Infolge der Umstellung der Verschlüsselung von RSA auf Elliptic Curve Cryptography (ECC) müssen zahlreiche Komponenten wie elektronische Heilberufsausweise ausgetauscht werden. Nach einer Fristverlängerung muss dies bis spätestens Ende Juni 2026 passieren. Einigen Ärzten, die bereits über ECC-Karten verfügen, droht jedoch ein weiterer Tausch: „Karten mit dem betroffenen Infineon-Chip, die das ECC-Verfahren nutzen, dürfen nur noch bis spätestens 30. Juni 2026 für qualifizierte elektronische Signaturen eingesetzt werden“, heißt es in der Information von D-Trust. Wie viele das betrifft, sagen die Verantwortlichen nicht.

Die Gematik schreibt dazu: „Die Schwachstelle betrifft ausschließlich den Verschlüsselungsalgorithmus ECC eines Kartenproduktes eines bestimmten Herstellers und ist mittlerweile behoben. Alle betroffenen Karten sind also bereits ECC-fähig. Im Rahmen der Umstellung von RSA zu ECC wurden den Kund:innen Karten ausgeliefert, die nicht von der Schwachstelle betroffen sind“.

Die Maßnahmen erfolgen in enger Abstimmung zwischen BSI, Bundesnetzagentur und Gematik. Aus regulatorischen und technischen Gründen werden alle betroffenen eHBAs sukzessive bis zu dem genannten Datum gesperrt.

Betroffen sind eHBA der Generation 2.1 der Anbieter SHC+Care und D-Trust, die auf Karten des Herstellers Idemia mit Infineon-Chips basieren. Für diese Chips war im September 2024 eine Schwachstelle in der ECDSA-Implementierung der Infineon-Kryptobibliotheken bekannt geworden (EUCLEAK). Die Gematik entzog den betroffenen Karten daraufhin im Januar 2025 durch einen Verwaltungsakt die Zulassung.

Während D-Trust nach dem Entzug der Zulassung kurzfristig auf Karten des Herstellers Giesecke+Devrient umstellen konnte, ging SHC+Care juristisch gegen die Entscheidung der Gematik vor. Das Unternehmen klagte gegen den Zulassungsentzug der betroffenen Idemia-Karten und bekam vor dem Sozialgericht Schleswig Recht. Später bestätigte das Landessozialgericht Schleswig-Holstein das Urteil (Aktenzeichen: L 5 KR 38/25 B ER). Das Sozialgericht habe zudem festgestellt, dass die Telematikinfrastruktur selbst nicht betroffen sei und keine akute Gefahr bestehe.

Auch mit den betroffenen Karten ließen sich weiterhin gültige qualifizierte elektronische Signaturen erzeugen. Für die erfolgreiche Seitenkanalattacke EUCLEAK wären sowohl physischer Zugriff auf den Ausweis als auch die Kenntnis der individuellen PIN sowie Spezialausrüstung und Expertenwissen erforderlich.

So erkennen Betroffene ihre Karte

Nach Angaben von D-Trust lassen sich betroffene Karten einfach identifizieren: Auf der Rückseite ist der Schriftzug „Idemia“ aufgedruckt. Karten mit dem Schriftzug „G&D“ stammen vom Hersteller Giesecke+Devrient und sind nicht betroffen. Diese liefert D-Trust bereits seit Februar 2025 aus. Kunden mit betroffenen Karten werden laut D-Trust direkt per E-Mail informiert und müssen nicht selbst aktiv werden. Erste Ärzte sind nach Kenntnissen von heise online bereits von D-Trust informiert worden.

„Der Austausch der betroffenen eHBAs hat im Januar 2026 gestartet. Dafür werden alle Kundinnen und Kunden persönlich kontaktiert und über die Austauschmöglichkeiten informiert“, heißt es von D-Trust auf Anfrage. Betroffene könnten „ihren bisherigen eHBA kostenfrei gegen eine Ersatzkarte mit identischer Laufzeit eintauschen. Alternativ kann auch eine Folgekarte mit einer neuen Laufzeit von fünf Jahren bestellt werden. Für die meisten Berufsgruppen gilt für Folgekarten auch ein Preisnachlass von 20 Prozent. Ebenfalls von der Schwachstelle betroffene Signatur- und Siegelkarten der D-Trust wurden bereits bis Ende 2025 ausgetauscht“, so D-Trust und verwies auf seine FAQ.

Laut SHC betreffe der Austausch „nur einen begrenzten Teil der von uns ausgegebenen eHBA“. Der Austausch sei bereits 2025 gestartet. „Ein signifikanter Teil der betroffenen Karten wurde bereits ausgetauscht, die verbleibenden erfolgen sukzessive“. Das Unternehmen will sicherstellen, alle Karten vor Fristende auszutauschen. „Der Austausch erfolgt so, dass den betroffenen Kundinnen und Kunden keinerlei Nachteile finanzieller Art oder im Praxisbetrieb entstehen“, sagte SHC gegenüber heise online.

(mack)

In der digitalen Strafverfolgung fallen Landesgrenzen künftig schneller als je zuvor. Der Bundestag hat am Donnerstag den Weg für eine tiefgreifende Reform der grenzüberschreitenden Beweissicherung freigemacht. Mit den Stimmen der Koalition aus CDU/CSU und SPD beschloss das Parlament das sogenannte Elektronische-Beweismittel-Umsetzungs-und-Durchführungsgesetz. Damit wollen die Abgeordneten das E-Evidence-Paket der EU verspätet in nationales Recht gießen. Es soll Ermittlern den direkten Zugriff auf Daten bei Providern im EU-Ausland ermöglichen, ohne den langwierigen Weg über klassische Rechtshilfeersuchen gehen zu müssen.

Kernstück der Neuregelung ist ein System aus europäischen Herausgabe- und Sicherungsanordnungen. Berechtigte Behörden können künftig Inhaltsdaten wie E-Mails und Chatnachrichten, Verbindungs- und Standortdaten inklusive IP-Adressen sowie Identifizierungsinformationen direkt bei Diensteanbietern wie Google, Meta oder Microsoft anfordern. Das gilt auch, wenn diese ihren Sitz in einem anderen Mitgliedstaat haben.

Die Bundesregierung rechtfertigt diesen Schritt mit der Realität moderner Kriminalität. Da digitale Medien bei der Planung und Durchführung von Straftaten eine immer dominantere Rolle spielen, müsse auch die Justiz ihre Werkzeuge ans digitale Zeitalter anpassen. Wo früher Monate vergingen, um über diplomatische Kanäle Serverdaten zu sichern, sollen künftig klare Fristen und direkte Kommunikationswege für Tempo sorgen.

Opposition geschlossen dagegen

Doch die Beschleunigung der Ermittlungen sorgt für heftigen Gegenwind bei der Opposition und Bürgerrechtlern. Die Missbilligung nährt sich vor allem durch die Sorge, dass rechtsstaatliche Standards auf dem Altar der europäischen Kooperation geopfert werden. Die Fraktionen der Grünen, Linken und AfD stimmten daher geschlossen gegen den Entwurf.

Zentraler Streitpunkt ist die Rolle der Justiz bei der Prüfung dieser Anordnungen. Gegner monierten, dass der Rechtsschutz für Betroffene erhebliche Lücken aufweise. So sollen Staatsanwaltschaften beurteilen, ob Vorbehalte geltend gemacht werden müssten. Eine zwingende gerichtliche Beteiligung ist nicht vorgesehen.

Anwaltsverbände halten das für unzureichend. Sie befürchten, dass nachgelagerte Rechtsschutzmöglichkeiten faktisch entwertet werden: Betroffene erfahren oft erst dann von dem Zugriff, wenn die Daten bereits übermittelt wurden. Dass der Schutz von Berufsgeheimnisträgern im neuen Vollstreckungsverfahren nicht lückenlos garantiert ist, werten Kritiker als „Kapitulation vor der Regelungsgewalt der EU“.

Die Koalition versuchte, diese Bedenken durch kurzfristige Änderungen und einen Entschließungsantrag abzufedern. So soll unter anderem geprüft werden, ob eine verbesserte Kommunikation zwischen Vollstreckungsbehörden und Providern helfen kann, Ablehnungsgründe frühzeitig zu klären.

Maßnahmen greifen zu kurz

Doch für die Opposition greifen diese Maßnahmen zu kurz. Die Grünen forderten vergeblich einen strikten Gleichlauf zwischen nationalen Ermittlungsbefugnissen und grenzüberschreitenden Rechten. Sie wollten sicherstellen, dass ausländische Behörden in Deutschland nicht mehr dürfen als die heimische Polizei.

Der Bundesrat meldete bereits Appetit auf mehr digitale Daten an. Die Bundesregierung soll sich ihm zufolge auf EU-Ebene dafür einsetzen, dass digitale Spuren künftig nicht nur zur Verfolgung, sondern auch zur aktiven Verhütung von Straftaten genutzt werden dürfen.

Dieser Vorstoß dürfte die Debatte über die Vorratsdatenspeicherung erneut befeuern. Für Internetnutzer bedeutet der Beschluss jedenfalls eine Zäsur: Der physische Standort eines Servers verliert als Schutzwall für die Privatsphäre gegenüber staatlichen Zugriffen weiter an Bedeutung.

(vbr)

Das Ende ist nah: 2028 beginnen die ersten deutschen Mobilfunker, ihr GSM-Netz abzuschalten. Neben meist älteren IoT- und M2M-Anwendungen betrifft das vor allem das Notrufsystem. Seitdem das UMTS-Netz in Deutschland 2021 in den Ruhestand geschickt wurde, konnte bislang im Notfall immer eine Verbindung über GSM hergestellt werden.

Das GSM-Netz wird noch genutzt, von älteren Autos und ihrem E-Call-System über Aufzüge bis hin zum klassischen, alten Mobiltelefon. Doch die anstehende Abschaltung von GSM droht hier Löcher zu reißen. Nun warnt die Europäische Vereinigung für Notrufnummern (EENA) vor Problemen – und fordert eine Abschaltpause.

Probleme in Schweden

In Schweden hatten die meisten Netzbetreiber im Dezember 2025 ihre GSM- und UMTS-Netze abgeschaltet. Handys sollen für Notrufe dann automatisch das einzig verbliebene GSM-Netz von Telia nutzen. Allerdings klappt das offenbar häufig nicht, sondern nur, wenn die SIM-Karte zuvor aus dem Gerät entfernt wurde.

In Australien war es zu einem Todesfall gekommen, nachdem Angehörige mit einem älteren Samsung-Telefon keine Verbindung zur Notrufzentrale herstellen konnten. Auch gab es auf dem Kontinent Probleme mit älteren iPhones.

Die EENA hält ein Abschaltmoratorium angesichts dieser Erfahrungen für zwingend. Zu schnelles Abschalten könne Menschen in Gefahr bringen, wenn sie den Notruf am dringendsten benötigen, so die Sorge. Alle Beteiligten müssten nun daran arbeiten, dass die bekannten Probleme adressiert würden, erst anschließend solle die Abschaltung weitergehen.

Deutschland schaltet ab

Am drängendsten ist das Abschaltproblem in Deutschland bei der Deutschen Telekom, die 2G im Sommer 2028 in Rente schicken will, Vodafone lässt sich noch etwas mehr Zeit – 2030 ist mit GSM dort Schluss. Telefónica hat für das O2-Netz bislang kein Abschaltdatum bekanntgegeben. 1&1 hat kein eigenes GSM-Netz, nutzt hier jedoch derzeit das Vodafone-Netz mit, weshalb auch hier wohl 2030 das Enddatum sein wird.

Erst vor einer Woche haben die Netzbetreiber zusammen das neue eCall-NG-System für Notrufe in 4G- und 5G-Funknetzen von den Betreibern in Deutschland gestartet, das nun der neue Standard für automatische Notrufe aus Neuwagen werden soll.

(vbr)