TI-Zertifikate

Konnektoren, Gateway und TI-Ausweise (SMC-B, HBA, gSMC-KT) sind mit Sicherheitszertifikaten ausgestattet. Nach einer Laufzeit von fünf Jahren müssen die Karten üblicherweise getauscht werden.

Zum Jahreswechsel 2025/26 findet in der TI ein Wechsel der Verschlüsselung von RSA auf ECC statt. Ab dem 1. Januar 2026 können ausschließlich Karten der Generation „G2.1“ in der TI verwendet werden.

Alle Karten der „G2“ (SMC-B, HBA, gSMC-KT) müssen im Herbst 2025 getauscht werden. Das betrifft vor allem Karten mit dem Herstellungsjahr 2020/2021.

tomedo zeigt in der „TI Zertifikate Übersicht“ entsprechende Hinweise an, wenn Karten bald ablaufen oder nicht über erforderliche ECC-Merkmale verfügen.

Sie finden die Übersicht in tomedo bei Admin/Geräteeinstellungen/TI Zertifikate.

Aktueller Hinweis (11.8.25) zu Karten mit Ablaufdatum 2027+ und „nur RSA“

Karten mit einer Laufzeit 2027+ und dem Vermerk G 2.1 können weiter verwendet werden. In einzelnen Fällen werden diese Karten vom Konnetor / von tomedo mit „nur RSA“ angezeigt. In diesem Fall zählt das Ablaufdatum bzw. die Kartengeneration.

gSMC-KT Karten können über die Status-Funktion des Kartenlesegeräts geprüft werden. Wenn ein AUT2 (ECC) Zertifikat vorhanden ist, müssen diese Karten nicht getauscht werden.

Bildschirmfoto 2025 08 04 um 10.33.02

tomedo zeigt Hinweise zum Ablaufdatum einer TI Karte?

Laufzeiten von HBA und SMC-B

Wenn Arzt- oder Praxisausweise ablaufen, sollte rechtzeitig vorher über den Kartenanbieter eine Folge- oder Ersatzkarte bestellt werden.

Ab 2026 können nur Karten „G2.1“ verwendet werden. HBA und SMC-B „G2“ müssen 2025 getauscht werden.

Laufzeiten von gSMC-KT

Gerätekarten in stationären Lesegeräten müssen nach 5 Jahren getauscht werden.

Neue gSMC-KT können über zollsoft (Direkt-Link in der Zertifikate-Übersicht) bestellt werden.

Konnektor-Zertifikat

Einbox-Konnektoren mit Laufzeit bis zum 31.12.2025 enthalten nur RSA-Zertifikate und werden im Herbst 2025 vom TI-Gateway abgelöst.

Konnektoren mit späterem Ablaufdatum und ECC-Zertifikaten können ggfs. weiter laufzeitverlängert werden.

Hinweis auf ablaufende RSA-Zertifikate

Ab 2026 werden in der TI ausschließlich Sicherheitszertifikate mit der Verschlüsselungstechnik ECC genutzt. Technischer Hintergrund – Vorteil von ECC im Vergleich zu RSA: Das seit Jahrzehnten etablierte RSA-Verfahren gilt zwar weiterhin als sicher, jedoch erfordert es für ein hohes Sicherheitsniveau sehr lange Schlüssel, was es rechenintensiver und langsamer macht. ECC erreicht das gleiche oder sogar ein höheres Sicherheitsniveau mit deutlich kürzeren Schlüsseln und ist somit effizienter und leistungsfähiger.

Die bislang verbreiteten RSA-Zertifikate werden deshalb ungültig und abgeschaltet.

Karten die nur RSA-fähig sind, müssen gemäß der folgenden Tabelle getauscht werden. Karten, die RSA- und ECC-fähig sind, können weiter genutzt werden. Neue Karten enthalten i.d.R. nur das neue ECC Verfahren.

KartentypWie läuft der Wechsel ab?Zeitrahmen
Arztausweis eHBAKarte mit G 2.1 erforderlich – Praxis setzt sich mit Kartenanbieter in Verbindung.31.12.2025
Praxisausweis SMC-BKarte mit G 2.1 erforderlich
Praxis setzt sich mit Kartenanbieter in Verbindung.		31.12.2025
Gerätekarte gSMC-KT Über zollsoft können neue Karten bezogen werden. Tausch vor dem Ende der Übergangsfrist empfohlen.31.12.2026
Konnektor-Zertifikat SMC-K Ablaufdatum 31.12.2025Wechsel auf TI Gateway31.12.2025
Konnektor-Freischaltung VPN TIempfohlene neue Freischaltung mit ECC, ab PTV6 automatisch
Clientsystem-Zertifikat tomedo.p12empfohlener Wechsel auf ECC NIST-256
Konnektor-Zertifikat connector.cer empfohlener Wechsel auf Software-Server-Zertifikat ECC NIST-256

Wer ist von der RSA zu ECC-Umstellung betroffen?

Die Umstellung von RSA nach ECC betrifft alle in der TI genutzten Signatur-Karten wie HBA, SMC-B, gSMC-KT und auch interne Einstellungen in den Konnektoren und im TI Gateway selbst.

Wie funktioniert die RSA zu ECC-Umstellung?

Je nach Karte startet die Umstellung anders:

  • Neue Arztausweise (HBA) kann die Praxis selber in tomedo hinzufügen und die PIN Änderung selber durchführen
  • Neue Praxisausweise (SMC-B) werden im TI Konnektor / TI Gateway hinterlegt. Dabei kann der Support unterstützen.
  • Auch für gSMC-KT erfolgt ein Tausch häufig mit Support durch den TI Anbieter.
  • Ältere Konnektoren werden durch das TI Gateway ersetzt.
  • Genutzte tomedo.p12 Clientsystem-Zertifikate werden in einer Update-Aktion erneuert. Es gelten Übergangsfristen welche von der gematik näher definiert werden müssen.
  • Konnektoren werden mit ECC neu für die TI freigeschaltet.

Was ist allgemein zu beachten?

Alle relevanten Karten mit ausschließlich RSA-Zertifikaten müssen getauscht werden. 2025 sind das im besonderen Arzt- und Praxisausweise. Ab einem bestimmten Herstellungsdatum wurden Karten mit RSA und ECC produziert. Diese sogenannten „Dual-personalisierten“ Karten können weiterhin verwendet werden.

Einstellungen im Konnektor werden durch den Support bei ohnehin notwendigen TI Support-Terminen angepasst.

Quelle gematik

https://www.gematik.de/telematikinfrastruktur/rsa2ecc-migration

https://wiki.gematik.de/x/p1VNJw

Für Experten

Bitte wenden Sie diese Einstellungen nur an, wenn Sie verstehen was die einzelnen Schritte bedeuten. Fehler im Ablauf werden dazu führen, dass tomedo oder KIMplus nicht auf den Konnektor zugreifen können. Wir können nicht sicherstellen, dass alles funktioniert wenn Sie eigenständig diese Anleitung umsetzen.

secunet Konnektor FW 5 auf ECC umstellen

Folgende Einstellungen sind notwendig, um einen secunet Konnektor Firmare 5 auf ECC umzustellen.

Sie sollten diese Einstellungen nur anwenden, wenn Sie selber eventuell auftretende Fehler (z.b. bei nicht freigeschalteter SMC-B) lösen können.

  • Netzwerk/Allgemein/Clientsystem-Einstellungen, Software-Server-Zertifikat einschalten und Konnektor neu starten
  • Zertifikat erstellen…, Public-Key-Algorithmus „Nur ECC“ auswählen, Kurve NIST-256 auswählen
  • Änderung im Zertifikat bestätigen, Änderung in den Clientsystem-Einstellungen bestätigen
  • Netzwerk/Allgemein/Erweiterte TLS Einstellungen, ECC-Ciphersuiten verwenden einschalten
  • Netzwerk/Allgemein/Erweiterte TLS Einstellungen, ECC-Zertifikat zur Authentisierung gegenüber Clientsystemen nutzen einschalten
  • Praxis/Clientsysteme/ gewünschtes Clientsystem (tomedo) auswählen
  • tomedo.cer und tomedo.p12 löschen
  • Zertifikat erstellen…, Public-Key-Algorithmus „Nur ECC“ auswählen, Kurve NIST-256 auswählen
  • gewünschtes Zertifikats-Passwort eintragen und bestätigen
  • tomedo.p12 auswählen und herunterladen
  • Konnektor neu starten und Neustart abwarten
  • Home/Freigeschaltet/Konnektor erneut freischalten… auswählen
  • SMC-K Zertifikatstyp „ECC“ oder „ECC renew“ auswählen, bestätigen und neue Freischaltung abwarten
  • in tomedo bei Admin/Geräteeinstellungen/TI Konnektor das neue tomedo.p12 per Drag&Drop ablegen und das Zertifikats-Passwort eingeben und bestätigen
  • in tomedo „Import Konnektor-Zertifikat“ anklicken
  • in KIMplus neues tomedo.p12 eintragen und neues Server-Zertifikat vom Konnektor downloaden. (Sollte ECC anzeigen)
TI-Zertifikate -Vorhergehend TI-Updates Weiter -TI-Zertifikate Kompatible Kartenlesegeräte
Inhaltsverzeichnis