eHealth: Umstellung auf ECC-Verschlüsselung bis 2026 sorgt für Produktionsstress

Nachdem die Gematik das Bundesgesundheitsministerium und ihre Gesellschafter aufgrund des schleppenden Austauschs von elektronischen Heilberufsausweisen (eHBA) und Praxis- sowie Institutionsausweisen (SMC-Bs) gewarnt hatte, läuft die Produktion bei einem der Vertrauensdiensteanbieter Medisign nun auf Hochtouren. Andernfalls könnten tausende Ärzte und Apotheker zum Jahreswechsel nur noch eingeschränkt die Telematikinfrastruktur (TI) nutzen und beispielsweise keine E-Rezepte mehr signieren oder die elektronische Patientenakte befüllen.

Bis zum 31. Dezember 2025 müssen alle eHBA und SMC-Bs Generation 2.0 durch Karten der Generation 2.1 ersetzt werden. Grund dafür ist die Umstellung der bisherigen Verschlüsselung mit RSA 2048 auf das ECC 256 (Elliptic Curve Cryptography). Damit kommen die Beteiligten den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik nach. ECC 256 bietet bei gleicher Sicherheitsstufe deutlich kürzere Schlüssellängen und damit schnellere Verarbeitungszeiten.

Für Apotheken ist die Lage ebenfalls brenzlig, wie die Pharmazeutische Zeitung in ihrem Beitrag verdeutlicht hatte. Versicherte können in betroffenen Apotheken dann keine E-Rezepte mehr einlösen. Speziell für Apotheken führen Ausfälle und TI-Störungen zu Verlusten, weshalb Apotheker kürzlich erneut mehr Zuverlässigkeit beim E-Rezept gefordert hatten.

Laut Angaben der Gematik müssen auch noch 13.000 Konnektoren getauscht werden, die nur RSA-fähig sind. Im Mai hatte die Kassenärztliche Bundesvereinigung (KBV) bereits vor Engpässen gewarnt und gefordert, die Frist zu verlängern, wie es auch in anderen Ländern beschlossen wurde.

Produktion läuft auf Hochdruck

Eine Sprecherin von Medisign räumt gegenüber heise online ein: „Durch die Umstellung auf ein komplett neues Antrags- und Produktionssystem ist es leider zu einem Zeitverzug in der Kartenproduktion von etwa vier Wochen gekommen. Die Daten vom Altsystem mussten ins neue System migriert werden, was sich als sehr komplex und aufwändig erwiesen hat. Mit Hochdruck arbeiten wir aktuell daran, verschiedene Prozesse und Funktionalitäten bei der Kartenbeantragung zu optimieren.“

Mit einer neuen Produktionsstraße wolle man pro 6-Tage-Woche bis zu 15.600 Karten ausstellen. So will der Vertrauensdienstanbieter den Sondertausch planmäßig bis Jahresende abschließen. Bereits in den ersten drei Tagen nach der Umstellung, am 27. September, seien 2.511 SMC-B und eHBA produziert worden. Medisign habe den Produktionsrückstand wieder aufgeholt.

Zudem sollen alle betroffenen Praxen und Apotheken rechtzeitig per E-Mail informiert werden. Kunden will Medisign außerdem ein „vereinfachtes, mit der Gematik abgestimmtes Verfahren anbieten: Dabei wird ausschließlich die Karte selbst getauscht – eine erneute Identifizierung ist nicht erforderlich, wenn sich die Ausweisdaten nicht geändert haben“, so die Sprecherin.

Sicherheitsforscherin Bianca Kastl sagt zum Tausch der Karten: „Traditionell ist das Problem kryptographischen Materials in der Telematikinfrastruktur, dass die Identifizierung oder die korrekte Zustellung von Karten schwach überprüft wird. Sofern neue Karten nicht wieder einfach so an die Käsetheke geliefert werden können und stattdessen sicher mit Identifikation zugestellt werden, mag das für einen Tausch der Karten reichen. Andernfalls ergeben sich hier neue Angriffsszenarien“.

Die Probleme bei Medisign reihen sich ein in eine Serie von Schwierigkeiten bei der Digitalisierung des Gesundheitswesens. Erst im August gab es Kompatibilitätsprobleme zwischen CGM-Praxissoftware und Rise-Konnektoren, die wochenlang den Zugriff auf die elektronische Patientenakte verhinderten. Für die Weiterentwicklung der TI setzt die Gematik künftig auf ein Zero-Trust-Sicherheitskonzept, das ab Mitte 2026 schrittweise eingeführt werden soll. Erst kürzlich hatte Bundesgesundheitsministerin Nina Warken ein Update der Digitalisierungsstrategie angekündigt – dies soll auch der Betriebsstabilität der TI zugute kommen.

(mack)