem aktuellen Stand der Technik, sondern gewährleistet auch die Zukunftsfähigkeit und Performance der Telematikinfrastruktur. Die Kartengeneration ist auf der Rückseite des elektronischen Heilberufsausweises, oben rechts unter dem CE-Zeichen vermerkt und kann mit einem Blick geprüft werden. Für Ausweise der Generation 2.1 ist kein Austausch notwendig.
Der anstehende Massentausch stellt einen erheblichen Aufwand dar – sowohl für die Kartenanbieter als auch für die herausgebenden Ärztekammern.
Frühzeitiges Handeln verhindert Nutzungsausfälle
Die Anbieter werden die betroffenen Ärztinnen und Ärzte in mehreren Informationswellen gezielt anschreiben und über das notwendige Vorgehen informieren. Die Verfahren zum Kartentausch unterscheiden sich im Detail zwischen den Anbietern. Die Anbieter informieren darüber hinaus auf eigenen Webseiten[2] ausführlich zum Thema.
eHBA der Generation 2.0 ohne ECC-Unterstützung werden automatisch zum 31.12.2025 gesperrt. Daher sollten Ärztinnen und Ärzte in jedem Falle rechtzeitig auf das Anschreiben Ihres Anbieters reagieren und den für den Austausch notwendigen Schritten folgen. Wer den Austausch nicht rechtzeitig vornimmt, kann TI-Anwendungen, für die ein eHBA benötigt wird, wie bspw. das E-Rezept oder die elektronische Arbeitsunfähigkeitsbescheinigung (eAU), nicht mehr nutzen. In diesem Fall wird die Beantragung eines neuen eHBA notwendig, was ggf. mit Wartezeiten und zusätzlichem Aufwand für erneute Identifikation und Freigabe verbunden ist.
Auswirkungen auf den Praxisbetrieb und Kosten
Sofern der eHBA rechtzeitig getauscht wird, hat die Umstellung auf die Folgegeneration mit ECC keine Auswirkungen auf den laufenden Betrieb von TI-Anwendungen. Frühzeitige Reaktion sichert somit die berufliche Handlungsfähigkeit und entlastet zugleich die Ärztekammern im Hinblick auf die Freigabeprozesse.
Besonderheiten beim Austausch beim Anbieter SHC
Die eHBA der Anbieter T-Systems und SHC sind bereits von der neueren Generation 2.1 und damit nicht von dem Algorithmuswechsel betroffen. Allerdings verwenden einige eHBA des Anbieters SHC einen theoretisch als unsicher geltenden Chip. Daher müssen die betroffenen Karten bis zum 30.06.2026 ausgetauscht werden. Das Verfahren ist für die Ärztinnen und Ärzte kostenlos und ähnelt dem für den Austausch der eHBA der Generation 2.0. Der Anbieter SHC wird die betroffenen Ärztinnen und Ärzte voraussichtlich ab August 2025 anschreiben und auch auf seiner Webseite über Details des Austauschprozesses informieren. Auch hier empfiehlt es sich, zeitnah auf das Anschreiben zu reagieren.
[1] Pressemeldung der zuständigen Behörde: https://www.elektronische-vertrauensdienste.de/EVD/DE/Aktuelles/Meldungen/anbieter/RSA2048.html
[2] Bundesdruckerei: https://www.d-trust.net/de/support/ehba#Austauschaktion%20eHBA%20Generation%20G2.0
