Infolge der Umstellung der Verschlüsselung von RSA auf Elliptic Curve Cryptography (ECC) müssen zahlreiche Komponenten wie elektronische Heilberufsausweise ausgetauscht werden. Nach einer Fristverlängerung muss dies bis spätestens Ende Juni 2026 passieren. Einigen Ärzten, die bereits über ECC-Karten verfügen, droht jedoch ein weiterer Tausch: „Karten mit dem betroffenen Infineon-Chip, die das ECC-Verfahren nutzen, dürfen nur noch bis spätestens 30. Juni 2026 für qualifizierte elektronische Signaturen eingesetzt werden“, heißt es in der Information von D-Trust. Wie viele das betrifft, sagen die Verantwortlichen nicht.

Die Gematik schreibt dazu: „Die Schwachstelle betrifft ausschließlich den Verschlüsselungsalgorithmus ECC eines Kartenproduktes eines bestimmten Herstellers und ist mittlerweile behoben. Alle betroffenen Karten sind also bereits ECC-fähig. Im Rahmen der Umstellung von RSA zu ECC wurden den Kund:innen Karten ausgeliefert, die nicht von der Schwachstelle betroffen sind“.

Die Maßnahmen erfolgen in enger Abstimmung zwischen BSI, Bundesnetzagentur und Gematik. Aus regulatorischen und technischen Gründen werden alle betroffenen eHBAs sukzessive bis zu dem genannten Datum gesperrt.

Betroffen sind eHBA der Generation 2.1 der Anbieter SHC+Care und D-Trust, die auf Karten des Herstellers Idemia mit Infineon-Chips basieren. Für diese Chips war im September 2024 eine Schwachstelle in der ECDSA-Implementierung der Infineon-Kryptobibliotheken bekannt geworden (EUCLEAK). Die Gematik entzog den betroffenen Karten daraufhin im Januar 2025 durch einen Verwaltungsakt die Zulassung.

Während D-Trust nach dem Entzug der Zulassung kurzfristig auf Karten des Herstellers Giesecke+Devrient umstellen konnte, ging SHC+Care juristisch gegen die Entscheidung der Gematik vor. Das Unternehmen klagte gegen den Zulassungsentzug der betroffenen Idemia-Karten und bekam vor dem Sozialgericht Schleswig Recht. Später bestätigte das Landessozialgericht Schleswig-Holstein das Urteil (Aktenzeichen: L 5 KR 38/25 B ER). Das Sozialgericht habe zudem festgestellt, dass die Telematikinfrastruktur selbst nicht betroffen sei und keine akute Gefahr bestehe.

Auch mit den betroffenen Karten ließen sich weiterhin gültige qualifizierte elektronische Signaturen erzeugen. Für die erfolgreiche Seitenkanalattacke EUCLEAK wären sowohl physischer Zugriff auf den Ausweis als auch die Kenntnis der individuellen PIN sowie Spezialausrüstung und Expertenwissen erforderlich.

So erkennen Betroffene ihre Karte

Nach Angaben von D-Trust lassen sich betroffene Karten einfach identifizieren: Auf der Rückseite ist der Schriftzug „Idemia“ aufgedruckt. Karten mit dem Schriftzug „G&D“ stammen vom Hersteller Giesecke+Devrient und sind nicht betroffen. Diese liefert D-Trust bereits seit Februar 2025 aus. Kunden mit betroffenen Karten werden laut D-Trust direkt per E-Mail informiert und müssen nicht selbst aktiv werden. Erste Ärzte sind nach Kenntnissen von heise online bereits von D-Trust informiert worden.

„Der Austausch der betroffenen eHBAs hat im Januar 2026 gestartet. Dafür werden alle Kundinnen und Kunden persönlich kontaktiert und über die Austauschmöglichkeiten informiert“, heißt es von D-Trust auf Anfrage. Betroffene könnten „ihren bisherigen eHBA kostenfrei gegen eine Ersatzkarte mit identischer Laufzeit eintauschen. Alternativ kann auch eine Folgekarte mit einer neuen Laufzeit von fünf Jahren bestellt werden. Für die meisten Berufsgruppen gilt für Folgekarten auch ein Preisnachlass von 20 Prozent. Ebenfalls von der Schwachstelle betroffene Signatur- und Siegelkarten der D-Trust wurden bereits bis Ende 2025 ausgetauscht“, so D-Trust und verwies auf seine FAQ.

Laut SHC betreffe der Austausch „nur einen begrenzten Teil der von uns ausgegebenen eHBA“. Der Austausch sei bereits 2025 gestartet. „Ein signifikanter Teil der betroffenen Karten wurde bereits ausgetauscht, die verbleibenden erfolgen sukzessive“. Das Unternehmen will sicherstellen, alle Karten vor Fristende auszutauschen. „Der Austausch erfolgt so, dass den betroffenen Kundinnen und Kunden keinerlei Nachteile finanzieller Art oder im Praxisbetrieb entstehen“, sagte SHC gegenüber heise online.

(mack)

In der Schweizer Hauptstadt Bern wurde ein Anbieter von Leihfahrrädern von der Abschaltung des 3G-Mobilfunknetzes der Swisscom kalt erwischt. Seit Mittwoch ist ein Teil der Flotte nicht mehr ausleihbar. Für zusätzliche Verwirrung sorgt, dass Kunden für modernere Räder, die ohne 3G funktionieren, eine neue App benötigen. Die Swisscom habe dem Anbieter Publibike aber zugesichert, dass das Netz vorerst wieder eingeschaltet werden soll.

Wie die „Berner Zeitung“ berichtet, spekulierte Publibike offenbar darauf, dass die Swisscom für die schrittweise Abschaltung mehr Zeit nimmt. In der Zwischenzeit sollten alte Fahrräder durch neue ersetzt und die Kunden auf die neue App umgestellt werden. Das Hauptproblem ist offenbar das Fahrradschloss, das der Anbieter verwendet. Dieses kommuniziert per UMTS mit den Servern des Anbieters. Neuere Fahrräder haben ein anderes Schloss, das mit neueren Mobilfunkstandards betrieben wird.

Neue App und nur wenige Räder

Nutzer werden von Publibike angehalten, auf die neue App „Publibike Velospot (Zone 1)“ umzusteigen. Die neueren Räder mit runden Schlössern waren aber diese Woche teilweise noch in der Unterzahl. So hätten etwa am Bahnhof Bern als zentraler Verkehrsknotenpunkt nur drei nutzbare Räder zur Verfügung gestanden, berichten lokale Medien. Dutzende funktionierten nicht mehr.

Die Swisscom hatte die Abschaltung des 3G-Netzes bereits im März 2022 angekündigt. Bis Ende des Jahres 2025 wurde der Betrieb noch garantiert. Seit Anfang 2026 läuft schrittweise die Abschaltung. Der Mobilfunknetzbetreiber möchte die frei werdenden Frequenzen und die Antennenkapazität künftig für 4G und 5G einsetzen. Zudem sorgte der Weiterbetrieb des kaum noch genutzten Mobilfunkstandards für zusätzliche Stromkosten, die künftig entfallen.

Anbieter hoffte auf längere Übergangszeit

Publibike hatte offenbar darauf gehofft, noch bis Ende Februar Zeit zu haben, um die Umstellung der Räder abzuschließen. Ursprünglich, so Lokalmedien, sei sogar von noch mehr Zeit ausgegangen worden. Eigentlich sah ein zum Jahresbeginn in Kraft getretener neuer Vertrag mit der Stadt sogar einen Ausbau des Angebots an Leihrädern vor. Jetzt geht es zunächst einmal darum, dass die Nutzer überhaupt im bisherigen Maße weiterhin die Räder verwenden können.

(mki)

In der digitalen Strafverfolgung fallen Landesgrenzen künftig schneller als je zuvor. Der Bundestag hat am Donnerstag den Weg für eine tiefgreifende Reform der grenzüberschreitenden Beweissicherung freigemacht. Mit den Stimmen der Koalition aus CDU/CSU und SPD beschloss das Parlament das sogenannte Elektronische-Beweismittel-Umsetzungs-und-Durchführungsgesetz. Damit wollen die Abgeordneten das E-Evidence-Paket der EU verspätet in nationales Recht gießen. Es soll Ermittlern den direkten Zugriff auf Daten bei Providern im EU-Ausland ermöglichen, ohne den langwierigen Weg über klassische Rechtshilfeersuchen gehen zu müssen.

Kernstück der Neuregelung ist ein System aus europäischen Herausgabe- und Sicherungsanordnungen. Berechtigte Behörden können künftig Inhaltsdaten wie E-Mails und Chatnachrichten, Verbindungs- und Standortdaten inklusive IP-Adressen sowie Identifizierungsinformationen direkt bei Diensteanbietern wie Google, Meta oder Microsoft anfordern. Das gilt auch, wenn diese ihren Sitz in einem anderen Mitgliedstaat haben.

Die Bundesregierung rechtfertigt diesen Schritt mit der Realität moderner Kriminalität. Da digitale Medien bei der Planung und Durchführung von Straftaten eine immer dominantere Rolle spielen, müsse auch die Justiz ihre Werkzeuge ans digitale Zeitalter anpassen. Wo früher Monate vergingen, um über diplomatische Kanäle Serverdaten zu sichern, sollen künftig klare Fristen und direkte Kommunikationswege für Tempo sorgen.

Opposition geschlossen dagegen

Doch die Beschleunigung der Ermittlungen sorgt für heftigen Gegenwind bei der Opposition und Bürgerrechtlern. Die Missbilligung nährt sich vor allem durch die Sorge, dass rechtsstaatliche Standards auf dem Altar der europäischen Kooperation geopfert werden. Die Fraktionen der Grünen, Linken und AfD stimmten daher geschlossen gegen den Entwurf.

Zentraler Streitpunkt ist die Rolle der Justiz bei der Prüfung dieser Anordnungen. Gegner monierten, dass der Rechtsschutz für Betroffene erhebliche Lücken aufweise. So sollen Staatsanwaltschaften beurteilen, ob Vorbehalte geltend gemacht werden müssten. Eine zwingende gerichtliche Beteiligung ist nicht vorgesehen.

Anwaltsverbände halten das für unzureichend. Sie befürchten, dass nachgelagerte Rechtsschutzmöglichkeiten faktisch entwertet werden: Betroffene erfahren oft erst dann von dem Zugriff, wenn die Daten bereits übermittelt wurden. Dass der Schutz von Berufsgeheimnisträgern im neuen Vollstreckungsverfahren nicht lückenlos garantiert ist, werten Kritiker als „Kapitulation vor der Regelungsgewalt der EU“.

Die Koalition versuchte, diese Bedenken durch kurzfristige Änderungen und einen Entschließungsantrag abzufedern. So soll unter anderem geprüft werden, ob eine verbesserte Kommunikation zwischen Vollstreckungsbehörden und Providern helfen kann, Ablehnungsgründe frühzeitig zu klären.

Maßnahmen greifen zu kurz

Doch für die Opposition greifen diese Maßnahmen zu kurz. Die Grünen forderten vergeblich einen strikten Gleichlauf zwischen nationalen Ermittlungsbefugnissen und grenzüberschreitenden Rechten. Sie wollten sicherstellen, dass ausländische Behörden in Deutschland nicht mehr dürfen als die heimische Polizei.

Der Bundesrat meldete bereits Appetit auf mehr digitale Daten an. Die Bundesregierung soll sich ihm zufolge auf EU-Ebene dafür einsetzen, dass digitale Spuren künftig nicht nur zur Verfolgung, sondern auch zur aktiven Verhütung von Straftaten genutzt werden dürfen.

Dieser Vorstoß dürfte die Debatte über die Vorratsdatenspeicherung erneut befeuern. Für Internetnutzer bedeutet der Beschluss jedenfalls eine Zäsur: Der physische Standort eines Servers verliert als Schutzwall für die Privatsphäre gegenüber staatlichen Zugriffen weiter an Bedeutung.

(vbr)