Informationen zur ECC-Fähigkeit Ihres eHBAs

Die RSA-Verschlüsselung wird im Jahr 2026 durch die ECC-Verschlüsselung abgelöst. Ihr Telekom / T-Systems eHBA ist bereits spezifikationskonform ECC-fähig. Um ab 2026 weiterhin qualifizierte elektronische Signaturen ausstellen zu können, muss auch Ihr Primärsystem (PVS, KIS, etc.) ECC-fähig sein.

Wichtige Information zur ECC-Fähigkeit Ihres eHBAs

Auf Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der EU (eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste) hat die gematik entschieden, dass ab 2026 das ECC-Verschlüsselungsverfahren in der Telematikinfrastruktur (TI) eingesetzt wird. Diese Maßnahme ist erforderlich, um den hohen Sicherheitsstandards der TI gerecht zu werden.

Mitte November 2025 hat die gematik die Frist für die Umstellung von RSA auf ECC im Hinblick auf den eHBA auf den 30. Juni 2026 verschoben. Für Ihren eHBA von der Telekom / T-Systems ist diese Verlängerung jedoch nicht maßgeblich:

Ihr Telekom / T-Systems eHBA ist spezifikationskonform bereits ECC-fähig und unterstützt ab dem 1. Januar 2026 ausschließlich ECC-Zertifikate. Weitere Informationen entnehmen Sie auch der Webseite der gematik

Dies bedeutet für unsere Kunden:

Ihr Primärsystem (PVS, KIS, etc.) muss rechtzeitig bis 31.12.2025 ECC-fähig sein, damit weiterhin qualifizierte elektronische Signaturen erstellt werden können. Wenn Sie ab Januar eine Meldung zu einem ungültigen eHBA ECC-Zertifikat in Ihrem Primärsystem erhalten bzw. keine qualifzierte elektronische Signatur mehr ausstellen können, so liegt dies voraussichtlich daran, dass Ihr Primärsystem noch nicht ECC-fähig ist. Dies kann nur durch ein Software-Update Ihres Primärsystems (PVS, KIS, etc.) behoben werden.   

Sollten Sie ein Update erhalten haben, aber dieses noch nicht eingespielt haben, so spielen Sie dieses jetzt unbedingt ein. 

 

FAQ zur ECC-Fähigkeit des Telekom / T-Systems eHBA

Warum wird die Verschlüsselungsmethode von RSA auf ECC umgestellt?

Mit der Umstellung von RSA auf ECC stärkt die gematik die Sicherheit und Performance bestehender Systeme der TI. ECC ermöglicht bei kürzeren Schlüsseln ein höheres Sicherheitsniveau und reduziert gleichzeitig Rechenaufwand sowie Speicherbedarf. Damit erfüllt die TI aktuelle Sicherheitsstandards und optimiert die Performance sicherheitskritischer Anwendungen. 

Welche Frist gilt für den eHBA?

Viele Teile der Telematikinfrastruktur (TI) müssen von der alten RSA-Verschlüsselung auf die neue ECC-Verschlüsselung umgestellt werden. Ursprünglich sollten alle RSA-Schlüssel am 31. Dezember 2025 ungültig werden. Die gematik hat die Frist zur Verwendung von RSA-Schlüsseln für einige TI-Komponenten teilweise ins Jahr 2026 hinein verlängert, für den eHBA erst kürzlich auf den 30. Juni 2026.
Für die eHBA-Kunden der Telekom / T-Systems ist diese Fristverschiebung nicht maßgeblich: Ihr eHBA ist jetzt schon ECC-fähig und unterstützen ab dem 1. Januar 2026 ausschließlich ECC. 
Für alle ab 01. Januar 2026 hergestellten HBAs aller Hersteller gilt, dass diese ebenfalls nur mehr mit ECC-Zertifikaten ausgeliefert werden dürfen.

Sind die eHBAs der Telekom / T-Systems ECC-fähig?

Alle eHBA der Telekom/ T-Systems sind spezifikationskonform bereits ECC-fähig und unterstützen ab dem 1. Januar 2026 ausschließlich ECC.

Welche Abhängigkeiten bestehen zwischen der ECC-Fähigkeit des eHBAs und des Primärsystems (PVS, KIS, etc.)?

Die Frist für die ECC-Fähigkeit der Primärsysteme (PVS, KIS, etc.) ist der 31. Dezember 2025 (siehe auch Webseite der gematik). Da ab 01. Januar 2026 die eHBAs von Telekom / T-Systems ausschließlich ECC unterstützen, ist die Wahrung der Frist durch die PVS-Hersteller und das Einspielen des die ECC-Fähigkeit herstellenden Updates durch die Leistungserbringer besonders relevant.

Was geschieht, wenn das Primärsystem (PVS, KIS, etc.) nicht ECC-fähig ist oder das Update noch nicht eingespielt wurde?

Primärsysteme, die bis zur Frist 31. Dezember 2025 nicht umgestellt sind, werden versuchen, den nicht mehr gültigen RSA-Schlüssel des eHBA z.B. zum Signieren von eRezepten zu verwenden und melden dann einen Fehler. In diesem Beispiel könnte das eRezept nicht signiert werden. Dies kann nur durch ein Software-Update des Primärsystem-Herstellers behoben werden, durch welches die Software ECC-fähig wird.

Was muss ich tun, wenn ich keine QES-Signatur mehr ausstellen kann?

Bitte stellen Sie sicher, dass Ihr Primärsystem (PVS, KIS, etc.) auf dem aktuellen Stand ist und die ECC-Technologie unterstützt. Wenn Sie beim Signieren, beispielsweise von eRezepten, eine Fehlermeldung zur Ungültigkeit des Zertifikats Ihres eHBA erhalten, liegt dies an einer fehlenden ECC-Unterstützung Ihrer Software. Dieses Problem lässt sich ausschließlich durch ein Software-Update Ihres Primärsystems beheben, das die ECC-Kompatibilität gewährleistet.

×