Kurzer Hinweis an IT-Dienstleister und Leute im Umfeld von Arztpraxen und Apotheken, die einen Rise-Konnektor zur TI-Anbindung haben. Es gibt wohl ein Firmware-Update auf die Version 5.6.2, welches automatisch ausgeführt wird. Anschließend kommt es zu massiven Problemen, weil die Praxissoftware dann die erforderlichen Kartenleser nicht mehr anzeigt. Vorige Woche soll es eine Menge Arztpraxen erwischt haben, wie mir ein Leser per Mail mitteilte.
Rise-Konnektor-Update – um was geht es?
Der Rise-Konnektor (Eigenschreibweise RISE Konnektor) ist laut Anbieter "der Schlüssel zur deutschen Telematikinfrastruktur" (TI) der Gematik und wird in zahlreichen medizinischen Einrichtungen (nicht wie unten behauptet in "medizinischen Einrichtigungen") eingesetzt.
RISE ist das Kürzel für Research Industrial Systems Engineering, ein Dienstleister der den betreffenden Router für Arztpraxen und Apotheken anbietet, damit diese einen sicheren Zugang zur gematik Telematik Infrastruktur (TI) bekommen.
Es gibt böse Probleme mit der Firmware 5.6.2
Ein Blog-Leser informierte mich, dass vom Hersteller ein Firmware-Update auf die Version 5.6.2:1.0.0 für Rise-Konnektoren verteilt werde. Dieses Update wurde auf den 19.11.2025 vorgezogen. Die ursprüngliche Meldung zum Firmware-Update ist zum 13.11.2025 im gematik Fachportal erschienen, siehe folgender Screenshot.
Dort wurde mitgeteilt, dass das Firmware-Update auf die neue Firmware 5.6.2:1.0.0 für RISE Konnektoren um zwei Tage vorgezogen werde. Der Eintrag im gematik Fachportal enthält noch einige Hinweise, was zu prüfen sei.
Das Update ist erforderlich, weil die bisherigen RSA2048-Verschlüsselungsalgorithmen in den Geräten zum 1. Januar 2026 auf die Unterstützung der ECC-Verschlüsselung umgestellt werden muss (siehe mein Beitrag Am 1.1.2026 muss die TI auf ECC-Verschlüsselung umgestellt sein; droht ein GAU?).
Dieses Firmware-Update des RISE Konnektors wird laut Leser meist automatisch eingespielt. Probleme treten laut Leser da auf, wo die Kartenterminals noch nicht auf die erforderlichen Firmwareversionen aktualisiert wurden. Bei diesen Kartenlesern wird dann die Verbindung zum Kartenleser automatisch beendet. Ein erneutes Pairing dieser Leser scheitert und gelingt erst nach einem Firmware-Update der Kartenleser. Im gematik Fachportal heißt es nun:
Bei der Durchführung gelten die üblichen Updateprozesse.
Um einen reibungslosen Updateprozess der bisherigen RISE-Konnektoren mit Version 5.1.18 auf die neue Version 5.6.2 zu gewährleisten, wird dringend empfohlen, vor dem Update die Firmware aller verbundenen Kartenterminals zu prüfen und auf folgende Firmwareversionen zu aktualisieren:
Cherry ST1506 Firmware 4.0.47
Worldline Orga 6100 Firmware 3.9.2
JDM Firmware 1.1.20
bei Cherry G87-1505 Tastaturen (Firmware 3.3.3) sind die RISE Optimierungen laut Anleitung zu aktivieren, falls dies nicht der Fall ist.
Der Leser schrieb mir dazu, dass es letzte Woche daher viele Arztpraxen unvorbereitet "erwischt" habe. Bei den Arztpraxen wurden die betroffenen Kartenleser plötzlich in der Arztsoftware nicht mehr angezeigt, weil die Firmware veraltet war. Dadurch war z.B. das
- Einlesen der Gesundheitskarte (eGK),
- das Ausstellen von Arbeitsunfähigkeitsbescheinigungen (eAU)
- oder ganz allgemein von eRezepten etc. nicht mehr möglich.
Der Leser merkte an: "Obwohl im Konnektor die Firmwarestände der verbundenen Kartenleser zu sehen – und somit für die Software auch überprüfbar – sind wurde das automatische Update offenbar dennoch ausgeführt. Eigentlich würde man von 'vernünftiger' Software an dieser Stelle eine Warnung 'Kartenleser XY hat nicht den erforderlichen Firmwarestand' erwarten."
Öffentlich scheint es zu diesem Problem keine einsehbaren Diskussionen zu geben. Intern werde zwischen den Praxis-betreuenden Dienstleistern das Thema heftig diskutiert, so der ungenannt bleiben wollende Leser, da es die Praxen massiv beeinträchtigt und eine Welle von Hotline-Anrufen zur Folge hat.
Die Umstellung auf ECC scheint generell mit "heißer Nadel" gestrickt – dazu will ich noch was schreiben. Es schaut so aus, als ob der Termin 1.1.2026 gerissen wird, weil es Engpässe beim erforderlichen Austausch der Komponenten gibt.
Und auf Facebook ist mir in einer internen Gruppe die Warnung zum SECUNET Konnektor untergekommen, dass "uninformierte Laien" ihre Konnektoren erst nach Lektüre der Telekom-Anleitung Umstellung RSA – ECC umstellen. Der Betroffene hat laut eigener Aussage seinen KIM-Client durch die Umstellung auf ECC zerstört, weil er die Telekom-Warnungen zur Prüfung nicht berücksichtigt hat.
MVP: 2013 – 2016
'Gematik' und 'vernünftige' Software in einem Satz gibt es nicht.
Hauptsache tolle Sprüche klopfen, Zitat RISE-Website:
"Jahrzehntelange Erfahrung in allen Branchen
– Ablöse bzw. Neuentwicklung von zentralen zeit- und betriebskritischen Komponenten
– Entwicklung von komplexen Applikationen
– Hocherprobtes Verständnis aller notwendigen Entwicklungsaspekte, Fokusbildung je nach System (Usability, Security, Flexibility, Betriebseffizienz, Integrierbarkeit, usw…)
– Hochverfügbarkeit, Performance und Sicherheit von Systemen
– Ende-zu-Ende Vorgehensweise für eine profunde Lösung, deren User Experience „passt" (im Gegensatz zum reinen Customizing einer starren Lösung)
– Langjährige Expertise im Bereich Qualitätssicherung, Testing und Testautomatisierung
– Profundes Wissen um die Themen Datenschutzgrundverordnung, Datensicherheit, Datensparsamkeit und solides Consent Management für die Nutzer und die Administratoren"
BINGO.
Sorry, bei soviel Marketing Bla-Bla kriege ich Bullshit-Bingo Syndrom.
Aber wir geraten mit dieser Diskussion auf ein Nebengleis – die Leute haben den RISE Konnektor und gerade ihre Kartenleser verloren. Genau darum ging es im Blog-Beitrag. Sorry, dass ich rein grätsche – Marketing ist das eine, technische Probleme ist das andere. Und hier geht es um letzteres – jedenfalls für die Betroffenen.
Entschuldigung, das war nicht meine Absicht. Natürlich hilft das den Leuten nicht, die jetzt akut Probleme haben.
War ja nicht als "krummer Hund gedacht" – ich versuche einfach einige Diskussionen um Nebenthemen frühzeitig einzufangen.
Habe bei einem Kunden scheinbar das Problem vorrübergehend klären können.
Hier sind 2 Kartenlesegeräte angeschlossen – Orga 6141 sowie CHERRY ST-1506.
Für beide gab es ein Firmware Update, das sich nicht durch den Konnektor einspielen ließ.
Habe diese manuell eingespielt, seit dem ist Scheinbar alles i.O. (in den letzten 4h keine Fehler mehr gehabt).
Ggf. hilft das hier und da.
Ich bin wahrlich kein Fan der TI, aber dieses Mal sehe ich das Problem nicht direkt bei RISE.
Es gibt einen Leitfaden von RISE mit Checkliste, wie die komplette Umstellung abzulaufen hat. Und da steht an Position 1: "Update Deine Kartenleser". Wenn wir mal im Mikrokosmos mit Cherry ST-1506 bleiben: Das aktuelle Update 4.0.47 gibt es auch schon eine Weile. Das ist nun mal eine Plattform, die auch etwas gepflegt werden muss. Und für die Kartenleser kommen jetzt auch nicht wöchentlich Updates raus.
Um die Verunsicherung komplett zu machen: Es ist ja auch nicht nur die Firmware der Kartenleser und Konnektoren! Auch folgende Komponenten müssen geprüft werden:
–> Sind die gSMC-K ECC-kompatibel?
–> Sind die gSMC-KTs ECC-kompatibel?
–> Hat der TI-Tunnel auch schon eine ECC-Freischaltung?
Ich wusste selbst bis vor 6 Wochen nichts von dem Thema, bin aber von einer MFA darauf aufmerksam gemacht worden. Das Thema ging auch schon Fachpublikationen rum.
Einfach beim RISE-Support nachfragen, dann bekommt man auch den Leitfaden.
Grüß dich,
wie heißt der Leitfaden, damit ich weiß, was ich anfordern muss
Danke dir
Betraf wohl auch "nur" Orga und Cherry Terminals.
Beim Praxis-Dienstleister sind am Freitag viele Anfragen aufgelaufen.
Zum Glück gab's hier noch ein mobiles Gerät zum generellen einlesen (offline) und nach dem Update des stationären Orga-Terminals konnten auch zum Mittag die eAUs wieder versendet werden.
Rezepte gab's auf rosa Muster 16. :-)
Zum Glück sind eHBA und SMC-B schon hybrid mit ECC, also müssen nicht von medisign getauscht werden. Denn da hakt es wohl offensichtlich gerade etwas.
ich habe nicht verstanden warum ein Update 2 Tage vorgezogen wird.
verzögert ja, aber …
und wenn die neue Software weiß, dass die Terminals nicht mehr ansprechbar sind, warum wird das trotzdem installiert oder hat nicht noch den alten Algorithmus drin?
ist der Speicher so knapp?
oder RSA soooo gefährlich?
aber ich bekomme auch keine Millionen Beträge für schlechte Arbeit.
Hallo Herr Born!
"Und auf Facebook ist mir in einer internen Gruppe die Warnung zum SECUNET Konnektor untergekommen, dass "uninformierte Laien" ihre Konnektoren erst nach Lektüre der Telekom-Anleitung Umstellung RSA – ECC umstellen."
URL der Anleitung:
https://www.telekom-healthcare.com/fileadmin/user_upload/images-DE/news-events/news/Anleitung_Umstellung_RSA_auf_ECC.pdf
Bitte schauen Sie sich in dem Telekom Dokument die letzte Seite an.
Seitenthema: Hinweis zur Meldung „Sicherheitsniveau des RSA-TLS-Server-Zertifikats gering"
Bitte betrachten sie den Sceenshot des Sekunet Konnektors. Insbesondere den letzten Punkt ganz unten. OK, ich zitiere:
"Bedeutung
Das für die Authentisierung gegenüber dem Clientssystem konfigurierte Zertifikat hat ein Sicherheitsniveau von weniger als 120bit. Zu verwenden ist ein RSA-Zertifikat mit mindestens 3000 bit Schlüssellänge oder ein ECC-Zertifikat."
Lesen Sie dann den restlichen Text auf dieser Seite. *eek*
Wird nicht überall geschrieben, die RSA Zertifikate hätten momentan eine Schlüssellänge von 2048 bit?
Ich habe exakt den gleichen Screenshot angefertigt. Und auf meine Nachfrage sinngemäß auch die gleiche Antwort erhalten: "Da mache ma nix. Einfach ignoriere."
Beste Grüße
Schönes Zitat da: "Änderungen an den Zertifikaten können zu unerwünschten Störungen führen, insbesondere zur Trennung vom KIM-Dienst."
Bei mehr als 120 bit funktioniert wohl irgendeine "Man in the Middle" Mithörschnittstelle nicht mehr?
mein Kunde hatten auch Probleme gehabt. seit dem konnektor update , konnten die Kartenterminals nicht mehr genutzt werden. die hatten 2 Kartenterminals der Firma Orga. nach einem manuellen firmwareupdate auf 3.9.2 ging wieder alles.
Das wird zum Ende des Jahres eine Katastrophe.
Es sind noch ca 10.000 Secunet Konnektoren im Umlauf die eine Laufzeitverlängerung bis 31.11.2025 bekommen haben und danach nicht mehr funktionieren.
Hab das noch auf dem Radar und will noch was drüber schreiben.
Es ist relativ einfach. Totales versagen der Dienstleister! Ich hatte auch einen Kunden (bei dem bin ich nicht für die TI verantwortlich) mit Rise Konnektor. Nach dem Update stand die Praxis still, kein Zugriff auf die TI. Die mega Hotline sagte : "Wissen wir, Sie sind an Warteposition 100 und es kommen noch ein paar Hundert dazu. Wir melden uns aber rechnen Sie nicht damit das es in 4 Wochen erledigt ist!" Ja ne, is klar.
Es hat mich 3 Minuten auf dem Konnektor gekostet zu erkennen was das Problem ist.
Die verdammten Kartenlesegeräte waren auf einem völlig veraltetem Softwarestand.
Per IP auch nicht mehr erreichbar. Also Stick gebastelt und zum Kunden gefahren.
20 Minuten später konnte die Praxis wieder mit der TI arbeiten.
EINMAL MIT PROFIS ARBEITEN!!!
Und das liegt jetzt am Dienstleister? Eher die Frage, warum sind die Kartenleser nicht gepflegt.
Weil der Dienstleister dafür monatlich mit einer Servicepauschale bezahlt wird. Und da kann man erwarten das vor einem lange angekündigtem Konnektor Update auch die Kartenlesegeräte einen für das Update nötigen Softwarestand haben! Rise hat das lange vorher angekündigt und auch eine Checkliste veröffentlicht! Die Praxen die bei mir einen Vertrag haben, haben das Update überhaupt nicht mitbekommen! Dafür bezahlen mich die Ärzte.
Also das ist schon ein starkes Stück, wenn ein DVO wie die megaHotline so eine Aussage trifft. Das hilft dem Praxisinhaber nicht im Geringsten. Da liegt leider daran, dass immer mehr Menschen auch im IT-Umfeld leider nur IT "spielen", also nur dünne Bretter bohren wollen, aber wenn ein richtig dickes Problem auftritt, erst mal abtauchen mit Sprüchen dieser Art. Meist ist der Hintergrund, dass es einfach an fachlicher Kompetenz fehlt. Und Diejenigen, welche die Kompetenzen hierzu haben, werden überfrachtet mit Arbeit, während zuvor Genannte sich gerne im Sonnenlicht der Anderen aufhalten. Ich bin selbst jahrelang in der IT beruflich tätig gewesen. Ich habe bisher jedem meiner Anwender helfen können, aber der Anteil meiner damals unfähigen Kollegen und Kolleginnen ist immer größer geworden, so dass ich dann keine Lust mehr hatte, immer deren verbockten Mist auszubaden. Habe dann gekündigt und kümmere mich jetzt im Angestelltenverhältnis bei zwei Praxen um deren IT-Landschaft inkl. TI. (Es handelt sich hierbei um die Praxen meiner Frau) :)
Ich bin wahrlich kein Fan der TI, aber dieses Mal sehe ich das Problem nicht direkt bei RISE.
Es gibt einen Leitfaden von RISE mit Checkliste, wie die komplette Umstellung abzulaufen hat. Und da steht an Position 1: "Update Deine Kartenleser". Wenn wir mal im Mikrokosmos mit Cherry ST-1506 bleiben: Das aktuelle Update 4.0.47 gibt es auch schon eine Weile. Das ist nun mal eine Plattform, die auch etwas gepflegt werden muss. Und für die Kartenleser kommen jetzt auch nicht wöchentlich Updates raus.
Um die Verunsicherung komplett zu machen: Es ist ja auch nicht nur die Firmware der Kartenleser und Konnektoren! Auch folgende Komponenten müssen geprüft werden:
–> Sind die gSMC-K ECC-kompatibel?
–> Sind die gSMC-KTs ECC-kompatibel?
–> Hat der TI-Tunnel auch schon eine ECC-Freischaltung?
Ich wusste selbst bis vor 6 Wochen nichts von dem Thema, bin aber von einer MFA darauf aufmerksam gemacht worden. Das Thema ging auch schon Fachpublikationen rum.
Einfach beim RISE-Support nachfragen, dann bekommt man auch den Leitfaden.
a) Das Update 5.6.2 ist eine Katastrophe, wobei nicht klar ist, woran genau es liegt. Es scheint jedoch ein expliziter Zusammenhang mit der ECC-Umstellung zu bestehen.
b) Die Updates der Kartenleser sollten über den Konnektor automatisch erfolgen, wenn man dies entsprechend eingestellt hat, unabh. von der vorh. Firmware-Version.
Der RISE-Konnektor erzeugt auch mit 5.6.2 Fehlermeldungen, deren Aussagekraft gegen Null geht. Man weiß fast nie, worum es sich tatsächlich handelt, kann bestenfalls erahnen, ob es sich um ein internes oder externes Problem handelt. Unter 5.6.2 haben die "Alarm"-Fehlermeldungen jedoch extrem zugenommen. Das Konnektor-Utility, das u.a. dafür sorgt, dass der K. mit den korrekten Lizenzen versorgt wird, erreicht seit der V 5.6.2 den Konnektor nicht mehr. Auch eine Nach- oder Neuinstallation des Tools ändert daran nichts. Davon sind sämtliche von uns betreuten Praxen mit diesem Konnektor betroffen.
Neben den bzw. trotz der ausufernden Fehlermeldungen läuft der Betrieb in vielen Praxen dennoch problemlos, in einigen Fällen jedoch führt die aktuelle Version aus nicht bekannten Gründen im Abstand von mehreren Tagen zu Teil- bzw. Totalausfällen, die sich nur durch intuitive Wiederherstellungsversuche beheben lassen, denn eine offizielle Lösung gibt es bis heute, kurz vor Weihnachten, immer noch nicht.