St. Wolfganger Krankenhaustage: Das CGM MEDICO Anwendertreffen vom 17. - 18.06.26
Vertrieb:+49 261 8000 8000
Deutschland

Lokale Webseiten

Kundensupport
Deutschland
Menü
Lokale Webseiten
Schließen
RSA-Ablauf
Inhalte
Finanzierung
Kontakt
Betroffene Komponenten
FAQ
Finanzierung
Kontakt
Betroffene Komponenten
FAQ

Ablauf des RSA-Verschlüsselungs­verfahrens

Der Austausch medizinischer Daten über die Telematikinfrastruktur (TI) setzt ein Höchstmaß an Sicherheit voraus. Um dies fortlaufend zu gewährleisten, werden die Sicherheitsvorgaben für die TI regelmäßig überprüft und angepasst.

Die gematik hat - auf Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) - festgelegt, dass das RSA-Verschlüsselungsverfahren innerhalb der Telematikinfrastruktur ab dem 01.07.2026 nicht mehr eingesetzt werden darf. Dies bedeutet, dass TI-Komponenten mit RSA-Verschlüsselungstechnologie auf ECC-Verschlüsselung umgestellt oder gegen Komponenten mit ECC-Technologie ausgetauscht werden müssen. Diese Änderungen sind notwendig, um die Sicherheitsstandards der TI langfristig zu gewährleisten und auf zukünftige Entwicklungen vorbereitet zu sein. Die ECC-Verschlüsselungstechnologie gilt als sicherer und effizienter. Diese Vorgabe betrifft alle TI-Anbieter gleichermaßen.

Von der Umstellung des Verschlüsselungsverfahrens sind nicht alle Institutionen gleichermaßen betroffen. Dies hängt davon ab, ob die eingesetzten TI-Komponenten bereits ECC-fähig sind oder ausschließlich mit dem RSA-Verfahren arbeiten können.

Welche Komponenten sind betroffen?
PTV6-Upgrade - Konnektor KoCoBox MED+

Für den Konnektor KoCoBox MED+ wird im Laufe des Juni 2026 das Konnektor-Upgrade PTV6 zur Verfügung stehen. Es stellt die Umstellung auf die ECC-Verschlüsselung sicher, die ab dem 01.07.2026 als verbindlicher Standard innerhalb der TI gilt. Für eine unterbrechungsfreie Anbindung an die TI muss das Upgrade bis spätestens 30.06.2026 installiert sein. 

Kunden von CGM werden separat zum PTV6-Upgrade, der Verfügbarkeit und dem Installationsprozess informiert. Weiterführende Informationen zu PTV6 stellen wir auf unserer Infoseite zum Upgrade zur Verfügung.

Elektronischer Heilberufsausweis (eHBA)

eHBA, die nur RSA-Zertifikate unterstützen, müssen bis zum 30. Juni 2026 ausgetauscht werden.  Die Hersteller gehen hierzu aktiv auf ihre Kunden zu. Bei Rückfragen wenden Sie sich direkt an Ihren Kartenanbieter.

Vorgehen bei unserem Kooperationspartner D-Trust: Alle betroffenen Karteninhaber werden per E-Mail von D-Trust benachrichtigt und erhalten einen Bestelllink zum Austausch des eHBA. Weitere Informationen finden Sie u. a. auf der Website der D-Trust.

Institutionsausweis (SMC-B)

SMC-B, die nur RSA-Zertifikate unterstützen, müssen bis zum 30.06.2026 ausgetauscht werden.  Die Hersteller gehen hierzu aktiv auf ihre Kunden zu. Bei Rückfragen wenden Sie sich direkt an Ihren Kartenanbieter.

Vorgehen bei unserem Kooperationspartner D-Trust: Alle betroffenen Karteninhaber werden per E-Mail von D-Trust benachrichtigt und erhalten einen Bestelllink zum Austausch der SMC-B. Weitere Informationen finden Sie u. a. auf der Website der D-Trust.

CGM KIM-Clientmodul

Das CGM KIM-Clientmodul muss auf die Version 1.18.0 oder höher upgedatet werden, um ECC-fähig sowie kompatibel mit dem kommenden Konnektor-Upgrade PTV6 (geplant für Juni 2026) zu sein. Das Update des CGM KIM-Clientmoduls erfolgt bei Anwendern von CGM-Arzt- oder CGM-Zahnarztinformationssystemen automatisch im Rahmen eines Updates des Primärsystems. Apotheken, die WINAPO® ux/WINAPO® 64 nutzen, wurden automatisch auf die Version 1.18.0 umgestellt. Sollte eine Umstellung im Hintergrund nicht möglich sein, nimmt CGM LAUER Kontakt zu Ihnen auf. Weitere Informationen – auch für Anwender von sonstigen Primärsystemen – haben wir auf unserer Infoseite zum CGM KIM-Update zusammengestellt.

Informationen zum KIM-Update 1.18.0
gSMC-KTs in E-Health Kartenterminals

Die gerätespezifische Sicherheitsmodulkarte (gSMC-KT) ist eine Smartcard, die in E-Health-Kartenterminals verwendet wird, um dem Kartenterminal eine digitale Identität zu verleihen und eine sichere Verbindung zum Konnektor herzustellen. 
Die gematik hat eine Fristverlängerung bis zum 31.12.2026 beschlossen. Es besteht aktuell kein Handlungsbedarf. Für einen Großteil betroffener Kartenterminals (gSMC-KT mit RSA-Zertifikat) bedeutet dies, dass die Karte regulär zum Ablauf des TI-Zertifikats im Jahr 2026 getauscht werden kann. Kunden mit einem CGM TI-Servicepaketplus_ Vertrag erhalten die neue gSMC-KT zum Tausch automatisch und kostenfrei per Post. Kunden mit einem Servicepaket Betrieb-Vertrag werden von CGM vor Ablauf der Karte informiert.

Förderung durch die TI-Pauschale

Das E-Health-Gesetz sieht vor, dass TI-Teilnehmerinnen und TI-Teilnehmer bei der Anbindung und Wartung der Telematikinfrastruktur finanziell unterstützt werden. Mit der Verabschiedung des Krankenhauspflegeentlastungsgesetzes (KHPflEG) im Dezember 2022 wurde eine Umstellung der TI-Finanzierung beschlossen und in § 378 SGB V verankert.

Seit dem 1. Juli 2023 erhalten Institutionen eine monatliche TI-Pauschale, aus der alle Kosten für die TI und damit auch die Maßnahmen rund um den RSA-Ablauf zu finanzieren sind. Weitere Informationen zur TI-Pauschale haben wir Ihnen auf einer eigenen Seite zusammengestellt.

Infoseite zur TI-Förderung
Grafische Darstellung einer grünen Hand mit Kreisbogen

Sie haben Fragen zum RSA-Ablauf?

Unsere TI-Expertinnen und TI-Experten helfen Ihnen unter der Telefonnummer +49 (0) 261 - 8000 9000 gerne weiter.

FAQ
Wofür steht „RSA“?

RSA steht für Rivest-Shamir-Adleman und stellt einen Algorithmus zur Schlüsselgenerierung, Verschlüsselung und digitalen Signatur dar. 

Wofür wird „RSA“ verwendet?

In der TI wird die asymmetrische Kryptografie verwendet – dabei spielt der RSA-Algorithmus eine Rolle bei der Authentifizierung und Verschlüsselung für z.B. die sichere Kommunikation zwischen dem Konnektor, dem Kartenterminal und der elektronischer Gesundheitskarte (eGK). 

Warum soll die RSA-Verschlüsselungstechnik nicht mehr verwendet werden?

Hintergrund sind Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie eine Vorgabe der Bundesnetzagentur. Festgelegt wurde, dass RSA2028 im Rahmen der qualifizierten elektronischen Signatur (QES) nach dem 31.12.2025 nicht mehr genutzt werden darf. Für eHBA, SMC-B und KIM-Clientmodule wurde die Frist bis zum 30. Juni 2026 verlängert. Da die meisten TI-Komponenten und -Anwendungen die QES nutzen, hat die gematik reagiert und die Umstellung auf ECC256 vorgegeben. ECC256 gilt als sicherer und effizienter als RSA2048 und soll sicherstellen, dass TI-Komponenten und TI-Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet sind.  

Alle Komponenten und Dienste der Telematikinfrastruktur (TI), die nur mit dem RSA-Verfahren ausgestattet sind, müssen im Zuge der Umstellung ausgetauscht oder auf das ECC-Verschlüsselungsverfahren umgestellt werden.

Was bedeutet ECC?

ECC steht für Elliptic Curve Cryptography, also Elliptische-Kurven-Kryptografie, und ist eine moderne Alternative zu RSA. Beide dienen demselben Zweck, nämlich der asymmetrischen Verschlüsselung, Signaturerstellung und -prüfung, aber sie unterscheiden sich erheblich in ihrer Funktionsweise und Effizienz.

Woher weiß ich, ob und welche Komponenten in meiner Institution betroffen sind?

PTV6-Upgrade – Konnektor KoCoBox MED+

Über die Verfügbarkeit des PTV6-Upgrades wird CGM ihre Kunden gezielt informieren. Den aktuellen Versionsstand können Sie jederzeit am Display Ihres Konnektors überprüfen (OK > Versionen > Firmwareversion). Das PTV6-Upgrade hat die Version: 6.x.x. Sollte eine Version mit 5.x.x angezeigt werden, ist das Auto-Update deaktiviert, das Upgrade steht noch nicht zur Verfügung oder das Auto-Update hat noch nicht stattgefunden. Weitere Informationen zum Auto-Update und der Verfügbarkeit des PTV6-Upgrades finden Sie auf unserer Infoseite.

CGM KIM

Alle Installationen von CGM KIM sind betroffen und benötigen ein Update des CGM KIM-Clientmoduls auf die Version 1.18.0 oder höher, um eine Umstellung auf das ECC-Verschlüsselungsverfahren sowie eine Kompatibilität mit dem kommenden Konnektor-Upgrade PTV6 (geplant für Juni 2026) sicherzustellen. In den meisten Fällen erfolgt das Update automatisch über ein Feature- oder Quartalsupdate Ihres Primärsystems. Alle Informationen zum Updateprozess finden Sie auf unserer Infoseite zum CGM KIM-Update 1.18.0.

eHBA

Ob Ihr eHBA vom RSA-Ablauf betroffen ist, erkennen Sie daran, welche Kartengeneration Sie derzeit nutzen und ob diese bereits ECC-fähig ist. Sie können die Kartengeneration daran prüfen:

  • eHBA der Generation G2: Unterstützt nur RSA und ist vom Ablauf betroffen
  • eHBA der Generation G2.1: Unterstützt bereits ECC und ist nicht betroffen

Viele Karten zeigen auf der Vorderseite die Generation (z. B. G2 oder G2.1).

 SMC-B

Ob Ihre SMC-B vom RSA-Ablauf betroffen ist, erkennen Sie daran, welche Kartengeneration Sie derzeit nutzen und ob diese bereits ECC-fähig ist. Sie können Ihre Kartengeneration daran prüfen:

  • SMC-B G2: Unterstützt nur RSA und ist vom Ablauf betroffen
  • SMC-B G2.1: Unterstützt bereits ECC und ist nicht betroffen.

Viele Karten zeigen die Generation direkt auf der Vorderseite (z. B. „G2“ oder „G2.1“).

Alle Kunden, die eine betroffene TI-Komponente von CGM nutzen, werden von uns proaktiv mit genauen Handlungsanweisungen kontaktiert. Wir begleiten den gesamten Prozess des RSA-Ablaufs und sind bei Fragen jederzeit für Sie erreichbar. Sofern die SMC-B und/oder der eHBA in Ihrer Institution betroffen sind, werden Sie von Ihrem Kartenanbieter direkt kontaktiert. 

Entstehen für mich Kosten für die Umstellung von RSA auf ECC?

PTV6-Upgrade – Konnektor KoCoBox MED+:

Für Kunden mit einem CGM TI-Servicepaketplus - oder CGM MANAGED TI-Vertrag ist sind PTV-Upgrades ein Leistungsbestandteil des Servicevertrags. Es entstehen keine zusätzlichen Kosten.

Für Kunden mit einem Servicepaket Betrieb Vertrag fallen für ie Bereitstellung des PTV6-Upgrades einmalige und laufende Kosten an. Alternativ besteht die Möglichkeit, auf das CGM TI-Servicepaketplus zu wechseln. In diesem Fall entstehen für die Bereitstellung des PTV6- und zukünftiger PTV-Upgrades keine Kosten. Alle betroffenen Kunden mit einem Servicepaket Betrieb erhalten mit der schriftlichen Ankündigung des PTV6-Upgrades ein Wechselangebot für das CGM TI-Servicepaketplus mit detaillierten Informationen.

CGM KIM:

Für das Update auf die Version 1.18.0 oder höher des CGM KIM-Clientmoduls werden dem Kunden keine Kosten durch CGM in Rechnung gestellt. Sollte für das Update ein Technikereinsatz (vor Ort oder per Fernwartung) erforderlich sein, kann der Dienstleister vor Ort dem Kunden den Einsatz berechnen.

eHBA und SMC-B

Falls eHBA und SMC-B vom RSA-Ablauf betroffen sind, entstehen Kosten für den Austausch. Bitte wenden Sie sich bei Rückfragen hierzu direkt an Ihren Kartenanbieter.

Hat es Auswirkungen auf meine TI-Pauschale, wenn ich nicht auf ECC migriere?

Ja. Spätestens mit Veröffentlichung des nächsten Konnektor-Upgrades PTV6 (geplant für Juni 2026) funktioniert der bestehende KIM-Dienst nicht mehr, wenn die Version des CGM KIM-Clientmoduls nicht auf die 1.18.0 oder höher aktualisiert wurde. In der Folge können keine KIM-Nachrichten mehr empfangen oder versendet werden – also z. B. keine eAU oder eArztbriefe.

Wenn KIM nicht mehr funktionsfähig ist, steht das im Widerspruch zu den Voraussetzungen der TI-Förderung, da KIM eine verpflichtende TI-Anwendung ist, deren Nutzung nachgewiesen werden muss, um die Förderung zu erhalten.

Auch eine funktionierende TI-Anbindung ist Voraussetzung für den Erhalt der TI-Pauschale. Sofern ein betroffener eHBA oder Institutionsausweis (SMC-B) im Einsatz ist, muss dieser daher bis zum 30.06.2026 ausgetauscht werden, damit die Voraussetzungen für den Erhalt der TI-Pauschale weiterhin gegeben ist.