Reibungsloser Zugang zur TI ab 1. Januar 2026 nur noch mit ECC-Verschlüsselung

Die RSA-Verschlüsselung wird 2026 durch ECC-Verschlüsselung abgelöst. Bis zum 31. Dezember 2025 müssen alle betroffenen TI-Komponenten auf dem neuesten Stand und auf ECC-Fähigkeit umgestellt sein, um einen reibungslosen Zugang zur TI sicherzustellen. Bitte prüfen Sie umgehend, welche TI-Komponenten in Ihrer Institution betroffen sind und sorgen Sie dafür, dass diese rechtzeitig auf die neue, leistungsfähigere ECC-Verschlüsselung umgestellt werden.

Auf Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der EU (eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste) hat die gematik entschieden, dass ab dem 01.01.2026 das RSA-Verschlüsselungsverfahren in der Telematikinfrastruktur (TI) nicht mehr verwendet werden darf. Diese Maßnahme ist erforderlich, um den hohen Sicherheitsstandards der TI gerecht zu werden. Auch wenn die gematik sukzessive die Fristen für einzelne Komponenten ins Jahr 2026 hinein verlängert hat, sichert nur die synchronisierte Umstellung aller betroffenen Komponenten auf ECC die reibungslose TI-Anbindung Ihrer Institution.

Bitte prüfen Sie – insofern noch nicht geschehen – jetzt umgehend die folgenden Komponenten oder beauftragen Sie Ihren IT-Dienstleister:

  • Konnektor
  • elektronischer Heilberufsausweis (eHBA)
  • Institutionsausweis (SMC-B)
  • Primärsystem (PVS, KIS, etc.)
  • KIM-Client
  • Kartenterminals und gSMC-KTs

TI-Komponenten, die noch die RSA-Verschlüsselungstechnologie nutzen, müssen entweder auf ECC-Verschlüsselung umgestellt oder durch neue Komponenten mit ECC-Technologie ersetzt werden. 

 

Konnektor

Nahezu alle über die Telekom erworbenen Konnektoren sind sowohl RSA- als auch ECC-fähig. Einzelne Konnektoren sind nur RSA-fähig – diese Kunden wurden explizit von uns kontaktiert.

Alle Konnektoren müssen vor Ort in der Institution einmalig über eine Re-Registrierung auf ECC umgestellt werden. Ohne die Umstellung ist ab Januar 2026 keine Anbindung an die TI mehr möglich.  Diese Re-Registrierung können Sie eigenständig über die Management-Oberfläche Ihres Konnektors vornehmen. Hier können Sie auch prüfen, ob diese bereits erfolgt ist.

Bitte beachten Sie: Stellen Sie vor der Re-Registrierung bitte sicher, dass Ihr Konnektor mindestens mit der Firmware-Version 5.70.6 arbeitet. Die Firmware-Version Ihres Konnektors überprüfen Sie in der Management-Oberfläche des Konnektors unter „Version“.

Sollten Sie die Firmware Ihres Konnektors updaten müssen, haben wir eine Anleitung zur Aktualisierung der Konnektor-Firmware für Sie verfasst.

Nach Überprüfung der Firmware-Version des Konnektors können Sie einfach der Anleitung zur Re-Registrierung des Konnektors folgen bzw. über die Anleitung prüfen, ob die ECC-Umstellung bereits erfolgt ist: Anleitung RSA – ECC Umstellung Konnektor 

elektronischer Heilberufsausweis (eHBA)

Wichtige Information für unsere eHBA-Kunden: Die gematik hat die Frist für den eHBA auf den 30. Juni 2026 verschoben. Für Ihren eHBA von der Telekom / T-Systems ist diese Verlängerung jedoch nicht maßgeblich:

Ihr Telekom / T-Systems eHBA ist spezifikationskonform bereits ECC-fähig und unterstützt ab dem 1. Januar 2026 ausschließlich ECC-Zertifikate. Weitere Informationen entnehmen Sie auch der Webseite der gematik

Dies bedeutet für unsere Kunden:

Ihr Primärsystem muss rechtzeitig bis 31.12.2025 ECC-fähig sein. Wenn Sie ab Januar eine Meldung zu einem ungültigen ECC-Zertifikat in Ihrem Primärsystem erhalten, so liegt dies voraussichtlich daran, dass Ihr Primärsystem noch nicht ECC-fähig ist. Dies kann nur durch ein Software-Update Ihres Primärsystem-Herstellers behoben werden. Sie vermeiden dies durch ein Software-Update vor dem 31.12.2025.

Praxis- und Institutionsausweis (SMC-B)

Alle SMC-Bs ab Version G2.1 sind ECC-fähig – dies betrifft nahezu alle bei der Telekom / T-Systems erworbenen Karten. 

Sollte Ihre Institutionskarte noch nicht ECC-fähig sein, wurden Sie bereits von uns kontaktiert. Sollten Sie Ihre neue Karte noch nicht bestellt haben, holen Sie dies bitte nach. 

Hinweis: Die Frist für SMC-Bs wurde auf den 30. Juni 2026 verschoben. Wir empfehlen dennoch, auch bei der SMC-B die ECC-Fähigkeit sicherzustellen. 

Primärsystem (PVS, KIS, etc.)

Auch Ihr Primärsystem muss zwingend bis zum 31. Dezember 2025 ECC-fähig sein. Hierzu schauen Sie bitte in Ihre Update-Dokumentation oder wenden Sie sich an den Hersteller Ihres Primärsystems. Sollten Sie bis 31. Dezember 2025 ein Update erhalten, spielen Sie dieses unbedingt zügig und vor dem 1. Januar 2026 ein, um weiterhin qualifizierte elektronische Signaturen ausstellen zu können.

! Das Update Ihres Primärsystems ist besonders für Besitzer eines Telekom / T-Systems eHBA relevant und muss umgehend eingespielt werden. Ab 1. Januar 2026 unterstützen die eHBAs von Telekom / T-Systems ausschließlich ECC-Zertifikate (s. Abschnitt eHBA). 

Wenn Sie ab Januar eine Meldung zu einem ungültigen ECC-Zertifikat in Ihrem Primärsystem erhalten, so liegt dies voraussichtlich daran, dass Ihr Primärsystem noch nicht ECC-fähig ist. Sie vermeiden dies durch ein Software-Update Ihres Primärsystems vor dem 31. Dezember 2025. 

KIM-Client

Bereits im August wurde die neue Version 3.0.0-4 zur Verfügung gestellt. Mit dieser ist der KIM-Client ECC-fähig. Wenn das Update nicht fristgerecht eingespielt wird, ist unter Umständen z.B. das Versenden von eAUs nicht mehr möglich. Bitte stellen Sie deshalb zügig sicher, dass Ihr KIM-Client auf dem aktuellen Stand ist, damit Sie auch nach dem 31. Dezember 2025 weiterhin KIM-Nachrichten versenden können. 

Sollten Sie nicht sicher sein, ob Sie das Update durchgeführt haben, prüfen Sie bitte die aktuelle Version. Sie können diese in der Titelzeile des Admin-Clients ablesen. Das Update des KIM-Clients können Sie eigenständig durchführen. Unsere kurze Anleitung zum KIM-Update führt Sie durch den Prozess der Prüfung der aktuellen Updateversion und des Einspielens des Updates. Alternativ beauftragen Sie bitte Ihren IT-Dienstleister. 

Kartenterminal und Gerätekarte gSMC-KT

Alle Kartenterminals mit aktueller Firmware-Version sind ECC-fähig. Vergewissern Sie sich deshalb, dass auf allen Kartenterminals die aktuelle Firmware installiert ist.

  • Stationäres Kartenterminal ORGA 6141 online und ORGA Neo: Version 3.9.2
    Überprüfung über Display des Kartenterminals: Menü > Service > Status
  • Mobiles Kartenterminal Orga 930M: Version 4.10.0 
    Überprüfung der Version und Einspielen eines neuen Updates über Worldline Installationsanleitung
  • Stationäres Kartenterminal CHERRY ST-1506: Version 4.0.47
    Überprüfung über Display des Kartenterminals über Menü > Einstellungen > Status > Firmware-Version


Die Updates stellen Worldine und CHERRY auf ihren Websites zur Verfügung. Zudem benötigt Ihr Kartenterminal eine Gerätekarte (gSMC-KT) mit ECC-Unterstützung.

Alle gSMC-KTs, die über die Telekom erworben wurden, sind bereits ECC-fähig. Es besteht kein Handlungsbedarf.

Sollten Sie Ihr Kartenterminal inkl. gSMC-KT bei einem anderen Anbieter erworben haben, prüfen Sie bitte die ECC-Fähigkeit. Hierfür haben wir eine Anleitung zur Überprüfung von ECC-Fähigkeit von Karten erstellt.

Hinweis: Die Frist für gSMC-KTs wurde auf den 31. Dezember 2026 verschoben. Wir empfehlen dennoch, auch bei den gSMC-KTs die ECC-Fähigkeit sicherzustellen.

 

Unsere Checkliste hilft Ihnen dabei, einen Überblick über die notwendigen Schritte zu erhalten: 

Checkliste herunterladen

×