Medisign muss neue Heilberufsausweise (eHBA) erneut austauschen

Veröffentlicht am 20. Februar 2026 von Günter Born

Gesundheit (Pexels, frei verwendbar)Zum Jahreswechsel mussten Heilberufsausweise (eHBA) ersetzt werden. Hintergrund waren Sicherheitserwägungen  wegen verwendeter RSA2048-Verschlüsselungsalgorithmen zur Absicherung der Kommunikation. Neue eHBAs verwenden ein ECC-Verschlüsselung. Medizinanbieter medisign muss nun diese neu ausgestellten Ausweise erneut "wegen technischer Probleme" austauschen.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Kleiner Rückblick auf das ECC-Thema

Zur Kommunikation mit den gematik-Fachanwendungen werden im Medizinbereich TI-Konnektoren (besonders gesicherte Router, die über die Telematik Infrastruktur (TI) mit den gematik Servern kommunizieren) verwendet. Neben den TI-Konnektoren werden in Praxen oder weiteren medizinischen Einrichtungen noch Heilberufsausweise und Kartenterminals verwendet, deren Absicherung auch gewährleistet werden muss.

In der Vergangenheit wurden RSA2048-Verschlüsselungsalgorithmen zur Absicherung der Kommunikation verwendet. RSA ist ein asymmetrisches kryptographisches Verfahren, das sowohl zum Verschlüsseln als auch zum digitalen Signieren verwendet werden kann. Die Verschlüsselung per RSA ist in seiner Grundform problematisch, da die Verschlüsselung deterministisch ist und Angreifer ggf. Schlüssel erraten können.

Das Verfahren wird daher als unsicher angesehen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Einsatz von RSA2024 im Telematik-Bereich ab 1.1.2026 untersagt. Alle Komponenten sollten bis zu diesem Stichtag im Medizinbereich auf die neue ECC-Verschlüsselung umgestellt werden. Ich hatte im Blog-Beitrag Am 1.1.2026 muss die TI auf ECC-Verschlüsselung umgestellt sein; droht ein GAU? darüber berichtet.

Es deutete sich im 2. Halbjahr 2025 an, dass die Umrüstung der TI-Komponenten in Praxen, sowie der Austausch der Heilberufsausweise aus zeitlichen Gründen nicht zu schaffen sei. Die Kassenärztlichen Vereinigungen forderten eine Karenzzeit – wenn ich richtig informiert bin, wurde dies auch bis Mitte 2026 gewährt.

Neue Heilberufsausweise (eHBA) fehlerhaft

Anbieter medisign hat in dieser Geschichte derzeit keinen wirklich guten Lauf. medisign ist Anbieter elektronische Heilberufsausweise (eHBA) und Praxisausweise (SMC-B) für die eSignatur und Anbindung an die Telematikinfrastuktur (TI) an. Ich hatte es gestern bereits in einer speziellen Facebook-Gruppe gelesen. Der Ärztenachrichtendienst (änd) berichtete zum 18. Februar 2026 (nicht öffentlich einsehbar), dass der Anbieter medisign  die gerade erst ausgegebenen neuen elektronischen Heilberufeausweise bereits wieder austauschen muss.

Der Anbieter Medisign informiere die Praxen derzeit darüber, dass die seit Anfang 2026 ausgestellten eHBA zurückgerufen werden. Grund ist nach Angaben des Unternehmens eine technische Fehlkonfiguration. Betroffen sind alle elektronischen Heilberufeausweise (eHBA), die auf das neue Verschlüsselungsverfahren "ECC-only" umgestellt sind. Die gematik, die die Aufsicht besitzt, hat den Anbieter medisign entsprechend angewiesen.

Der änd zitiert aus dem Schreiben von medisign: "Im Rahmen einer technischen Analyse wurde eine Fehlkonfiguration im Personalisierungsprozess der eHBAs festgestellt. Hierbei liegt kein Sicherheitsproblem vor, vielmehr kann es zu Problemen bezüglich der Interoperabilität mit Konnektoren führen. Der bei der Personalisierung zwingend erzeugte RSA-Schlüssel ist bei diesen Karten nicht deaktiviert und kann unter Umständen zu einer ungültigen Signatur ohne Zertifikate führen."

Der Austausch der betroffenen eHBAs soll einen reibungslosen Betrieb sicherstellen. Betroffene Karteninhaber werden vom Anbieter über das weitere Vorgehen informiert. Konkret produziert medisign Ersatzkarten und schickt diese an die jeweiligen Inhaber der alten eHBAs. Sobald diese die neue Karte freigeschaltet und in Betrieb genommen hätten, werde die alte Karte gesperrt, heißt es. Die Nacht habe ich bei heise diesen Artikel gesehen, der das Gleiche thematisiert und auf Pannen bei der ECC-Umstellung hinweist. Läuft nicht wirklich rund.

Ähnliche Artikel:
Am 1.1.2026 muss die TI auf ECC-Verschlüsselung umgestellt sein; droht ein GAU?
Medisign: Erneut langer Telematik-Ausfall (15.4.2024) – gematik prüft den Anbieter
Gematik TI-Ärger: Kritik von Apothekern; CGM-Software streikt bei Rise-Konnektoren

Dieser Beitrag wurde unter Problem, Problemlösung abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.