Überraschend kommt der Umstieg vom bisherigen Verschlüsselungsalgorithmus RSA 2048 auf den neuen ECC 256 Algorithmus eigentlich nicht. Dennoch haben einige IT-Anbieter Schwierigkeiten mit diesem Wechsel. Für alle sichtbar war das bei den elektronischen Heilberufsausweisen (eHBA), die ursprünglich allesamt zum 1. Januar 2026 ECC-fähig sein sollten. Das wird, wie reichlich berichtet, nicht klappen.
Übergangsregelungen für diverse Karten
Die – gerade von der Friedrichstraße in die Rosenthaler Straße in Berlin umgezogene – gematik hat in Abstimmung mit der Bundesnetzagentur und der eIDAS-Zertifizierungsstelle SRC eine Übergangslösung für eHBA geschaffen, die bis zum 30. Juni 2026 gilt. Demnach können eHBA der Generation G2.0, die ausschließlich RSA-Zertifikate enthalten, noch bis 30. Juni 2026 genutzt werden. Ab dem 1. Juli 2026 sind dann ECC-fähige Zertifikate und damit eHBA der Generation G2.1 zwingend erforderlich. Neu ausgegebene eHBA müssen schon ab Januar 2026 ECC-fähig sein.
Wichtig ist, dass die Übergangsregelung nicht automatisch auch für alle andere Komponenten der Telematikinfrastruktur (TI) gilt. Im Bereich der nicht-qualifizierten Signaturen ist die Nutzung von RSA-Zertifikaten laut gematik ebenfalls übergangsweise noch bis 30. Juni 2026 möglich. Dies betrifft in erster Linie die Institutionenkarten (SMC-B). Auch deren RSA-Zertifikate werden durch die gematik bis zum 30. Juni 2026 nicht gesperrt. Darüber hinaus dürfen die gSMC-KT Karten der Kartenterminals noch bis 31. Dezember 2026 genutzt werden.
gematik empfiehlt raschen Wechsel relevanter Komponenten
Trotz dieser Übergangsregelungen lautet die klare Empfehlung der gematik, alle vom Wechsel von RSA auf ECC betroffenen TI-Komponenten möglichst rasch zu tauschen. Zwingend erforderlich ist zum 1. Januar 2026 die Erneuerung jener Konnektoren, die bisher nur eine RSA-Verschlüsselung beherrschen. Mitte November waren laut Angaben der gematik noch etwa 10.000 dieser „RSA-only“-Konnektoren in Betrieb.
Unerfreulich ist das ganze Thema vor allem deswegen, weil es längst nicht bei allen Herstellern zu Verzögerungen kommt, die Auswirkungen der Verzögerungen bei einigen Herstellern aber dennoch sehr viele Einrichtungen betreffen werden. Die Deutsche Telekom hat in diesem Kontext jetzt die zahlreichen Kund:innen ihrer eHBA angeschrieben. In dem Brief, der E-HEALTH-COM vorliegt, weist das Unternehmen zum einen darauf hin, dass der eHBA von Telekom/T-Systems bereits ECC-fähig und damit von der Übergangsfrist nicht betroffen ist.
Warnung vor irreführenden Fehlermeldungen
Gleichzeitig wird aber darauf hingewiesen, dass es dennoch zu Fehlermeldungen kommen kann, wenn andere betroffene TI-Komponenten in derselben Einrichtung noch nicht ECC-fähig sein sollten. Insbesondere könne es passieren, dass das genutzte Primärsystem eine Meldung generiert, wonach das eHBA-Zertifikat ungültig sei, auch wenn ein an sich gültiger Telekom-eHBA genutzt wird. Dies, so die Telekom, könne dann damit zusammenhängen, dass das ECC-Update des Primärsystems noch nicht erfolgt ist.
Vermeiden lasse sich dies nur, wenn die nötigen Software-Updates vor dem 31. Dezember eingespielt werden. Dass dies eine extrem ärgerliche Konstellation ist, liegt auf der Hand. Im ungünstigsten Fall werden Praxen bestraft, die einen eHBA nutzen, der fristgerecht aktualisiert wurde. Nach Angaben der gematik vom 26. November 2025 wurden bisher 87 % der Primärsysteme auf ECC umgestellt bzw. ein entsprechendes Update vorgenommen.