Gesundheitswesen: Dienstleister-Chaos, Frist für Heilberufsausweise verlängert

Nachdem tausende Ärzte und Apotheker Anfang des Jahres womöglich ohne gültigen elektronischen Heilberufsausweis dagestanden hätten, können sie nun aufatmen. Die Gematik hat die Frist für die Umstellung der Verschlüsselungsverfahren – RSA auf Elliptic Curve Cryptography (ECC) – bei elektronischen Heilberufsausweisen (eHBA) verlängert. Jetzt muss der neue eHBA erst spätestens Mitte 2026 in der Version 2.1 vorhanden sein. Für neue Institutionsausweise (SMC-Bs) gilt ebenfalls die Frist. Andernfalls hätten beispielsweise E-Rezepte ab Anfang 2026 nicht signiert werden können, was wiederum die Patientenversorgung beeinträchtigt hätte.

„RSA-only“-Konnektoren müssen laut Gematik jedoch „zwingend“ bis Ende des Jahres ausgetauscht werden, um eine sichere Verbindung zur Telematikinfrastruktur – der „Gesundheitsdatenautobahn“ – zu gewährleisten. Kartenterminals mit RSA-Verschlüsselung hingegen dürfen noch bis Ende 2026 genutzt werden. RSA-Verschlüsselung gilt als veraltet, Elliptic Curve Cryptography hingegen als etwas sicherere Verschlüsselung – allerdings nicht als quantensicher.

Vorangegangen war mindestens ein Brandbrief der Kassenärzte mit Bitte um Fristverlängerung, eine erste Warnung erfolgte bereits im Mai. Grund für den weiteren Brief an die Verantwortlichen sind Produktions- und Ausgabeschwierigkeiten bei den eHBA – maßgeblich beim Anbieter Medisign. Doch auch beim Vertrauensdienstanbieter D-Trust läuft es nicht rund. „Die Umstellung von aktuell noch knapp 10.000 Konnektoren mit RSA-Verschlüsselung – die sogenannten ‚RSA-only‘-Konnektoren – ist zwingend zum Jahresende notwendig, da eine Verlängerung dieser Zertifikate technisch ausgeschlossen ist,“ heißt es von der Gematik.

Durcheinander bei D-Trust

Mehrere Ärzte berichten gegenüber heise online von Vertauschungen beim Versand der eHBA. Die betroffenen Ärzte mussten die Karten auf eigene Kosten als Einschreiben zurückschicken, um Missbrauch zu verhindern. Eine Ärztin etwa wartete seit Juli auf ihren ursprünglich bei Medisign beantragten Ausweis, wechselte aufgrund ausbleibender Lieferung zu D-Trust – und erlebte dort eine Versandpanne.

„Offenbar ist es – so der aktuelle Sachstand – im Laufe der Woche bei der Produktion der Karten für den elektronischen Heilberufsausweis (eHBA) zu einer Störung im Versand gekommen, bei der es zu einer falschen Zuordnung von produzierten Karten zu den beschrifteten Lieferdokumenten kam“, teilte das Unternehmen auf Anfrage mit. Dadurch seien einige Karten an falsche Personen verschickt worden. Bestätigt sei derzeit eine einstellige Zahl von Fällen, man prüfe aber „mit Hochdruck“, ob weitere Karten betroffen sind.

D‑Trust betont, dass von den Pannen keine Sicherheitsgefahr ausgehe: Die falsch verschickten Karten seien nicht nutzbar, da sie erst nach Eingabe der jeweils passenden PIN aktiviert werden können – diese werde getrennt versendet und sei in keinem Fall an falsche Empfänger gegangen. Zudem habe das Unternehmen die betroffenen Karten umgehend gesperrt und die Gematik informiert. Man bedauere die Unannehmlichkeiten und arbeite daran, ein solches Problem künftig zu verhindern.

Signaturprobleme bei CGM

Auch Apotheken bekommen die Folgen der Umstellung zu spüren. Kunden einer CGM-Tochter, dem Apothekenverwaltungssystem von CGM Lauer, berichteten heise online, dass die Übertragung von E‑Rezepten ins Rechenzentrum nach dem Austausch des Konnektors von CGM (der Kocobox) teilweise nur mit erheblichem Mehraufwand möglich ist. Zwischenzeitlich mussten alle E-Rezepte, die von der Apotheke geändert oder ergänzt wurden, einzeln signiert werden.

CGM räumt vereinzelt technische Probleme ein: „Bei Kundinnen und Kunden, bei denen eine Erneuerung der TI‑Anbindung notwendig ist, sind in Relation nur in sehr wenigen Fällen Probleme mit der Stapelsignatur aufgetreten. Seit einer Anpassung des Installationsprozesses sind uns keine neuen Fälle bekannt geworden. Unser Support steht mit den betroffenen Kundinnen und Kunden in Kontakt und hat bereits in der Mehrzahl der Fälle eine Lösung herbeigeführt“, teilte das Unternehmen am Donnerstag mit.

(mack)