RSA2ECC

Institutionskarten (SMC-B)

gematik: "Alle SMC-B Karten, die ausschließlich auf dem Verschlüsselungsverfahren RSA basieren (Kartengeneration 2.0), dürfen ab dem 1. Januar 2026 nicht mehr eingesetzt werden – unabhängig von dem auf der Karte ausgewiesenen Gültigkeitsdatum."

Die Laufzeit der Institutionskarten, der SMC-B, erstreckt sich über einen maximalen Zeitraum von 5 Jahren, unabhängig vom vorhandenen Zertifikat.

CAVE: Sollten Sie Ihre erste SMC-B-Karte schon zu einem sehr frühen Zeitpunkt beantragt haben, kann es sein, dass Sie vom vorzeitigen Kartentausch betroffen sind. Denn die ersten Karten verfügen über ein ab 2026 veraltetes Verschlüsselungsverfahren.

Alle vom vorzeitigen Kartentausch betroffenen Apothekenleiterinnen und -leiter sind per E-Mail

• sowohl von ihrem Kartenherausgeber
  (erste Aussendung von D-Trust am 21.07.2025;
  erste Aussendung von medisign am 08.07.2025),

• als auch von der AKNR am 03.07.2025

auf die Notwendigkeit, frühzeitig eine Folgekarte zu bestellen, aufmerksam gemacht worden.  Sollten Sie dieser Aufforderung noch nicht nachgekommen sein, möchten wir Sie bitten, schnellstmöglich einen Antrag zu stellen. Nähere Informationen dazu finden Sie hier.

Wie kann ich als Apothekenleiter/in prüfen, ob ich betroffen bin?

Mit folgenden Methoden können Sie überprüfen, ob Ihre SMC-B bereits die aktuellen ECC-Zertifikate besitzt.

Konnektor-Managementoberfläche (Admin): Überprüfen Sie im Menüpunkt „Kartenverwaltung“ oder „Zertifikate“, ob ECC-Zertifikate vorhanden sind.

Kartenportal Ihres Anbieters: Melden Sie sich im Portal Ihres Kartenanbieters an und prüfen Sie die Zertifikatsinformationen Ihrer Karten.

Haben Sie eine oder mehrere Info-Mails Ihres qVDA erhalten?
D-Trust hat die betroffenen Apothekenleiter/innen erstmals am 21.07.2025 per E-Mail über die Notwendigkeit eines vorzeitigen Antrags einer Folgekarte und den Bestellprozesses informiert, medisign hat die Betroffenen am 08.07.2025 angemailt und die AKNR hat eine Vorab-Information an alle Betroffenen am 03.07.2025 ausgesendet.

Auch für die Beantragung einer Folgekarte ist immer ein neues Ident-Verfahren erforderlich.

Was Sie beim Stellen eines Antrags für eine Folge- oder Ersatzkarte beachten sollten, darüber informieren wir Sie in unserem Telematik-FAQ:

FAQ - Telematik (aknr.de)

Entspricht Ihre Karte bereits dem aktuellen Verschlüsselungsstandard, so gilt die reguläre Laufzeit . Diese können Sie gemäß folgender Anleitung der gematik ermitteln:

https://www.gematik.de/media/gematik/Medien/Telematikinfrastruktur/TI-Gateway/SMC-B_Zertifikatsende_Anleitung.pdf

Weiterführende Informationen der qVDA

Elektronischer Heilberufsausweis (eHBA)

Die Laufzeit Ihres Heilberufsausweises finden Sie direkt auf Ihrem Ausweis, auf der Vorderseite in der rechten, unteren Ecke. Auch hier beträgt die maximale Gültigkeit 5 Jahre.

Nach den uns vorliegenden Informationen wird auch Ihr qVDA (D-Trust, medisign) Sie rechtzeitig vor Ablauf der Laufzeit über den Bestellprozess der Folgekarten informieren.

CAVE: Sollten Sie Ihre erste SMC-B schon zu einem sehr frühen Zeitpunkt beantragt haben, kann es sein, dass Sie vom vorzeitigen Kartentausch betroffen sind. Denn die ersten Karten verfügen über ein ab 2026 veraltetes Verschlüsselungsverfahren. Alle vom vorzeitigen Kartentausch betroffenen Apotheker/innen sind per E-Mail

• sowohl von ihrem Kartenherausgeber
  (erste Aussendung von D-Trust am 21.07.2025;
  erste Aussendung von medisign am 08.07.2025),
  als auch von der AKNR am 03.07.2025

auf die Notwendigkeit, frühzeitig eine Folgekarte zu bestellen, aufmerksam gemacht worden.

Sie können aber auch direkt auf Ihrem HBA prüfen, ob Sie vom vorzeitigen Kartentausch betroffen sind:

Möglichkeiten zur Überprüfung:

Konnektor-Managementoberfläche (Admin): Überprüfen Sie im Menüpunkt „Kartenverwaltung“ oder „Zertifikate“, ob ECC-Zertifikate vorhanden sind.

Kartentyp anhand des Aufdrucks (falls vorhanden): Überprüfen Sie auf der Kartenrückseite:

o    G2: Nicht ECC-fähig. → neuen HBA G2.1 beantragen

o    G2.1: ECC-fähig.

·         Medisign: Versionsnummer auf der Kartenrückseite

o    G2.0: Die Versionsnummer lautet 3.20 → neuen HBA G2.1 beantragen

o    G2.1: Die Versionsnummer lautet 10.21 oder 02.22.

·         Medisign: Chip-Design

o    G2.0: Der Chip ist quadratisch und verfügt über 20 Kontaktflächen. → neuen HBA G2.1 beantragen

o    G2.1: Der Chip ist rechteckig und hat nur 7 Kontaktflächen.

Kartenportal des Anbieters: Melden Sie sich im Portal Ihres Kartenanbieters an und prüfen Sie die Zertifikatsinformationen Ihrer Karten.

Haben Sie eine oder mehrere Info-Mails Ihres qVDA erhalten?
D-Trust hat die betroffenen Apothekenleiter/innen erstmals am 21.07.2025 per E-Mail über die Notwendigkeit eines vorzeitigen Antrags einer Folgekarte und den Bestellprozesses informiert, medisign die Betroffenen am 08.07.2025 angemailt und die AKNR hat eine VorabInformation an alle Betroffenen am 03.07.2025 ausgesendet.

Auch für die Beantragung einer Folgekarte ist immer ein neues Ident-Verfahren erforderlich.

Was Sie beim Stellen eines Antrags für eine Folge- oder Ersatzkarte beachten sollten, darüber informieren wir Sie in unserem Telematik-FAQ:

FAQ - Telematik (aknr.de)

Entspricht Ihre Karte bereits dem aktuellen Verschlüsselungsstandard ECC, so gilt die reguläre, auf der Vorderseite Ihres eHBA unten rechts aufgedruckte Laufzeit.

Weiterführende Informationen der qVDA:

Konnektoren

gematik: "Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die betroffenen Konnektoren (sogenannte „RSA-only-Konnektoren“) ist bereits 2023 eine zweijährige Verlängerung der Zertifikate erfolgt. Eine weitere Verlängerungsoption ist nicht vorgesehen. Nach aktuellem Stand gibt es noch ca. 14.000 Konnektoren, die ausschließlich mit RSA-2028-Zertifikaten ausgestattet sind.

Nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) dürfen ab dem 1. Januar 2026 keine Konnektoren mehr eingesetzt werden, die ausschließlich RSA-Schlüssel mit 3000 Bit oder weniger nutzen. "

Rechtzeitig vor Ende der Konnektor-Laufzeit besteht Handlungsbedarf. Im Folgenden informieren wir, wie Sie bei der Ermittlung der Gültigkeitsdauer am besten vorgehen und welche Handlungsoptionen Sie haben:

Zunächst sollte die Gültigkeit des jeweiligen Konnektor-Zertifikates mit Hilfe des zuständigen Dienstleisters vor Ort geprüft werden. Die Anleitungen für die gängigsten Konnektoren haben wir direkt verlinkt.

1.      RISE-Konnektoren

2.      Secunet-Konnektoren

3.      CGM-Konnektoren

Falls das Zertifikat des Konnektors zeitnah abläuft, dann bestehen die folgenden drei Möglichkeiten:

a) Laufzeitverlängerung (NUR BEI KONNEKTOREN DIE BEREITS RSA&ECC fähig sind)

Kommt es zum Ende der Laufzeit  bei Konnektoren, die sowohl die RSA- als auch die ECC-Verschlüsselung[*] unterstützen (manche Geräte aus dem Jahr 2020,2021 und 2022) , können deren Zertifikate um bis zu 3 Jahre verlängert werden. Die maximale Laufzeit der Konnektoren beträgt somit 8 Jahre.

b) Konnektorentausch

Bei dieser Variante wird der Physische Konnektor getauscht. Der neue Konnektor hat dann wieder eine Zertifikatslaufzeit von 5 Jahren und unterstützt die zukunftsfähige ECC-Verschlüsselung.

c) High Speed Konnektor Lösung mittels TI-Gateway

Beim High Speed Konnektor (HSK) handelt es sich um Konnektoren, die speziell für den Betrieb in Rechenzentren ausgelegt sind. Diese stehen dann nicht mehr in der Apotheke, sondern befinden sich in geprüften Rechenzentren und funktionieren nur über zugelassene Dienstleister. Die Verbindung der Apotheke mit dem Rechenzentrum (Konnektoren-Farm) erfolgt über den sogenannten TI-Gateway. Die Verantwortung für Stabilität, Updates und Wartung liegt dann beim Anbieter des TI-Gateways.  Eine Liste der von der gematik zugelassenen Anbieter für TI-Gateways finden Sie im gematik Fachportal.

Die ABDA empfiehlt eine Verlängerung der Laufzeit des Konnektors, sofern dieser über eine ECC-Verschlüsselung verfügt. Darauffolgend könnte der Umstieg auf die HSK-Lösung mit TI-Gateway eine sinnvolle Option sein auf Grund der oben genannten Vorteile. Das konkrete Vorgehen sollte mit dem jeweiligen IT-Dienstleister abgestimmt werden.

E-Health-Kartenterminals

gematik: "Die gSMC-KT (gerätespezifische Security Module Card des Kartenterminals) ist die Eintrittskarte Ihres eHealth Kartenterminals in die Telematikinfrastruktur des deutschen Gesundheitswesens. Die gSMC-KT ist im Kartenterminal installiert und wird Ihnen bei Bestellung eines TI-fähigen E-Health-Kartenterminals mitgeliefert. Die gSMC-KT gibt dem Terminal somit eine digitale Identität, um sich mit einem Konnektor verbinden zu können (man spricht hier vom sogenannten „Pairing“)."

Neben den Konnektoren sind auch die E-Health Kartenterminals vom Wechsel der Zertifikate betroffen. Um eine sichere Verbindung zum Konnektor aufzubauen rät die gematik mit Blick auf die neuen kryptografischen Sicherheitsanforderungen des BSI zu einem Austausch. Dennoch ist eine  Weiternutzung theoretisch noch bis zum 31.12.2026 möglich. Ob ihre Kartenterminals bereit den ECC-Verschlüsselungsstandard beherrschen können Sie wie folgt prüfen:

Über den Konnektor je nach Hersteller:

·         Navigiere zu „Praxis → Karten“ oder Kartenmanagement in der Admin-Oberfläche

·         Suche nach der gSMC-KT der Terminal-Komponente.

Direkt am Kartenterminal je nach Hersteller:

·         Im Web‑Interface: Menü „Info → gSMC‑KT“ anzeigen – zeigt es nur RSA oder auch EC (ECC)? Fehlt EC, ist es G2.0 → Karte tauschen

·         Im Terminal‑Menü: → Service → Test → Einzeltest → Slot 3 (oder 4):

o    Anzeige „AUT“ + „AUT2“ → G2.1

o    Nur „AUT“ ohne „AUT2“ → G2.0 (RSA-only) → Karte tauschen

o    Bei bestimmten Modellen, wie dem CHERRY ST1506, navigieren Sie zu:
Menü → Einstellungen → Status → gSMC-KT Informationen
Dort können Sie Details zu den Zertifikaten einsehen.

Hinweis: Sollte ein Austausch der sogenannten g-SMC-KT vorgenommen werden, so ist ein Tausch bei jedem betroffenen Kartenterminal notwendig.

Informationen der gematik zur Überprüfung des regulären Zertifikatsendes finden Sie hier:

Kartenterminal_Zertifikatsende_Anleitung.pdf (gematik.de)