RSA 2 ECC – Umstellung

1. Was bedeutet RSA 2ECC?
2. Kostenerstattung | Wer trägt die anfallenden Kosten für den Wechsel/Tausch?
3. Wie erfolgt die Umstellung am T-Com (secunet Konnektor)
4. Entscheidung zum Termin gefallen = gematik 19.09.2025
5. Lieferprobleme HBA/SMC-B (10.10.2025)
6. RSA-HBA können bis zum 30.06.2026 genutzt werden.

1. Was bedeutet RSA 2ECC?

Der Einsatz des RSA-Algorithmus mit Schlüssellängen zwischen 1900 und 3000 Bit ist gemäß der Technischen Richtlinie BSI TR-02102-1 in Verbindung mit der SOG-IS-2020-Anforderung nur noch bis zum 31.12.2025 zulässig. Diese Vorgabe des Bundesamt für Sicherheit in der Informationstechnik betrifft insbesondere sicherheitsrelevante Komponenten wie Konnektoren.

Quelle: gematik: https://fachportal.gematik.de/informationen-fuer/hersteller-anbieter/rsa2ecc-migration, zuletzt abgerufen am 19.09.2025

2. Kostenerstattung | Wer trägt die anfallenden Kosten für den Wechsel/Tausch?

Wer übernimmt die anfallenden Kosten für den Wechsel/Tausch?
Der Austausch von Komponenten (Konnektor, Wechsel zu TI-Gateway, SMC-B Karten etc.) ist mit Kosten verbunden, die über die monatliche TI-Pauschale refinanziert werden.
Diese werden nach Pauschalen gemäß Bundesmatelverträgen erstattet.

Dabei werden folgende Pauschalen zu Grunde gelegt:
Zum Ausgleich der in § 376 SGB V genannten Kosten der Ausstattung und des Betriebs erhalten die an der vertragsärztlichen, vertragszahnärztlichen oder psychotherapeutischen Versorgung teilnehmenden Leistungserbringer ab dem 1. Juli 2023 eine monatliche Tl-Pauschale von den Krankenkassen (vgl. § 378 Absatz 1 SGB V).
Die Tl-Pauschale bestimmt sich nach der Größe der Einrichtung/Praxis und nach der Anzahl der Standorte.
Bei Angestellten Behandlern gilt die Maßgabe, dass angestellte Behandler mit einem Beschäftigungsumfang von jeweils mindestens zwanzig Stunden pro Woche bei der Staffelung berücksichtigt werden. Maßgeblich ist die Größe der Einrichtung/Praxis am letzten Tag des jeweiligen Quartals.

Es finden drei Standort / Betriebsstättengrößen bei den Pauschalen Berücksichtigung:
<= 3 Behandler >3 bis <= 6 Behandler >6 Behandler.
Teilzeitkräfte werden in Vollzeitäquivalente (VZÄ) umgerechnet. Die Berechnung erfolgt, indem die geleisteten Wochen- oder Monatsstunden der Teilzeitkräfte durch die Stundenzahl einer Vollzeitkraft geteilt werden, um ihren Anteil an einer Vollzeitstelle zu ermitteln. Zum Beispiel entsprechen 20 Arbeitsstunden pro Woche bei einer Vollzeitnorm von 40 Stunden 0,5 VZÄ.

Eine Laufzeitverlängerung gilt nicht als Konnektortausch und löst keine Konnektortauschpauschale aus.

Die Abrechnung der monatlichen Tl-Pauschalen durch die KZVen/KVen gegenüber dem Spitzenverband Bund der Krankenkassen (GKV-Spitzenverband) erfolgt quartalsweise elektronisch in Form von Sammelabrechnungen.

Einmalige Einrichtungs- und Lizenz- und Hardwarekosten werden nicht erstattet.

3. Wie erfolgt die Umstellung am T-Com?

(secunet Konnektor)

Anleitung zur secunet Konnektor Umstellung von T-Com-Konnektoren

Technische Voraussetzungen prüfen:
Bevor Sie starten, stellen Sie sicher, dass Ihr Konnektor die folgende Voraussetzung erfüllt:

Firmware-Version mindestens: 5.70.6

4. Entscheidung zum Termin gefallen = gematik 19.09.2025

Warum hält die gematik am Stichtag 31.12.2025 für die Umstellung fest?
Bei den Sicherheitsrichtlinien orientieren wir uns an den Empfehlungen und Vorgaben der obersten Sicherheitsbehörden und international anerkannten Standards. Das BSI orientiert sich an dem internationalem Standard SOGIS-Katalog bei ihrer Empfehlung. Der aktuell vorgesehene Zeitplan basiert auf den Empfehlungen des BSI und Vorgaben der Bundesnetzagentur (BNetzA) für die qualifizierte elektronische Signatur (QES), RSA<3000 bit nach 31.12.2025 nicht mehr zu nutzen. Die QES fällt in die Regelungskompetenz der BNetzA.

Konnektoren haben aus Sicherheitsgründen eine Lebensdauer von fünf Jahren. Für die ersten Konnektoren aus 2017 und 2018 ist bereits 2023 zweimal eine Verlängerung der Zertifikate bis maximal 31.12.2025. Eine weitere Verlängerungsoption über diese Zwei Jahre ist nicht vorgesehen.

Quelle: gematik https://fachportal.gematik.de/informationen-fuer/hersteller-anbieter/rsa2ecc-migration, zuletzt abgerufen 19.09.2025

5. Lieferprobleme HBA/SMC-B (10.10.2025)

Produktionsprobleme beim Kartenhersteller Medisign sorgen zurzeit für Verunsicherung in der Ärzteschaft.

Eine umfassende Systemumstellung bei Medisign hatte in den vergangenen Wochen dazu geführt, dass zeitweise keine Karten mehr produziert werden konnten. Auch das Antragsportal war zwischendurch nicht erreichbar gewesen.

Für ältere eHBA der Generation 2.0 (RSA-Only) hat Medisign vor einigen Tagen einen sogenannten Sondertausch gestartet. „Den rund 65.000 betroffenen Kunden und Kundinnen bieten wir hierfür ein vereinfachtes, mit der gematik abgestimmtes Verfahren an, bei dem lediglich die Karte selbst getauscht wird – ohne erneute Identifizierung“, heißt es. Im Rahmen dieses Verfahrens würden pro Tag etwa 4.000 Kundinnen und Kunden per E-Mail benachrichtigt. Fast die Hälfte der bislang angeschriebenen Ärzte, Apotheker und Zahnärzte habe den Tauschprozess sofort in die Wege geleitet. „Nach den ersten Tagen lagen uns bereits mehr als 7.000 Aufträge vor. Diese Karten werden jetzt abproduziert und versendet“, erklärte die Sprecherin. Weiter teilte sie mit, dass bis zum Jahresende circa 72.000 Ausweise ausgetauscht werden müssen, der Großteil davon seien eHBA.

Quelle: gematik https://www.medisign.de/startseite/hinweise-stoerungen, zuletzt abgerufen 14.10.2025

6. Erneute Terminänderung – Aktuelle Information TI-Verschlüsselungsalgorithmen: Umstellung von RSA auf ECC

Einigung für eine Übergangslösung für Heilberufsausweise
Das bedeutet im Einzelnen:

• HBA, die Zertifikate mit RSA-Verschlüsselung enthalten, können noch bis zum 30. Juni 2026 von betroffenen Leistungserbringenden genutzt werden. Danach können nur noch HBA mit ECC-basierten Zertifikaten eingesetzt werden, um beispielsweise E-Rezepte zu signieren.
• Ab dem 1. Januar 2026 dürfen die Kartenanbieter ausschließlich ECC-fähige Karten produzieren und ausgeben, die keine RSA-Zertifikate mehr enthalten. Die gematik wird den zuständigen Produktherstellern und Anbietern zeitnah signalisieren, dass die weitere Nutzung von RSA bis zum 30. Juni 2026 zulässig ist und die Ausweise nicht gesperrt werden dürfen.

Umstellung der Konnektoren bis zum Jahresende zwingend erforderlich
Ein Tausch aller betroffenen Komponenten zum Jahresende 2025 ist aus Sicht der gematik im Sinne eines sicheren TI-Betriebs weiterhin höchst empfehlenswert und auch erforderlich. Die Umstellung von aktuell noch knapp 10.000 Konnektoren mit RSA-Verschlüsselung – die sogenannten „RSA-only“-Konnektoren – ist zwingend zum Jahresende notwendig, da eine Verlängerung dieser Zertifikate technisch ausgeschlossen ist. Die gematik weist daher ausdrücklich darauf hin, dass die verbleibende Zeit bis zum Jahresende genutzt werden muss, um die Umstellung der Konnektoren anzustoßen. Als Alternative zum Hardware-Konnektor steht das TI-Gateway zur Verfügung.

Quelle: https://www.gematik.de/newsroom/news-detail/aktuelle-information-ti-verschluesselungsalgorithmen-umstellung-von-rsa-auf-ecc, zuletzt abgerufen 14.11.2025