Austausch hunderttausender TI-Komponenten droht

Berlin – Die Kassenärztliche Bundesvereinigung (KBV) fordert von der Gematik eine Notlösung, um den notwendigen Austausch hunderttausender Komponenten für die Telematikinfrastruktur (TI) in Arztpraxen hinauszuzögern. Ansonsten drohe, dass die ambulante Versorgung ab dem kommenden Jahr „grundlegend gestört“ wird.

Hintergrund ist der Austausch der Verschlüsselungsalgorithmen in der TI. Aktuell wird dort der RSA2048-Algorithmus verwendet – nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur allerdings nur noch bis Ende des Jahres.

Um danach weiter zu funktionieren, müssen Konnektoren, elektronische Heilberufsausweise (eHBA), Institutionenausweise (gSMC-B) und andere Komponenten bis dahin vom RSA- auf das ECC-Verschlüsselungsverfahren umgestellt werden.

Aktuellen Zahlen der Gematik zufolge seien davon hunderttausende Komponenten betroffen, heißt es in einem Schreiben der KBV, das dem Deutschen Ärzteblatt vorliegt. So müssten jene 35.000 Konnektoren ausgetauscht werden, deren Hardware ausschließlich RSA-fähig ist und die im Jahr 2023 eine Laufzeitverlängerung erhalten haben. Auch diesem Verfahren war damals schon ein längeres politisches Hin und Her vorausgegangen.

Betroffen sind laut KBV aber auch rund 100.000 eHBA, 30.000 SMC-B sowie 160.000 gerätespezifischen Karten für die für die eHealth-Terminals (gSMC-KT). Die Primärsysteme der Praxen, ihre Konnektor-Konfigurationen und die Client-Systeme für den Kommunikationsdienst KIM müssten zudem aktualisiert werden.

Da die Arztpraxen bei der Anbindung an die TI und der Einführung von deren Anwendungen eine Vorreiterrolle eingenommen hätten, sei davon auszugehen, dass sich der Großteil der betroffenen Komponenten ebendort befindet.

Würden die betroffenen Komponenten nicht bis Jahresende ausgetauscht oder aktualisiert, könnten die Praxen danach keine TI-Anwendungen mehr nutzen, da beispielsweise für elektronische Rezepte oder elektronische Arztbriefe keine gültige Qualifizierte Elektronische Signatur (QES) mehr erstellt werden könnte.

„Die Regelversorgung der Patientinnen und Patienten wäre somit grundlegend gestört“, mahnt KBV-Vorstandsmitglied Sibylle Steiner. „Der Rückgriff auf eine flächendeckende Verwendung von papiergebundenen Ersatzverfahren für das Ausstellen von Arzneimittelrezepten und Arbeitsunfähigkeitsbescheinigungen wäre die Folge.“

KBV und andere Gesellschafter hätten die Gematik bereits seit dem Sommer 2024 in verschiedenen Gesprächen und Gremiensitzungen regelmäßig darauf hingewiesen, dass es dringend notwendig sei, dieser Problematik mit entsprechenden Planungen zu begegnen.

Denn die KBV hält es nach eigenen Angaben für nicht mehr realisierbar, einen solchen flächendeckenden Austausch bis Jahresende über die Bühne zu bringen. Mit Blick auf die Erfahrungen mit ähnlichen Projekten und Zeitplänen sei die Zahl der auszutauschenden Komponenten und der damit verbundene Aufwand schlicht zu groß.

Das gelte insbesondere deshalb, weil noch nicht einmal alle Spezifikationen, Implementierungsleitfäden und Test-Tools der Gematik für die ECC-Migration zur Verfügung stünden. Auch ein umfassender Migrationsplan der Gematik liege nach Wissen der KBV noch nicht vor. Es sei daher erwartbar, dass die Industrie die neuen Komponenten gar nicht fristgerecht bereitstellen könnte.

Trotzdem halte die Fachebene der Gematik bisher an der Frist und dem Stichtag für die ECC-Migration fest. Das sei „in keiner Weise akzeptabel“, kritisiert Steiner. „Die Betriebsbereitschaft der TI ist spätestens mit der flächendeckenden Einführung des E-Rezepts zu einem Schlüsselfaktor für die Versorgung geworden.“

Daher fordere sie Gematik-Geschäftsführer Florian Fuhrmann dringend auf, sich bei den verantwortlichen Stellen für eine Verlängerung der Nutzungsdauer der RSA-Algorithmen zumindest im Gesundheitswesen einzusetzen. Nach Auffassung der KBV müssten diese realistischerweise bis Ende 2027 weiterhin verwendet werden können.

Dass dies ohne unvertretbare Abstriche bei der Sicherheit möglich sei, würden andere Länder zeigen. So erlaube beispielsweise Frankreich die Verwendung von RSA2048 noch bis Ende 2030.

Die Gematik hingegen verteidigt das Vorgehen. „Wir nehmen die Sorgen der KBV über einen ambitionierten Zeitplan sehr ernst und stehen daher auch laufend mit unseren Gesellschaftern im Austausch“, erklärt eine Sprecherin auf Anfrage. Trotzdem sehe man den Wechsel der Verschlüsselungsmethode zum Jahresende als notwendig an.

Es handele sich um eine zentrale Maßnahme, damit TI-Komponenten und Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet seien. Dabei orientiere sich die Gematik an den Empfehlungen und Vorgaben der obersten Sicherheitsbehörden und international anerkannten Standards.

Konkret basiere der aktuell vorgesehene Zeitplan auf den Empfehlungen des BSI und Vorgaben der Bundesnetzagentur für die QES – die wiederum in die Regelungskompetenz der Bundesnetzagentur falle.

„Alle Beteiligten arbeiten mit Hochdruck daran, die Migration von RSA auf ECC schnellstmöglich voranzutreiben und den Übergang so reibungslos wie möglich zu gestalten“, versichert die Gematik. Dabei werde sie Gesellschafter, Behörden und Unternehmen einbinden und auf dem Laufenden halten.

lau