TI-Zertifikate

Wenn Ihr TI Konnektor das Ablaufdatum 31.12.2025 hat, bestellen Sie bitte unverzüglich über unseren Vertrieb Ihre Umstellung auf das TI Gateway.

Konnektoren und TI-Ausweise sind mit Sicherheitszertifikaten ausgestattet. Für diese Zertifikate gibt es 2026 neue Sicherheitsanforderungen (ECC).

tomedo zeigt in der „TI Zertifikate Übersicht“ (admin -> Geräteeinstellungen -> TI-Zertifikate) entsprechende Hinweise an, wenn Karten bald ablaufen oder nicht über erforderliche ECC-Merkmale verfügen.

eHBA der Generation 2 (Kartenaufdruck „G2“) und SMC-B der Generation 2 (Kartenaufdruck „G2“) haben eine Übergangsfrist bis 30.06.2026 erhalten und müssen bis dahin getauscht werden.

Konnektoren mit dem Ablaufdatum 31.12.2025 werden durch TI Gateway ersetzt. Sie finden das Ablaufdatum Ihres Konnektors in tomedo® bei Admin→ Geräteeinstellungen → TI Konnektor.

Bitte führen Sie bei Gelegenheit ein Update auf die aktuellste Version von tomedo durch, da wir die Zertifikatswarnungen regelmäßig an die Anforderungen der gematik anpassen. Alle offiziellen Informationen finden Sie bei der gematik: https://wiki.gematik.de/x/p1VNJw

Sie finden die Übersicht in tomedo unter dem Admin Menü → Geräteeinstellungen →TI Zertifikate.

Zertifikats-Status: Gelb

• In weniger als 90 Tagen läuft das Zertifikat aus.
• Ist der Status auch keines anderen Zertifikats rot, dann öffnet sich einmal am Tag pro Arbeitsplatz das TI-Zertifikat Fenster automatisch.
• Ausnahme: Ist ein Konnektor-Zertifikat vom Typ RSA, dann wird dessen Status ab dem 20.01.2026 auf gelb gesetzt und die Warnung angezeigt, dass eine Umstellung auf ein ECC-Zertifikat notwendig ist. Dadurch kann es passieren, dass ein Konnektor-Zertifikat den Status gelb hat, obwohl es noch länger als 90 Tage gültig ist.

Zertifikats-Status: Rot

• In weniger als 30 Tagen läuft das Zertifikat aus.
• Sobald ein Zertifikat rot zeigt, öffnet sich das Fenster maximal ein mal pro Minute, wenn die TI „angesprochen“ wird. In dem Fenster können Sie jetzt pro Arbeitsplatz via Button einstellen, dass das Fenster für heute nicht mehr automatisch geöffnet wird.
  • Hinweis: Mit tomedo Neustart, wird sich diese Einstellung nicht gemerkt.
• Ausnahme: Ist ein Konnektor-Zertifikat vom Typ RSA, dann wird dessen Status ab dem 30.04.2026 auf rot gesetzt und die Warnung angezeigt, dass eine Umstellung auf ein ECC-Zertifikat notwendig ist. Dadurch kann es passieren, dass ein Konnektor-Zertifikat den Status rot hat, obwohl es noch länger als 30 Tage gültig ist.

Aktueller Hinweis (11.8.25) zu gSMC-Kt Karten mit Ablaufdatum 2026+ und „nur RSA“

gSMC-KT Karten mit einer Laufzeit 2026+ und dem Vermerk G 2.1 können weiter verwendet werden. In einzelnen Fällen werden diese Karten vom Konnektor / von tomedo mit „nur RSA“ angezeigt. In diesem Fall zählt das Ablaufdatum bzw. die Kartengeneration.

gSMC-KT Karten können über die Status-Funktion des Kartenlesegeräts geprüft werden. Wenn ein AUT2 (ECC) Zertifikat vorhanden ist, müssen diese Karten nicht getauscht werden. Anleitung der Telekom

tomedo zeigt Hinweise zum Ablaufdatum einer TI Karte?

Laufzeiten von HBA und SMC-B

Wenn Arzt- oder Praxisausweise ablaufen, sollte rechtzeitig vorher über den Kartenanbieter eine Folge- oder Ersatzkarte bestellt werden.

SMC-B und eHBA „G2“ haben eine Übergangsfrist erhalten und werden weiter bis 30.06.2026 technisch funktionieren. Ab 01.07.2026 werden nur noch SMC-B und HBA „G2.1“ akzeptiert.

Laufzeiten von gSMC-KT

Gerätekarten in stationären Lesegeräten müssen nach 5 Jahren getauscht werden.

Neue gSMC-KT können über zollsoft (Direkt-Link in der Zertifikate-Übersicht) bestellt werden.

Konnektor-Zertifikat

Einbox-Konnektoren mit Laufzeit bis zum 31.12.2025 enthalten nur RSA-Zertifikate und werden im Herbst 2025 vom TI-Gateway abgelöst.

Konnektoren mit späterem Ablaufdatum und ECC-Zertifikaten können ggfs. weiter laufzeitverlängert werden, da diese RSA und ECC fähig sind.

Einerseits sollte das Konnektor-Zertifikat in 2025 getauscht werden, kann aber zunächst weiter in 2026 genutzt werden. Ein Tausch (ECC-Migration) muss bis 30.6.2026 erfolgen.

Hinweis zur RSA-Client-Zertifikat und Bitlänge wegen BSI

Nach Rücksprache mit dem BSI und aufgrund aktueller Informationen der gematik haben wir das Ablaufdatum für dieses Zertifikat angepasst.

Bei dieser Meldung führen Sie bitte ein Update auf die neuste Version von tomedo durch. Einerseits sollte das Client-Zertifikat in 2025 getauscht werden, kann aber zunächst weiter in 2026 genutzt werden. Ein Tausch muss bis 30.6.2026 erfolgen.

Tabellarische Übersicht

Ab 2026 werden in der TI ausschließlich Sicherheitszertifikate mit der Verschlüsselungstechnik ECC genutzt. Technischer Hintergrund – Vorteil von ECC im Vergleich zu RSA: Das seit Jahrzehnten etablierte RSA-Verfahren gilt zwar weiterhin als sicher, jedoch erfordert es für ein hohes Sicherheitsniveau sehr lange Schlüssel, was es rechenintensiver und langsamer macht. ECC erreicht das gleiche oder sogar ein höheres Sicherheitsniveau mit deutlich kürzeren Schlüsseln und ist somit effizienter und leistungsfähiger.

Die bislang verbreiteten RSA-Zertifikate werden deshalb ungültig und abgeschaltet.

Karten die nur RSA-fähig sind, müssen gemäß der folgenden Tabelle getauscht werden. Karten, die RSA- und ECC-fähig sind, können weiter genutzt werden. Neue Karten enthalten i.d.R. nur das neue ECC Verfahren.

Kartentyp	Wie läuft der Wechsel ab?	Zeitrahmen
Arztausweis eHBA	Karte mit G 2.1 erforderlich – Praxis setzt sich mit Kartenanbieter in Verbindung.	31.12.2025 NEU Übergangsfrist 30.06.2026
Praxisausweis SMC-B	Karte mit G 2.1 erforderlich – Praxis setzt sich mit Kartenanbieter in Verbindung. Tausch vor dem Ende der Übergangsfrist empfohlen.	31.12.2025 Übergangsfrist 30.6.2026
Gerätekarte gSMC-KT	Über zollsoft können neue Karten bezogen werden. Tausch vor dem Ende der Übergangsfrist empfohlen.	31.12.2026
Konnektor-Zertifikat SMC-K Ablaufdatum 31.12.2025	Wechsel auf TI Gateway	31.12.2025
Konnektor-Freischaltung VPN TI	empfohlene neue Freischaltung mit ECC, ab PTV6 automatisch	30.6.2026 vorbehaltlich Aussage gematik
Clientsystem-Zertifikat tomedo.p12	empfohlener Wechsel auf ECC NIST-256	30.6.2026 vorbehaltlich Aussage gematik
Konnektor-Zertifikat connector.cer	empfohlener Wechsel auf Software-Server-Zertifikat ECC NIST-256	30.6.2026 vorbehaltlich Aussage gematik

https://www.gematik.de/telematikinfrastruktur/rsa2ecc-migration

Wer ist von der RSA zu ECC-Umstellung betroffen?

Die Umstellung von RSA nach ECC betrifft alle in der TI genutzten Signatur-Karten wie HBA, SMC-B, gSMC-KT und auch interne Einstellungen in den Konnektoren und im TI Gateway selbst.

Wie funktioniert die RSA zu ECC-Umstellung?

Je nach Karte startet die Umstellung anders:

• Neue Arztausweise (HBA) kann die Praxis selber in tomedo hinzufügen und die PIN Änderung selber durchführen YouTube Video Handbuch
• Neue Praxisausweise (SMC-B) werden im TI Konnektor / TI Gateway hinterlegt. Dabei kann der Support unterstützen.
• Auch für gSMC-KT erfolgt ein Tausch häufig mit Support durch den TI Anbieter.
• Ältere Konnektoren werden durch das TI Gateway ersetzt.
• Genutzte tomedo.p12 Clientsystem-Zertifikate werden in einer Update-Aktion erneuert. Es gelten Übergangsfristen welche von der gematik näher definiert werden müssen.
• Konnektoren werden mit ECC neu für die TI freigeschaltet.

Was ist allgemein zu beachten?

Alle relevanten Karten mit ausschließlich RSA-Zertifikaten müssen getauscht werden. 2025 sind das im besonderen Arzt- und Praxisausweise. Ab einem bestimmten Herstellungsdatum wurden Karten mit RSA und ECC produziert. Diese sogenannten „Dual-personalisierten“ Karten können weiterhin verwendet werden.

Einstellungen im Konnektor werden durch den Support bei ohnehin notwendigen TI Support-Terminen angepasst.

Quelle gematik

https://www.gematik.de/telematikinfrastruktur/rsa2ecc-migration

https://wiki.gematik.de/x/p1VNJw

Für Experten

Bitte wenden Sie diese Einstellungen nur an, wenn Sie verstehen was die einzelnen Schritte bedeuten. Fehler im Ablauf werden dazu führen, dass tomedo oder KIMplus nicht auf den Konnektor zugreifen können. Wir können nicht sicherstellen, dass alles funktioniert wenn Sie eigenständig diese Anleitung umsetzen.

secunet Konnektor Firmware 5 auf ECC umstellen

Folgende Einstellungen sind notwendig, um einen secunet Konnektor Firmare 5 auf ECC umzustellen.

Sie sollten diese Einstellungen nur anwenden, wenn Sie selber eventuell auftretende Fehler (z.b. bei nicht freigeschalteter SMC-B) lösen können.

• Netzwerk/Allgemein/Clientsystem-Einstellungen, Software-Server-Zertifikat einschalten und Konnektor neu starten
• Zertifikat erstellen…, Public-Key-Algorithmus „Nur ECC“ auswählen, Kurve NIST-256 auswählen
• Änderung im Zertifikat bestätigen, Änderung in den Clientsystem-Einstellungen bestätigen
• Netzwerk/Allgemein/Erweiterte TLS Einstellungen, ECC-Ciphersuiten verwenden einschalten
• Netzwerk/Allgemein/Erweiterte TLS Einstellungen, ECC-Zertifikat zur Authentisierung gegenüber Clientsystemen nutzen einschalten
• Praxis/Clientsysteme/ gewünschtes Clientsystem (tomedo) auswählen
• tomedo.cer und tomedo.p12 löschen
• Zertifikat erstellen…, Public-Key-Algorithmus „Nur ECC“ auswählen, Kurve NIST-256 auswählen
• gewünschtes Zertifikats-Passwort eintragen und bestätigen
• tomedo.p12 auswählen und herunterladen
• Konnektor neu starten und Neustart abwarten
• Home/Freigeschaltet/Konnektor erneut freischalten… auswählen
• SMC-K Zertifikatstyp „ECC“ oder „ECC renew“ auswählen, bestätigen und neue Freischaltung abwarten
• in tomedo bei Admin/Geräteeinstellungen/TI Konnektor das neue tomedo.p12 per Drag&Drop ablegen und das Zertifikats-Passwort eingeben und bestätigen
• in tomedo „Import Konnektor-Zertifikat“ anklicken
• CETP Verbindung testen und in der Tagesliste TI Verbindung neu laden

KIMplus auf ECC umstellen

Zuerst den Konnektor wie beschrieben umstellen und dann folgendes in KIMplus einstellen:

• KIMplus Clientmodul / Einstellungen öffnen
• Konnektoren / genutzten Konnektor (Standard)auswählen
• Serverzertifikate / folgenden Zertifikaten wird bereits vertraut / löschen
• Serverzertifikate / Serverzertifikat (im PEM- oder CER-Format hochladen). / Download-Icon anklicken
• Zertifikat hinzufügen / Weiter anklicken
• Abgleich Fingerprint / Bestätigen anklicken
• Client-Authentifizierung / Durchsuchen anklicken
• das neue tomedo.p12 auswählen und öffnen
• Client-Authentifizierung / Zertifikatspasswort eintragen
• runterscrollen und Einstellungen speichern
• KIMplus Clientmodul / beenden anklicken und über Dock oder Menü oder Servertools neu starten
• Eine KIMplus e-Mail versenden