TI-Komponententausch
Die IT-Sicherheit hat in der TI aufgrund des Umgangs mit sehr sensiblen Daten einen sehr hohen Stellenwert. Sie muss daher ständig an die Entwicklung der Bedrohungsszenarien angepasst werden. Eine Notwendigkeit daraus ist die Anpassung der Zertifikate oder Verschlüsselungsverfahren in den Geräten und Karten.
Zertifikate und Verschlüsselungsverfahren kommen bei TI-Konnektoren, Heilberufs-, Praxisausweisen sowie Gerätekarten zum Einsatz, die den sicheren Zugang in die TI ermöglichen. Die Komponenten sind mit dem Praxisverwaltungssystem (PVS) verbunden und beweisen ihre Echtheit mit Hilfe dieser Zertifikate oder Verschlüsselungsverfahren.
Verschlüsselungsverfahren müssen in regelmäßigen Abständen auf neue, zeitgemäße Verfahren aktualisiert werden. Nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur darf der aktuell in Verwendung befindliche RSA-Algorithmus (Rivest–Shamir–Adleman) in Deutschland nur noch bis zum 31. Dezember 2025 verwendet werden. Ab 1. Januar 2026 muss das neue Verfahren Elliptic Curve Cryptography mit 256 Bit Schlüssellängen (ECC256) genutzt werden. Dieses gilt als sicherer und effizienter als RSA2048.
Individuelle Informationen zur Ablauffrist der Zertifikate und welcher Verschlüsselungsalgorithmus aktuell in den TI-Komponenten der Praxis genutzt wird, und ob daraus resultierend ein Austausch der TI-Komponenten notwendig wird, erhalten Praxen von ihrem Praxisverwaltungssystem-Anbieter (PVS) bzw. IT-Dienstleister.
Achtung!
Ohne aktuelle Zertifikate besteht keinerlei Möglichkeit mehr, dass der Konnektor sich mit der TI verbindet. Auch der eHBA und die SMC-B können nicht mehr für elektronische Signaturen genutzt werden.
Neue Karten und Komponenten müssen teilweise noch installiert und aktiviert werden. Praxen sollten daher rechtzeitig bestellen und sich, insbesondere von den Kartenherstellern, einen verbindlichen Liefertermin nennen lassen.
Aus Sicherheitsgründen ist die Lebensdauer der Zertifikate in der TI auf fünf Jahre begrenzt. Mit Ablauf der 5-Jahres-Frist müssen die TI-Komponenten grundsätzlich ausgetauscht werden, damit eine Anbindung an die TI und die Nutzung der TI-Anwendungen weiterhin möglich ist. Nach Ablauf der Zertifikate ist ein Verbindungsaufbau zur TI für die betroffene Komponente endgültig nicht mehr möglich.
Basierend auf den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur, ist der Wechsel der Verschlüsselungsverfahren von RSA2048 auf ECC256 bis Ende 2025 eine zentrale Maßnahme, damit TI-Komponenten und Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet sind.
Ab dem 1. Januar 2026 besteht keinerlei Möglichkeit mehr, sich mit der TI zu verbinden, wenn die Umstellung auf das dann gültige Verfahren ECC256 nicht erfolgt ist.
Die gematik hat dazu eine Themenseite mit Informationen zur geplanten Umstellung der Verschlüsselungsverfahren veröffentlicht. Der Link steht im unteren Bereich dieser Seite unter "gematik Themenseite" zur Verfügung.
Neben dem Sicherheitszertifikat des Konnektors verfügen auch andere Komponenten über Zertifikate mit begrenzter Laufzeit. Hierzu zählen das Kartenterminal, der Praxisausweis (SMC-B) und der elektronische Heilberufsausweis (eHBA). PVS-Anbieter/IT-Dienstleister tauschen in der Regel zeitgleich alle TI-Komponenten, deren Zertifikate erneuert werden müssen. Das PVS kann Praxen die Laufzeit der angeschlossenen TI-Komponenten anzeigen, der PVS-Anbieter/IT-Dienstleister der Praxis kann dabei unterstützen.
Ohne eHBA und SMC-B sind keine gültigen Signaturen, Verschlüsselungen und Authentifikationen möglich.
Die individuelle Information darüber, wann Zertifikate auslaufen oder welcher Verschlüsselungsalgorithmus aktuell in den TI-Komponenten der Praxis genutzt wird und ob daraus resultierend ein Austausch notwendig wird, erhalten Praxen von ihrem Praxisverwaltungssystem-Anbieter (PVS) bzw. IT-Dienstleister. In der Regel werden sich die PVS-Anbieter/IT-Dienstleister mit der Praxis in Verbindung setzen, wenn der Austausch erforderlich ist. Auch die Anbieter von Heilberufsausweisen und Praxisausweisen haben gegenüber der KBV zugesagt, betroffene Praxen eigenständig auf auslaufende Ausweise hinzuweisen, ohne vorherige Kontaktaufnahme durch die Praxen.
Die neue SMC-B sollte mit genügend Vorlauf bestellt und freigeschaltet werden. So kann sichergestellt werden, dass übergangsweise beide SMC-B Karten eingesetzt werden und damit die alte und neue SMC-B zur Entschlüsselung von KIM-Nachrichten verwendet werden können. Damit sollten möglichst alle Nachrichten abgerufen werden, bevor die alte SMC-B außer Betrieb genommen wird, um zu verhindern, dass Nachrichten verloren gehen. Dadurch ist es Praxen möglich dann ggf. noch auf Rückmeldungen wie z.B. zur eAU zu reagieren.
Da die SMC-B Karte i.d.R. mit der KIM-Adresse der Praxis verknüpft ist, muss der Eintrag im Verzeichnisdienst der TI auch mit der neuen SMC-B verknüpft werden. Diese Verknüpfung erfolgt über die “TelematikID”. Wichtig ist, dass die TelematikID nach dem Tausch der SMC-B Karte beibehalten wird.
Sollte die neue SMC-B beim gleichen Anbieter bestellt werden, wird die TelematikID automatisch übernommen. So kann der PVS-Anbieter/IT-Dienstleister beim Austausch der SMC-B Karte die KIM-Adresse ohne großen Aufwand neu zuweisen. Wichtig ist, dass eine – Folgekarte – bestellt wird, da so alle vorhandenen Stammdaten übernommen werden.
Wechseln Praxen den Anbieter der SMC-B Karte, ist dringend darauf zu achten, dass die TelematikID beim Bestellvorgang aktiv angegeben wird. Wird diese Eingabe vergessen, kann dies nach Erstellung der SMC-B Karte nicht mehr geändert werden. Der Prozess der De- und Neuregistrierung der KIM-Adresse wäre in diesen Fall für den PVS-Anbieter/IT-Dienstleister sehr aufwändig und kann zu zusätzlichen Kosten für die Praxis sowie zu einer Verzögerung der Nutzbarkeit von KIM mit der neuen SMC-B führen.