Reibungsloser Zugang zur TI nur noch mit ECC-Verschlüsselung

Die RSA-Verschlüsselung wird im Jahr 2026 durch die ECC-Verschlüsselung abgelöst. Bis zum 31. Dezember 2025 müssen betroffene TI-Komponenten auf dem neuesten Stand und auf ECC-Fähigkeit umgestellt sein, um einen reibungslosen Zugang zur TI sicherzustellen. Bitte prüfen Sie, welche TI-Komponenten in Ihrer Institution betroffen sind und sorgen Sie dafür, dass diese auf die neue, leistungsfähigere ECC-Verschlüsselung umgestellt werden.

Auf Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der EU (eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste) hat die gematik entschieden, dass ab dem 01.01.2026 das ECC-Verschlüsselungsverfahren in der Telematikinfrastruktur (TI) eingesetzt wird. Diese Maßnahme ist erforderlich, um den hohen Sicherheitsstandards der TI gerecht zu werden. 

Um auf der sicheren Seite zu sein, prüfen Sie bitte die folgenden Komponenten oder beauftragen Sie Ihren IT-Dienstleister:

  • Konnektor
  • elektronischer Heilberufsausweis (eHBA)
  • Institutionsausweis (SMC-B)
  • Primärsystem (PVS, KIS, etc.)
  • KIM-Client
  • Kartenterminals und gSMC-KTs

TI-Komponenten, die noch die RSA-Verschlüsselungstechnologie nutzen, müssen im Jahr 2026 entweder auf ECC-Verschlüsselung umgestellt oder durch neue Komponenten mit ECC-Technologie ersetzt werden. 

 

Konnektor 

Frist für RSA-only Konnektoren: 31. Dezember 2025

Nahezu alle über die Telekom erworbenen Konnektoren sind sowohl RSA- als auch ECC-fähig. Einzelne Konnektoren sind nur RSA-fähig – diese Kunden wurden explizit von uns kontaktiert. Diese sogenannten “RSA-only-Konnektoren” sind nur bis bis 31. Dezember 2025 funktionsfähig. Eine Laufzeitverlängerung der betroffenen Konnektoren ist aufgrund der Umstellung auf den Verschlüsselungsalgorithmus ECC zum Jahresende 2025 nicht möglich.

Alle anderen ECC-fähigen Konnektoren müssen vor Ort in der Institution einmalig über eine Re-Registrierung auf ECC umgestellt werden.  Diese Re-Registrierung können Sie eigenständig über die Management-Oberfläche Ihres Konnektors vornehmen. Hier können Sie auch prüfen, ob diese bereits erfolgt ist. Eine reibungslose Anbindung an die TI kann ab dem 1. Januar 2026 nur nach erfolgreicher Umstellung sichergestellt werden.

Bitte beachten Sie: Stellen Sie vor der Re-Registrierung bitte sicher, dass Ihr Konnektor mindestens mit der Firmware-Version 5.70.6 arbeitet. Die Firmware-Version Ihres Konnektors überprüfen Sie in der Management-Oberfläche des Konnektors unter „Version“.

Sollten Sie die Firmware Ihres Konnektors updaten müssen, haben wir eine Anleitung zur Aktualisierung der Konnektor-Firmware für Sie verfasst.

Nach Überprüfung der Firmware-Version des Konnektors können Sie einfach der Anleitung zur Re-Registrierung des Konnektors folgen bzw. über die Anleitung prüfen, ob die ECC-Umstellung bereits erfolgt ist: Anleitung RSA – ECC Umstellung Konnektor 

elektronischer Heilberufsausweis (eHBA)

Frist (neu): 30. Juni 2026

Wichtige Information für unsere Telekom / T-Systems eHBA-Kunden: Die gematik hat die Frist für den eHBA auf den 30. Juni 2026 verschoben. Für Ihren eHBA von der Telekom / T-Systems ist diese Verlängerung jedoch nicht maßgeblich:

Ihr Telekom / T-Systems eHBA ist spezifikationskonform bereits ECC-fähig und unterstützt ab dem 1. Januar 2026 ausschließlich ECC-Zertifikate. Weitere Informationen entnehmen Sie auch der Webseite der gematik

Dies bedeutet für unsere Kunden:

Ihr Primärsystem (PVS, KIS, etc.) muss rechtzeitig bis 31.12.2025 ECC-fähig sein, damit weiterhin qualifizierte elektronische Signaturen erstellt werden können. Wenn Sie ab Januar eine Meldung zu einem ungültigen ECC-Zertifikat in Ihrem Primärsystem erhalten, so liegt dies voraussichtlich daran, dass Ihr Primärsystem noch nicht ECC-fähig ist. Dies kann nur durch ein Software-Update Ihres Primärsystem-Herstellers behoben werden. Sie vermeiden dies durch ein Software-Update vor dem 31. Dezember 2025.

Mehr Informationen auf unserer Informationsseite zum eHBA.

Praxis- und Institutionsausweis (SMC-B)

Frist: 30. Juni 2026

Alle SMC-Bs ab Version G2.1 sind ECC-fähig – dies betrifft nahezu alle bei der Telekom / T-Systems erworbenen Karten. 

Sollte Ihre Institutionskarte noch nicht ECC-fähig sein, wurden Sie bereits von uns kontaktiert. Sollten Sie Ihre neue Karte noch nicht bestellt haben, holen Sie dies bitte nach. 

Hinweis: Die Frist für SMC-Bs wurde auf den 30. Juni 2026 verschoben. Wir empfehlen dennoch, auch bei der SMC-B die ECC-Fähigkeit sicherzustellen. 

Primärsystem (PVS, KIS, etc.)

Frist: 31. Dezember 2025

Auch Ihr Primärsystem muss zwingend bis zum 31. Dezember 2025 ECC-fähig sein. Hierzu schauen Sie bitte in Ihre Update-Dokumentation oder wenden Sie sich an den Hersteller Ihres Primärsystems. Sollten Sie bis 31. Dezember 2025 ein Update erhalten, spielen Sie dieses unbedingt zügig und vor dem 1. Januar 2026 ein.

! Das Update Ihres Primärsystems ist besonders für Besitzer eines Telekom / T-Systems eHBA relevant und muss umgehend eingespielt werden. Ab 1. Januar 2026 unterstützen die eHBAs von Telekom / T-Systems ausschließlich ECC-Zertifikate (s. Abschnitt eHBA). Ihr Primärsystem muss ECC-fähig sein, um weiterhin qualifizierte elektronische Signaturen erstellen zu können.

Wenn Sie ab Januar eine Meldung zu einem ungültigen ECC-Zertifikat in Ihrem Primärsystem erhalten, so liegt dies voraussichtlich daran, dass Ihr Primärsystem noch nicht ECC-fähig ist. Sie vermeiden dies durch ein Software-Update Ihres Primärsystems vor dem 31. Dezember 2025. 

KIM-Client

Frist: 31. Dezember 2025

Bereits im August wurde die Version 3.0.0-4 zur Verfügung gestellt, mit der der KIM-Client ECC-fähig ist. Seit dem 18.12.2025 steht die neue Version 3.0.0-6 zur Verfügung. Hierbei handelt es sich um ein relevantes Sicherheitsupdate, das zeitnah eingespielt werden sollte. Bitte installieren Sie das KIM-Update, damit Ihr KIM-System ECC-fähig ist. 

Sollten Sie nicht sicher sein, ob Sie das Update durchgeführt haben, prüfen Sie bitte die aktuelle Version. Sie können diese in der Titelzeile des Admin-Clients ablesen. Das Update des KIM-Clients können Sie eigenständig durchführen. Unsere kurze Anleitung zum KIM-Update führt Sie durch den Prozess der Prüfung der aktuellen Updateversion und des Einspielens des Updates. Alternativ beauftragen Sie bitte Ihren IT-Dienstleister. 

Hinweis: Es kann bei einzelnen Praxisverwaltungssystemen nach Einspielen des KIM-Client-Updates zu einer Störung kommen, die wie folgt durch einen manuellen Eintrag behoben werden kann:
Bitte stellen Sie in Ihrem Praxisverwaltungssystem sicher, dass der KIM-Server über einen Fully Qualified Domain Name (FQDN) konfiguriert ist. Bitte tragen Sie dort anstelle der IP-Adresse 100.102.1.169 den Hostnamen lb-mail.eqxffm.tsi.kim.telematik ein! Führen Sie anschließend einen Neustart des PVS bzw. eine erneute Initialisierung des KIM-Dienstes durch. Sofern die Störung weiterhin besteht, prüfen Sie bitte, ob Ihr PVS auf dem aktuellen, ECC-kompatiblen Softwarestand ist oder wenden Sie sich an Ihren PVS-Hersteller.

Mehr Informationen finden Sie auf unserer Informationsseite zum KIM-Update.

Kartenterminal und Gerätekarte gSMC-KT

Frist: 31. Dezember 2026

Alle Kartenterminals mit aktueller Firmware-Version sind ECC-fähig. Vergewissern Sie sich deshalb, dass auf allen Kartenterminals die aktuelle Firmware installiert ist.

  • Stationäres Kartenterminal ORGA 6141 online und ORGA Neo: Version 3.9.2
    Überprüfung über Display des Kartenterminals: Menü > Service > Status
  • Mobiles Kartenterminal Orga 930M: Version 4.10.0 
    Überprüfung der Version und Einspielen eines neuen Updates über Worldline Installationsanleitung
  • Stationäres Kartenterminal CHERRY ST-1506: Version 4.0.47
    Überprüfung über Display des Kartenterminals über Menü > Einstellungen > Status > Firmware-Version


Die Updates stellen Worldine und CHERRY auf ihren Websites zur Verfügung. Zudem benötigt Ihr Kartenterminal eine Gerätekarte (gSMC-KT) mit ECC-Unterstützung.

Alle gSMC-KTs, die über die Telekom erworben wurden, sind bereits ECC-fähig. Es besteht kein Handlungsbedarf.

Sollten Sie Ihr Kartenterminal inkl. gSMC-KT bei einem anderen Anbieter erworben haben, prüfen Sie bitte die ECC-Fähigkeit. Hierfür haben wir eine Anleitung zur Überprüfung von ECC-Fähigkeit von Karten erstellt.

Hinweis: Die Frist für gSMC-KTs wurde auf den 31. Dezember 2026 verschoben. Wir empfehlen dennoch, auch bei den gSMC-KTs die ECC-Fähigkeit sicherzustellen.

 

Unsere Checkliste hilft Ihnen dabei, einen Überblick über die notwendigen Schritte zu erhalten: 

Checkliste herunterladen

 

Update vom 10.12.2025: Fristen wurden ergänzt und Textstellen an Verschiebung von Fristen angepasst

×