CGM 4U 2025: Alle Termine & Anmeldeinfos zur diesjährigen Roadshow
Vertrieb:+49 261 8000 8000
Deutschland

Länderauswahl

Kundensupport
Deutschland
Menü
Länderauswahl
Schließen
RSA-Ablauf
Inhalte
Finanzierung
Kontakt
Betroffene Komponenten
FAQ
Finanzierung
Kontakt
Betroffene Komponenten
FAQ

Ablauf des RSA-Verschlüsselungsverfahrens

Der Austausch medizinischer Daten über die Telematikinfrastruktur (TI) setzt ein Höchstmaß an Sicherheit voraus. Um dies fortlaufend zu gewährleisten, werden die Sicherheitsvorgaben für die TI regelmäßig überprüft und angepasst.

Die gematik hat - auf Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) - festgelegt, dass das RSA-Verschlüsselungsverfahren innerhalb der Telematikinfrastruktur ab dem 01.01.2026 nicht mehr eingesetzt werden darf. Dies bedeutet, dass TI-Komponenten mit RSA-Verschlüsselungstechnologie auf ECC-Verschlüsselung umgestellt oder gegen Komponenten mit ECC-Technologie ausgetauscht werden müssen. Diese Änderungen sind notwendig, um die Sicherheitsstandards der TI langfristig zu gewährleisten und auf zukünftige Entwicklungen vorbereitet zu sein. Die ECC-Verschlüsselungstechnologie gilt als sicherer und effizienter. Diese Vorgabe betrifft alle TI-Anbieter gleichermaßen.

Von der Umstellung des Verschlüsselungsverfahrens sind nicht alle Institutionen gleichermaßen betroffen. Dies hängt davon ab, ob die eingesetzten TI-Komponenten bereits ECC-fähig sind oder ausschließlich mit dem RSA-Verfahren arbeiten können.

Welche Komponenten sind betroffen?
Konnektor KoCoBox MED+

Konnektoren, die nur RSA-Zertifikate unterstützen, müssen bis zum 31.12.2025 ausgetauscht werden. Betroffen sind Konnektoren mit einer Seriennummer bis einschließlich 8027600364000095102. Die Seriennummer kann am Konnektor abgelesen werden. Betroffene Institutionen werden von CGM frühzeitig mit Handlungsempfehlungen kontaktiert. Für den Großteil der betroffenen Kunden (mit CGM TI-Servicepaketplus_Vertrag) entstehen durch die Erneuerung der TI-Anbindung keine Kosten. 

Elektronischer Heilberufsausweis (eHBA)

eHBA, die nur RSA-Zertifikate unterstützen, müssen ausgetauscht werden. Die Hersteller gehen hierzu aktiv auf ihre Kunden zu. Bei Rückfragen wenden Sie sich direkt an Ihren Kartenanbieter.

Vorgehen bei unserem Kooperationspartner D-Trust: Alle betroffenen Karteninhaber werden per E-Mail von D-Trust benachrichtigt und erhalten einen Bestelllink zum Austausch des eHBA. Angeboten werden Folgekarten mit einer Laufzeit von 5 Jahren oder Ersatzkarten mit der Restlaufzeit der bisherigen Karte. Weitere Informationen finden Sie u. a. auf der Website der D-Trust.

Institutionsausweis (SMC-B)

SMC-B, die nur RSA-Zertifikate unterstützen, müssen ausgetauscht werden. Die Hersteller gehen hierzu aktiv auf ihre Kunden zu. Bei Rückfragen wenden Sie sich direkt an Ihren Kartenanbieter.

Vorgehen bei unserem Kooperationspartner D-Trust: Alle betroffenen Karteninhaber werden per E-Mail von D-Trust benachrichtigt und erhalten einen Bestelllink zum Austausch der SMC-B. Angeboten werden Folgekarten mit einer Laufzeit von 5 Jahren oder Ersatzkarten mit der Restlaufzeit der bisherigen Karte. Weitere Informationen finden Sie u. a. auf der Website der D-Trust.

CGM KIM-Clientmodul

Das CGM KIM-Clientmodul muss auf die Version 1.18.0 upgedatet werden, um ECC-fähig sowie kompatibel mit dem kommenden Konnektor-Upgrade PTV6 (geplant für Q4 2025) zu sein. Das Update des CGM KIM-Clientmoduls erfolgt bei Anwendern von CGM-Arzt- oder CGM-Zahnarztinformationssystemen automatisch im Rahmen eines Updates des Primärsystems. Apotheken, die WINAPO® ux/WINAPO® 64 nutzen, werden voraussichtlich im September 2025 automatisch auf die Version 1.18.0 umgestellt. CGM LAUER informiert die Kunden kurz vor der automatischen Umstellung. Weitere Informationen – auch für Anwender von sonstigen Primärsystemen – haben wir auf unserer Infoseite zum CGM KIM-Update zusammengestellt.

Informationen zum KIM-Update 1.18.0
gSMC-KTs in E-Health Kartenterminals

Die gerätespezifische Sicherheitsmodulkarte (gSMC-KT) ist eine Smartcard, die in E-Health-Kartenterminals verwendet wird, um dem Kartenterminal eine digitale Identität zu verleihen und eine sichere Verbindung zum Konnektor herzustellen. 
Die gematik hat eine Fristverlängerung bis zum 31.12.2026 beschlossen. Es besteht aktuell kein Handlungsbedarf. Für einen Großteil betroffener Kartenterminals (gSMC-KT mit RSA-Zertifikat) bedeutet dies, dass die Karte regulär zum Ablauf des TI-Zertifikats im Jahr 2026 getauscht werden kann. Kunden mit einem CGM TI-Servicepaketplus_ Vertrag erhalten die neue gSMC-KT zum Tausch automatisch und kostenfrei per Post. Kunden mit einem Servicepaket Betrieb-Vertrag werden von CGM vor Ablauf der Karte informiert.

Förderung durch die TI-Pauschale

Das E-Health-Gesetz sieht vor, dass TI-Teilnehmerinnen und TI-Teilnehmer bei der Anbindung und Wartung der Telematikinfrastruktur finanziell unterstützt werden. Mit der Verabschiedung des Krankenhauspflegeentlastungsgesetzes (KHPflEG) im Dezember 2022 wurde eine Umstellung der TI-Finanzierung beschlossen und in § 378 SGB V verankert.

Seit dem 1. Juli 2023 erhalten Institutionen eine monatliche TI-Pauschale, aus der alle Kosten für die TI und damit auch die Maßnahmen rund um den RSA-Ablauf zu finanzieren sind. Weitere Informationen zur TI-Pauschale haben wir Ihnen auf einer eigenen Seite zusammengestellt.

Infoseite zur TI-Förderung
Grafische Darstellung einer grünen Hand mit Kreisbogen

Sie haben Fragen zum RSA-Ablauf?

Unsere TI-Expertinnen und TI-Experten helfen Ihnen unter der Telefonnummer +49 (0) 800 - 551 551 2 gerne weiter.

FAQ
Wofür steht „RSA“?

RSA steht für Rivest-Shamir-Adleman und stellt einen Algorithmus zur Schlüsselgenerierung, Verschlüsselung und digitalen Signatur dar. 

Wofür wird „RSA“ verwendet?

In der TI wird die asymmetrische Kryptografie verwendet – dabei spielt der RSA-Algorithmus eine Rolle bei der Authentifizierung und Verschlüsselung für z.B. die sichere Kommunikation zwischen dem Konnektor, dem Kartenterminal und der elektronischer Gesundheitskarte (eGK). 

Warum soll die RSA-Verschlüsselungstechnik nach 2025 nicht mehr verwendet werden?

Hintergrund sind Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie eine Vorgabe der Bundesnetzagentur. Festgelegt wurde, dass RSA2028 im Rahmen der qualifizierten elektronischen Signatur (QES) nach dem 31.12.2025 nicht mehr genutzt werden darf. Da die meisten TI-Komponenten und -Anwendungen die QES nutzen, hat die gematik reagiert und die Umstellung auf ECC256 vorgegeben. ECC256 gilt als sicherer und effizienter als RSA2048 und soll sicherstellen, dass TI-Komponenten und TI-Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet sind.  

Alle Komponenten und Dienste der Telematikinfrastruktur (TI), die nur mit dem RSA-Verfahren ausgestattet sind, müssen im Zuge der Umstellung ausgetauscht oder auf das ECC-Verschlüsselungsverfahren umgestellt werden.

Was bedeutet ECC?

ECC steht für Elliptic Curve Cryptography, also Elliptische-Kurven-Kryptografie, und ist eine moderne Alternative zu RSA. Beide dienen demselben Zweck, nämlich der asymmetrischen Verschlüsselung, Signaturerstellung und -prüfung, aber sie unterscheiden sich erheblich in ihrer Funktionsweise und Effizienz.

Woher weiß ich, ob und welche Komponenten in meiner Institution betroffen sind?

Konnektoren

Betroffen sind Konnektoren mit einer Seriennummer bis einschließlich 8027600364000095102. Die Seriennummer kann am Konnektor abgelesen werden.

CGM KIM

Alle Installationen von CGM KIM sind betroffen und benötigen ein Update des CGM KIM-Clientmoduls auf die Version 1.18.0, um eine Umstellung auf das ECC-Verschlüsselungsverfahren sowie eine Kompatibilität mit dem kommenden Konnektor-Upgrade PTV6 (geplant für Q4 2025) sicherzustellen. In den meisten Fällen erfolgt das Update automatisch über ein Feature- oder Quartalsupdate Ihres Primärsystems. Alle Informationen zum Updateprozess finden Sie auf unserer Website www.cgm.com/ti-kim-1.18.0.

eHBA

Ob Ihr eHBA vom RSA-Ablauf betroffen ist, erkennen Sie daran, welche Kartengeneration Sie derzeit nutzen und ob diese bereits ECC-fähig ist. Sie können die Kartengeneration daran prüfen:

  • eHBA der Generation G2: Unterstützt nur RSA und ist vom Ablauf betroffen
  • eHBA der Generation G2.1: Unterstützt bereits ECC und ist nicht betroffen

Viele Karten zeigen auf der Vorderseite die Generation (z. B. G2 oder G2.1).

 SMC-B

Ob Ihre SMC-B vom RSA-Ablauf betroffen ist, erkennen Sie daran, welche Kartengeneration Sie derzeit nutzen und ob diese bereits ECC-fähig ist. Sie können Ihre Kartengeneration daran prüfen:

  • SMC-B G2: Unterstützt nur RSA und ist vom Ablauf betroffen
  • SMC-B G2.1: Unterstützt bereits ECC und ist nicht betroffen.

Viele Karten zeigen die Generation direkt auf der Vorderseite (z. B. „G2“ oder „G2.1“).

Alle Kunden, die eine betroffene TI-Komponente von CGM nutzen, werden von uns proaktiv mit genauen Handlungsanweisungen kontaktiert. Wir begleiten den gesamten Prozess des RSA-Ablaufs und sind bei Fragen jederzeit für Sie erreichbar. Sofern die SMC-B und/oder der eHBA in Ihrer Institution betroffen sind, werden Sie von Ihrem Kartenanbieter direkt kontaktiert. 

Entstehen für mich Kosten für die Umstellung von RSA auf ECC?

Konnektor:

Bei Kunden mit einem CGM TI-Servicepaketplus Vertrag ist die Erneuerung der TI-Anbindung ein Leistungsbestandteil des Servicevertrags. Es entstehen keine zusätzlichen Kosten.

Für Kunden mit einem Servicepaket Betrieb Vertrag fallen für den Austausch des Konnektors Kosten in Höhe von 2.300 EUR (netto) an. Alternativ besteht die Möglichkeit, auf das CGM TI-Servicepaketplus zu wechseln mit einem monatlichen Betrag von 154,34 EUR netto. In diesem Fall entstehen für die Erneuerung der TI-Anbindung keine einmaligen Kosten. Alle betroffenen Kunden mit einem Servicepaket Betrieb werden von uns telefonisch kontaktiert und zu den Angeboten beraten.

CGM KIM:

Für das Update auf die Version 1.18.0 des CGM KIM-Clientmoduls werden dem Kunden keine Kosten durch CGM in Rechnung gestellt. Sollte für das Update ein Technikereinsatz (vor Ort oder per Fernwartung) erforderlich sein, kann der Dienstleister vor Ort dem Kunden den Einsatz berechnen.

eHBA und SMC-B

Falls eHBA und SMC-B vom RSA-Ablauf betroffen sind, entstehen Kosten für den Austausch. Bitte wenden Sie sich bei Rückfragen hierzu direkt an Ihren Kartenanbieter.

Hat es Auswirkungen auf meine TI-Pauschale, wenn ich nicht auf ECC migriere?

Ja. Spätestens mit Veröffentlichung des nächsten Konnektor-Upgrades PTV6 (geplant für Q4 2025) funktioniert der bestehende KIM-Dienst nicht mehr, wenn die Version des CGM KIM-Clientmoduls nicht auf die 1.18.0 aktualisiert wurde. In der Folge können keine KIM-Nachrichten mehr empfangen oder versendet werden – also z. B. keine eAU oder eArztbriefe.

Wenn KIM nicht mehr funktionsfähig ist, steht das im Widerspruch zu den Voraussetzungen der TI-Förderung, da KIM eine verpflichtende TI-Anwendung ist, deren Nutzung nachgewiesen werden muss, um die Förderung zu erhalten.

Auch eine funktionierende TI-Anbindung ist Voraussetzung für den Erhalt der TI-Pauschale. Sofern ein betroffener RSA-Konnektor, eHBA oder Institutionsausweis (SMC-B) im Einsatz ist, muss dieser daher bis zum 31.12.2025 ausgetauscht werden, damit die Voraussetzungen für den Erhalt der TI-Pauschale weiterhin gegeben ist.