TI-Gateway / Highspeedkonnektoren
Hier stehen sehr leistungsfähige (sogenannte High-Speed-) Konnektoren in einem Rechenzentrum. Praxen können mit einem der zugelassenen Betreiber dieser Zentren einen Vertrag schließen und sich sicher und verschlüsselt damit verbinden. Ein eigener Konnektor ist damit nicht mehr notwendig.
- gematik: Neue TI-Verschlüsselung - jetzt aktiv werden (November 2025)
Bis zum 31.12.2025 müssen aufgrund europarechtlicher Vorgaben Verschlüsselungsalgorithmen (kryptografischen Verfahren) in der Telematikinfrastruktur (TI) umgestellt werden. Die Umstellung erfolgt vom sogenannten RSA (Rivest-Shamir-Adleman) auf den ECC (Elliptic Curve Cryptography)-Verschlüsselungsalgorithmus. Dies betrifft unter anderem Konnektoren, Heilberufsausweise (eHBA), Institutionskarten (SMC-B), aber auch Primärsysteme und KIM-Clientmodule müssen bis zum Jahresende vollständig das neue kryptografische Verfahren anwenden können. Aufgrund des verbleibenden Zeitraums von wenigen Wochen im Zusammenspiel mit der Anzahl an noch zu tauschenden Karten und Konnektoren sind längere Bearbeitungszeiten und Lieferengpässe bei den Anbietern und Industriepartnern nicht auszuschließen. Die gematik empfiehlt Nutzerinnen und Nutzern, sich umgehend an ihre IT-Anbieter zu wenden und zu prüfen, ob Heilberufsausweise, Institutionskarten oder der Konnektor getauscht werden müssen.
Sofern ein Austausch notwendig ist, ist eine kurzfristige Beantragung über die jeweiligen Anbieter empfehlenswert. So sollten insbesondere neue eHBA idealerweise den Nutzerinnen und Nutzern spätestens am 01.12.2025 zur Verfügung stehen, um die Umstellung und einen reibungslosen Betrieb sicherzustellen. Sollte diese Zeitschiene durch die Anbieter nicht eingehalten werden können, sollten Betroffene die vertraglichen und zivilrechtlichen Handlungsoptionen (u. a. Haftungsansprüche gegen den Anbieter) und ggf. den Wechsel zu einem alternativen Anbieter prüfen.
Die gematik überwacht engmaschig die Umstellung der einzelnen TI-Komponenten bei allen Anbietern sowie die Entwicklungen bei den beteiligten Industrieunternehmen und behält sich vor, bei mangelnden Fortschritten oder falls getroffene Zusagen nicht eingehalten werden, entsprechende Maßnahmen gegenüber den Anbietern zu ergreifen. In verschiedenen Medien wurde vor Kurzem von Lieferschwierigkeiten bei medisign GmbH berichtet, insbesondere bezüglich des eHBA. Die gematik prüft gegenwärtig etwaige Maßnahmen gegenüber dem Anbieter und befindet sich hierzu in einem verwaltungsrechtlichen Anhörungsverfahren mit medisign GmbH. Bei belastbaren Anzeichen, dass ein fristgerechter Kartentausch nicht sichergestellt werden kann, wird die gematik entsprechende Maßnahmen ergreifen.
Weitere Hinweise zum Thema stellt die gematik auf ihrer Themenseite bereit: https://www.gematik.de/telematikinfrastruktur/rsa2ecc-migration
- Neues Verschlüsselungsverfahren für die TI (27. Juli 2025)
gematik stellt erste Informationen für Praxen bereit
Die gematik hat auf Betreiben der KBV erste Informationen zur Umstellung auf das neue Verschlüsselungsverfahren der Telematikinfrastruktur veröffentlicht. Welche Komponenten betroffen sind, können Ärzte und Psychotherapeuten dort nachschauen. Unter anderem müssen diejenigen Konnektoren ersetzt werden, die ausschließlich RSA-fähig sind.
Die gematik rät Praxen auf ihrer Website, zeitnah zu prüfen, ob und welche Komponenten der Telematikinfrastruktur (TI) ausgetauscht werden müssen und dafür zu sorgen, dass diese rechtzeitig auf die neue leistungsfähigere ECC-Verschlüsselung umgestellt werden. Nur so könne ein reibungsloser und sicherer Betrieb auch über 2025 hinaus sichergestellt werden.
Um diese TI-Komponenten geht es
Von der Umstellung der Verschlüsselungsmethode sind nicht alle Praxen gleichermaßen betroffen. Dies hängt davon ab, ob die eingesetzten Komponenten bereits ECC-fähig sind oder nur mit dem RSA-Verfahren arbeiten können. Um diese Komponenten geht es: Konnektor, Heilberufsausweis (eHBA), Praxisausweis (SMC-B), Gerätekarte in den eHealth-Kartenterminals (gSMC-KT), Praxisverwaltungssystem und KIM-Dienst.
Umstieg auf TI-Gateway prüfen
Praxen, die ihre Konnektoren bis Jahresende ersetzen müssen, sollten gemeinsam mit dem IT-Dienstleister prüfen, ob für sie ein Wechsel zu einem TI-Gateway sinnvoll ist. Hintergrund ist, dass die Nutzung von Einbox-Konnektoren spätestens in fünf Jahren endet. Dies hat die Gesellschafterversammlung der gematik Ende Juni beschlossen. Praxen und andere Einrichtungen können Konnektoren demnach nur noch bis Ende 2030 nutzen.
Das TI-Gateway ist eine Alternative zur Anbindung an die TI. Die Praxis benötigt dabei keinen eigenen Konnektor mehr, der in der Praxis steht. Die Anbindung an die TI läuft stattdessen über einen Highspeed-Konnektor in einem Rechenzentrum.
KBV drängt gematik zum Handeln
Die KBV erwartet von der gematik, dass sie die Umstellung auf das neue Verschlüsselungsverfahren und den damit verbundenen Austausch von TI-Komponenten genauestens überwacht. Die Betriebssicherheit der TI sei schließlich gesetzliche Aufgabe der gematik und für Anwendungen wie das eRezept, die eAU und die elektronische Patientenakte von entscheidender Bedeutung.
Die KBV hat in den vergangenen Monaten mehrfach darauf hingewiesen, dass die Umstellung zeitlich und mengenmäßig herausfordernd wird. Eine geforderte Verschiebung des Stichtags 31. Dezember hat die gematik abgelehnt.
Hintergrund der RSA-ECC-Umstellung
Das Bundesamt für Sicherheit in der Informationstechnik und die Bundesnetzagentur haben verfügt, dass das RSA-Verschlüsselungsverfahren, das unter anderem bei der elektronischen Signatur genutzt wird, zum Jahreswechsel umgestellt werden muss. Spätestens ab Januar 2026 soll der aktuelle Verschlüsselungsalgorithmus RSA2048 vom neuen Algorithmus ECC256 abgelöst werden. Dieser gilt als sicherer und effizienter als RSA2048.
- Wichtige Infos der Gematik zur Laufzeitverlängerung (April 2025)
Die seit 2017 verfügbaren Konnektoren wurden ursprünglich mit Schlüsselmaterial versehen, das auf dem RSA-Algorithmus basierte. Diese Verschlüsselungsmethode wurde ab Mitte 2020 durch Schlüsselmaterial mit zukunftsfähigem ECC-Algorithmus ergänzt.
Auch die auf diesem Schlüsselmaterial beruhenden Zertifikate haben dabei immer eine Laufzeit von 5 Jahren. Entsprechend laufen die ersten dieser ECC-Zertifikate ab Mitte 2025 ab. Die RSA-Zertifikate dürfen in ihrer Laufzeit nicht mehr verlängert werden.
Für Konnektoren, die in den Jahren 2020, 2021 und 2022 produziert wurden, wird ein anwenderfreundliches Verfahren zur Verlängerung der ECC-Zertifikate eingesetzt. Die Zertifikate werden um jeweils drei Jahre verlängert. Somit haben diese Konnektoren dann eine maximale Laufzeit von 8 Jahren. Dieses Verfahren bietet eine Alternative zur Anschaffung neuer Konnektoren.
Die Umstellung der Zertifikate kann grundsätzlich automatisch ab 04.04.2025 erfolgen und ist so konzipiert, dass vom Leistungserbringer/Endanwender in der Regel keine IT-Aktion erforderlich wird.
Eine weitere Verlängerung der Zertifikate ist nicht möglich - perspektivisch ist der neue TI-Zugang über das TI-Gateway das Mittel der Wahl auf dem Weg in die TI 2.0.
- Konnektorentausch: Betroffene Praxen sollten dringend handeln
Grund für den Austausch sind die fest verbauten Schlüssel-Zertifikate, deren Nutzungszeit nach fünf Jahren endet. Die ersten aktuell in Gebrauch befindlichen Konnektoren schalten sich im Herbst 2022 ab und müssen folglich zuvor durch neue ersetzt werden. Praxen sollten daran denken, die Gültigkeit ihrer TI-Hardware-Zertifikate zu prüfen. Wenn die Zertifikate bald ablaufen, sollte rechtzeitig Ersatz bestellt werden.
Sofern eine Praxis von einem Zertifikatsablauf betroffen ist, besteht Handlungsbedarf zum Tausch der TI-Hardware. Nach Ablauf des Zertifikats in einer der TI-Komponenten kann keine Verbindung mehr zur TI hergestellt werden. Läuft das Zertifikat aus, kommt es zu einer merklichen Unterbrechung im Praxisbetrieb. Das bedeutet: Das Einlesen von eGK, das Versichertenstammdatenmanagement (VSDM) oder der Versand von KIM-Nachrichten (z. B. auch die seit 1. Juli 2022 verpflichtend zu nutzende eAU) sind dann nicht mehr möglich. Eine Praxis ohne TI-Anschluss ist kaum noch arbeitsfähig. Für den Austausch muss ein Servicetechniker in die Praxis kommen. Um diesen Termin sollte sich die Praxis rechtzeitig kümmern.
- Feldkennung in der Praxissoftware ab 3. Quartal/22
Folgende Funktionalitäten stehen ab dem 3. Quartal 2022 in Ihrer Praxissoftware (PVS) zur Verfügung:
In der Datensatzbeschreibung KVDT der KBV ist seit der Version 5.50 (13.5.2022) ein Feld (FK 0227) vorgesehen, welches das Ablaufdatum des Konnektorzertifikats beinhaltet. Mit der Version 5.54 (13.5.2022) des Anforderungskatalog KVDT wird begleitend gefordert, dass die Praxissoftware-Programme das Datum anzeigen können.
Es ist ein Änderungsrelease „Konnektor: Maintenance 22.2 (Stand: 13.05.2022)“ vorgesehen, die Praxissoftware-Programme geben einen Warnhinweis, wenn das Ablaufdatum der Konnektorzertifikats in den nächsten drei Monaten liegt.
- TI-Gateway: Der neue Weg in die Telematikinfrastruktur (6. 8. 2024)
Konnektoren bald Geschichte? Hersteller RISE erhält erste Anbieterzulassung für TI-Gateway von der gematik
Bei der Nutzung des TI-Gateways verbinden Sie sich über eine sichere VPN-Verbindung mit einem Rechenzentrum eines zertifizierten Anbieters. Über das Rechenzentrum wird dann ein Zugang zur TI hergestellt. Dieser Weg eignet sich besonders für (Zahn-)Arztpraxen, Apotheken und Reha- oder Pflegeeinrichtungen.
So funktioniert das TI-Gateway
Um das TI-Gateway zu nutzen, müssen Sie einen Vertrag mit einem von der gematik zertifizierten TI-Gateway-Anbieter abschließen. Von Ihrem Anbieter erhalten Sie dann einen VPN-Zugang, über den Sie sich in ein Rechenzentrum einwählen können. Dort betreibt der Anbieter ein Zugangsmodul und einen Highspeed-Konnektor. Der Highspeed-Konnektor ist von der gematik geprüft und zugelassen und stellt den sicheren Zugang zur TI her.
Die Anbieter eines TI-Gateways betreiben sogenannte Gateway-Cluster, in denen jeweils mehrere Tausend Konnektoren ersetzt werden können.
Vorteile des TI-Gateways
Der Vorteil ist: Während bisher im Regelfall jede medizinische Einrichtung einen eigenen Konnektor für den TI-Zugang besitzen musste, schließen die TI-Gateway-Anbieter nun mehrere Einrichtungen über einen zentral betriebenen Highspeed-Konnektor an die TI an. Updates und Wartungsarbeiten an den Konnektoren erfolgen zentral und nicht mehr vor Ort. Damit entfallen auch mögliche Haftungsfragen für die Einrichtung. Besonders kleinere Arztpraxen, Apotheken oder Reha- und Pflege-Einrichtungen haben so weniger Aufwand mit der Pflege der technischen Infrastruktur.
Schritte zum Anschluss
- Prüfen Sie, ob Sie über eine gültige SMC-B-Karte, einen HBA und mindestens ein E-Health-Kartenterminal verfügen.
- Suchen Sie hier einen zugelassenen TI-Gateway-Anbieter.
- Nehmen Sie Kontakt auf und schließen Sie einen Vertrag ab.
- Richten Sie die entsprechende Software Ihres Anbieters in Ihrer Einrichtung ein.
Zugelassene TI-Gateway-Anbieter
Nur von der gematik geprüfte und zertifizierte Anbieter dürfen medizinischen Einrichtungen das TI-Gateway bereitstellen. Als erster Hersteller hat RISE die Anbieterzulassung erhalten. Weitere Hersteller planen ebenfalls, eine TI-Gateway-Lösung anzubieten.
mehr: TI-Anbindung | gematik
- gematik: TI-Highspeed-Konnektoren schaffen neue Optionen (20.2.2023)
Die gematik hat die Spezifikation zum „TI-Gateway“ veröffentlicht. Das TI-Gateway ist ein Dienst, der es ermöglichen wird, auf die Installation von Einbox-Konnektoren in Praxen vor Ort zu verzichten. Damit spielt dieser sowohl für (Zahn-)Arztpraxen und Apotheken als auch für neue Nutzergruppen der TI (wie etwa Pflege, Physiotherapie oder öffentlicher Gesundheitsdienst) eine zentrale Rolle bei der zukünftigen Anbindung an die TI. Gemeinsam mit den Gesellschaftern der gematik sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI) fanden in den vergangenen Wochen Abstimmungen zur Spezifikation statt.
Mit dem TI-Gateway werden Rechenzentrumslösungen mittels Highspeed-Konnektoren umsetzbar. Highspeed-Konnektoren sind technisch deutlich leistungsfähigere Geräte als der bisherige Konnektor. Sie werden in diesem Jahr zugelassen. Damit Nutzergruppen wie beispielsweise Praxen oder Apotheken von dieser Technik profitieren können, ist das nun spezifizierte TI-Gateway notwendig. Es eröffnet die Möglichkeit, dass ein einzelner HSK in einem sicheren Rechenzentrum eine Vielzahl an Praxen sicher und mit entsprechenden Supportleistungen an die TI anbinden kann. Die Installation eines einzelnen Konnektors vor Ort in der Praxis ist damit nicht mehr notwendig.
Mit der veröffentlichten Spezifikation zum TI-Gateway sind die Voraussetzungen dafür geschaffen, dass die Industrie entsprechende Lösungen und Alternativen zu den bisherigen Einbox-Konnektoren entwickeln und am Markt anbieten kann.
Update: Highspeed für alle - TI-Gateway
Auch kleinere Einrichtungen, wie Praxen oder Pflegeheime, können vom TI-Zugang über Highspeed-Konnektoren profitieren. Das funktioniert über zugelassene Dienstleister, die in geprüften Rechenzentren Highspeed-Konnektoren betreiben – das sogenannte TI-Gateway. Als medizinische Einrichtung können Sie sich über eine sichere, verschlüsselte Verbindung damit verbinden. Über das TI-Gateway kann sich dann gleichzeitig eine Vielzahl medizinischer Einrichtungen mit der TI verbinden. Einen eigenen Konnektor braucht es dann nicht mehr, den ordnungsgemäßen Betrieb verantwortet der Anbieter des TI-Gateways. Die medizinische Einrichtung schließt dafür einen Vertrag mit einem der zugelassenen Dienstleister ab.
Der Highspeed-Konnektor und das TI-Gateway befinden sich aktuell in Entwicklung und Zulassung. Das TI-Gateway wird im Jahr 2024 verfügbar. Die Nutzung von Highspeed-Konnektoren in Krankenhäusern wird voraussichtlich früher möglich sein.
Kurzvideos zum Thema: https://www.gematik.de/newsroom/news-detail/aktuelles-kurzinterviews-ti-gateway-anbieter-berichten-zum-aktuellen-stand