Zum Jahreswechsel mussten Heilberufsausweise (eHBA) ersetzt werden. Hintergrund waren Sicherheitserwägungen wegen verwendeter RSA2048-Verschlüsselungsalgorithmen zur Absicherung der Kommunikation. Neue eHBAs verwenden ein ECC-Verschlüsselung. Medizinanbieter medisign muss nun diese neu ausgestellten Ausweise erneut "wegen technischer Probleme" austauschen.
Kleiner Rückblick auf das ECC-Thema
Zur Kommunikation mit den gematik-Fachanwendungen werden im Medizinbereich TI-Konnektoren (besonders gesicherte Router, die über die Telematik Infrastruktur (TI) mit den gematik Servern kommunizieren) verwendet. Neben den TI-Konnektoren werden in Praxen oder weiteren medizinischen Einrichtungen noch Heilberufsausweise und Kartenterminals verwendet, deren Absicherung auch gewährleistet werden muss.
In der Vergangenheit wurden RSA2048-Verschlüsselungsalgorithmen zur Absicherung der Kommunikation verwendet. RSA ist ein asymmetrisches kryptographisches Verfahren, das sowohl zum Verschlüsseln als auch zum digitalen Signieren verwendet werden kann. Die Verschlüsselung per RSA ist in seiner Grundform problematisch, da die Verschlüsselung deterministisch ist und Angreifer ggf. Schlüssel erraten können.
Das Verfahren wird daher als unsicher angesehen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Einsatz von RSA2024 im Telematik-Bereich ab 1.1.2026 untersagt. Alle Komponenten sollten bis zu diesem Stichtag im Medizinbereich auf die neue ECC-Verschlüsselung umgestellt werden. Ich hatte im Blog-Beitrag Am 1.1.2026 muss die TI auf ECC-Verschlüsselung umgestellt sein; droht ein GAU? darüber berichtet.
Es deutete sich im 2. Halbjahr 2025 an, dass die Umrüstung der TI-Komponenten in Praxen, sowie der Austausch der Heilberufsausweise aus zeitlichen Gründen nicht zu schaffen sei. Die Kassenärztlichen Vereinigungen forderten eine Karenzzeit – wenn ich richtig informiert bin, wurde dies auch bis Mitte 2026 gewährt.
Neue Heilberufsausweise (eHBA) fehlerhaft
Anbieter medisign hat in dieser Geschichte derzeit keinen wirklich guten Lauf. medisign ist Anbieter elektronische Heilberufsausweise (eHBA) und Praxisausweise (SMC-B) für die eSignatur und Anbindung an die Telematikinfrastuktur (TI) an. Ich hatte es gestern bereits in einer speziellen Facebook-Gruppe gelesen. Der Ärztenachrichtendienst (änd) berichtete zum 18. Februar 2026 (nicht öffentlich einsehbar), dass der Anbieter medisign die gerade erst ausgegebenen neuen elektronischen Heilberufeausweise bereits wieder austauschen muss.
Der Anbieter Medisign informiere die Praxen derzeit darüber, dass die seit Anfang 2026 ausgestellten eHBA zurückgerufen werden. Grund ist nach Angaben des Unternehmens eine technische Fehlkonfiguration. Betroffen sind alle elektronischen Heilberufeausweise (eHBA), die auf das neue Verschlüsselungsverfahren "ECC-only" umgestellt sind. Die gematik, die die Aufsicht besitzt, hat den Anbieter medisign entsprechend angewiesen.
Der änd zitiert aus dem Schreiben von medisign: "Im Rahmen einer technischen Analyse wurde eine Fehlkonfiguration im Personalisierungsprozess der eHBAs festgestellt. Hierbei liegt kein Sicherheitsproblem vor, vielmehr kann es zu Problemen bezüglich der Interoperabilität mit Konnektoren führen. Der bei der Personalisierung zwingend erzeugte RSA-Schlüssel ist bei diesen Karten nicht deaktiviert und kann unter Umständen zu einer ungültigen Signatur ohne Zertifikate führen."
Der Austausch der betroffenen eHBAs soll einen reibungslosen Betrieb sicherstellen. Betroffene Karteninhaber werden vom Anbieter über das weitere Vorgehen informiert. Konkret produziert medisign Ersatzkarten und schickt diese an die jeweiligen Inhaber der alten eHBAs. Sobald diese die neue Karte freigeschaltet und in Betrieb genommen hätten, werde die alte Karte gesperrt, heißt es. Die Nacht habe ich bei heise diesen Artikel gesehen, der das Gleiche thematisiert und auf Pannen bei der ECC-Umstellung hinweist. Läuft nicht wirklich rund.
Ähnliche Artikel:
Am 1.1.2026 muss die TI auf ECC-Verschlüsselung umgestellt sein; droht ein GAU?
Medisign: Erneut langer Telematik-Ausfall (15.4.2024) – gematik prüft den Anbieter
Gematik TI-Ärger: Kritik von Apothekern; CGM-Software streikt bei Rise-Konnektoren
MVP: 2013 – 2016
Und das gleiche Spiel geht von vorne los, wenn in gut einem Jahrzehnt vom NIST das nicht "Nicht-Quanten-Sichere" ECC als veraltet eingestuft wird und nur noch "post-quantum-secure" Schlüsselaustauschprotokolle wie KYBER ->
https://de.wikipedia.org/wiki/Kyber_(Kryptosystem)
gefordert werden.
[Sarkasmus]
Aber wir haben ja das BSI!
[/Sarkasmus]
https://www.heise.de/news/Neue-Verschluesselungs-Empfehlungen-des-BSI-Das-Ende-fuer-RSA-und-ECC-naht-11172624.html
"Das Bundesamt fordert, klassische asymmetrische Verschlüsselungsverfahren ab 2032 nur noch in Kombination mit Post-Quanten-Kryptographie einzusetzen."
"Die Technische Richtlinie 02102 hat zunächst lediglich Empfehlungscharakter, wird jedoch häufig von anderen Richtlinien herangezogen und entfaltet in deren Geltungsbereich auch quasi-normativen Charakter. Das BSI nennt hier die Verarbeitung von Verschlusssachen, aber auch die TR-03161 verpflichtet Anwendungen im Gesundheitswesen zur Beachtung von TR-02102."
Es ist nur ein kleiner Anteil – aber bei wem werden wohl die Kosten für den ganzen Murks landen?
Hier mal die Preise, die sie aufrufen, wenn es mal klappt:
"https://www.medisign.de/support/article/medisign-preisblatt/"
Die Geschichte kommt mir schräg vor – ich versuche mal, mir die zeitliche Reihenfolge richtig zu sortieren:
– (Gematik-)Ziel war, alle Praxen bis 01.01.2026 auf ECC umzustellen
– am 14.11.2025 stellt die Gematik (reichlich früh!) fest: "oh, klappt wohl nicht, zuviele Praxen noch nicht umgestellt" (und dass, obwohl die ganzen Medizinnerinen und Mediziner den ganzen Tag nur auf der Heizung sitzen und Däumchen drehen /s) (https://www.gematik.de/newsroom/news-detail/aktuelle-information-ti-verschluesselungsalgorithmen-umstellung-von-rsa-auf-ecc) => Übergangsfrist bis 30.06.2026, ABER ab 01.01.2026 dürfen NEUE Karten nur mit ECC ausgeliefert werden => und an dieser Stelle (Gematik-Vorgabe) fängt meines Erachtens der Blödsinn an, denn
– medisign produziert/verkauft bis Ende 2025 eHBA, die sowohl RSA als auch ECC unterstützen (laufen meines aktuellen Wissen bis dato ohne Probleme), muss aber per 01.01.2026 noch die reinen ECC-Karten "auf die Schiene" bringen => Weihnachtszeit/"Zwischen den Jahren", Personalmangel usw. => Huschi-Huschi ist angesagt => Fehler entstehen (Meine Spekulation zu der Situation)
TL:DR: statt bis zum 30.06.2026 (oder einem Zeitpunkt vorher) den Vertrieb von Karten mit RSA, RSA+ECC und ECC zu erlauben (RSA+ECC bis 31.12.2025 kein Thema, einen Tag später verboten), wird m.E. von der Gematik die Option RSA+ECC als Übergangslösung bei neuen Karten ab 01.01.2026 ohne Not gestrichen!
PS: Nicht falsch verstehen, ich will medisign nicht reinwaschen, die Gematik-Produkte sind bei allen Herstellern teuer genug, um das notwendige kompetente Personal zu bezahlen (wenn es denn verfügbar ist – bei den Herstellern (Hardware und Software) habe ich aber mittlerweile sowieso den Eindruck, dass mehr Personen im Vertrieb als in der IT-Umsetzung beschäftigt sind, aber andere Baustelle …)
Und inwiefern bringen diese Überlegungen die Betroffenen von der Aktion einen Schritt weiter?
Aktuell keinen einzigen Schritt – da sind größere Kräfte als ich am Werk ;o)
Ich würde mir nur von den Entscheidungsträgern wünschen, dass
– Probleme früher erkannt und kommunziert würden (KV wie auch Gematik), dann bleibt mehr Zeit für Lösungen
– Lösungen, die funktionieren (wie z.B. RSA+ECC) nicht aus dem Rennen genommen werden und damit die Zahl der Optionen vermindert wird (hier insbesondere vor dem Hintergrund, dass sogar die Gematik in dem o.g. Link in einem Update vom 28.11.2025 das Wording von "nach 30.06.2026 nur noch HBA mit ECC" auf "nach dem 30.06.2026 HBA, die auch ECC unterstützen" geändert hat)
Was die Betroffenen angeht: der Nutzen der TI für Mediziner und Patienten erschliesst sich mir leider immer noch nicht wirklich (z.B. müssen Mediziner Module wie KIM einsetzen, die teilweise auf Seiten der Krankenhäuser noch nicht eingeführt sind => sichere Kommunikation?), die Prozentzahlen der Nutzung der ePA durch Patienten ist gering etc., aber das Ganze kostet – neben den Kosten (Geld, Zeit und Nerven) für die "Leistungserbringer" – massiv (Krankenkassen)Beitragsgelder, die in Behandlung und Infrastruktur besser angelegt wären.
Aber jetzt tu ich was für meine Gesundheit und hör' auf mich aufzuregen :o)
PS: Noch eine Korrektur meinerseits nach besserem Lesen des o.g. Links: die Bundes-KV und nicht die Gematik war wohl der Auslöser für die Verschiebung.