Fristverlängerung für Hardware-Tausch?

Der Hintergrund dieser Umstellung liegt in den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie der Bundesnetzagentur. Der bisher verwendete Algorithmus RSA2048 verliert zum 31. Dezember 2025 seine offizielle Gültigkeit. ECC256 gilt als sicherer und leistungsstärker, vor allem bei Vorgängen wie der digitalen Signatur. Das bedeutet letztendlich auch eine höhere Sicherheit für sensible Patientendaten. 

Bundesweit betroffen sind etwa 35.000 Konnektoren in ärztlichen, zahnärztlichen, psychotherapeutischen Einrichtungen sowie Kliniken. Auch zehntausende Sicherheitskarten, darunter SMC-B-Karten, elektronische Heilberufsausweise und bestimmte Gerätekarten in Kartenterminals (gSMC-KT), sind nicht länger kompatibel und müssen erneuert werden.

Kritik an engem Zeitrahmen 

Die Kassenärztliche Bundesvereinigung (KBV) sieht die ambitionierte Frist kritisch. Vorstandsmitglied Dr. Sibylle Steiner betonte gegenüber den KBV-Praxis-Nachrichten, dass ein sicherer und problemloser Austausch der betroffenen Technik in der verfügbaren Zeit kaum machbar sei. Sollten Praxen die erforderlichen Anpassungen bis Ende des Jahres nicht vornehmen können, droht ihnen der Verlust des Zugangs zu zentralen TI-Diensten wie dem eRezept oder der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU).

Mit dem Austausch der Komponenten gehen außerdem organisatorische Herausforderungen einher, die durch die Koordination und Terminierung der IT-Dienstleister für die Praxen entstehen.

Aus diesen Gründen fordert die KBV eine Fristverlängerung. Sie führt internationale Beispiele an: In Frankreich etwa bleibt RSA2048 noch bis Ende 2030 im Einsatz. Für Deutschland legen die Bundesnetzagentur (BNetzA), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die gematik fest, welche Verschlüsselungsverfahren im Gesundheitswesen als sicher eingestuft werden. Sie orientieren sich dabei am europäischen Katalog für kryptographische Algorithmen („Senior Officials Group Information Systems Security“, kurz: SOG-IS-Katalog), einem Leitfaden für die Auswahl und Bewertung von Kryptografie in der Europäischen Union mit Empfehlungscharakter.

Teilweise Ausnahmeregelungen geplant

Trotz der Kritik hält die gematik derzeit am aktuellen Zeitplan fest. Allerdings gibt es erste Lockerungen: In Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dürfen bestimmte Gerätekarten für E-Health-Kartenterminals über den 31. Dezember hinaus vorübergehend weiterverwendet werden. Diese Übergangsregelung betrifft deutschlandweit rund 160.000 Karten.

Was Praxen jetzt beachten sollten

Nicht jede Praxis muss aktiv werden. Entscheidend ist, ob die vorhandenen Komponenten bereits ECC256-kompatibel sind. Die Kartenanbieter haben zugesichert, betroffene Einrichtungen direkt über den bevorstehenden Ablauf ihrer Karten zu informieren. Daher ist eine Kontaktaufnahme durch die Praxen üblicherweise nicht notwendig. Auch die Hersteller von Praxissoftware und weiteren TI-Geräten werden bei Bedarf auf betroffene Praxen zugehen und sie beim Austauschprozess unterstützen.

MT