SMC-B: So lassen sich Probleme beim TI-Zugang lösen

Zu Verbindungsproblemen kommt es, wenn für den TI-Zugang inzwischen abgelaufene RSA-Zertifikate der SMC-B genutzt werden - und nicht die gültigen ECC-Zertifikate, so wie es vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ja ab Anfang 2026 vorgesehen war.

Die Probleme liegen nicht an der SMC-B selbst, sondern sind im Wechsel des Verschlüsselungsalgorithmus begründet.

Potenziell betroffen sind Praxen und Apotheken, die im Zeitraum November-Dezember 2024 eine SMC-B bei medisign beantragt haben - das sind maximal 2.100 SMC-B-Inhaber. Wer davon bereits mit dem ECC-Zertifikat am VPN-Zugangsdienst registriert war/ist, hat keinerlei Probleme mit dem TI-Zugang.

Zum Hintergrund: Im Jahr 2024 hatte die gematik beschlossen, dass die Nutzung von RSA-2048-Zertifikaten für SMC-B nur bis zum 31.12.2025 erlaubt sein wird. Daher hatte medisign im November 2024 bei den SMC-B der Generation 2.1 die Gültigkeit der RSA-Zertifikate auf den 31.12.2025 beschränkt.

Nachdem im Dezember 2024 erste Gerüchte aufkamen, dass das RSA-Verschlüsselungverfahren für die SMC-B u. U. doch verlängert werden könnte, hatte medisign die Laufzeitbeschränkung der RSA-Zertifikate auf den SMC-B wieder umgestellt und der Laufzeit der ebenfalls auf den Karten enthaltenen ECC-Zertifikate angeglichen.

Im genannten Zeitraum November-Dezember 2024 wurden ca. 2.100 SMC-B ausgeliefert, deren RSA-Zertifikate seit dem 01.01.2026 ungültig, deren ECC-Zertifikate jedoch weiterhin gültig sind.
Die im Jahr 2025 ausgiebig durchgeführten ECC-Testwochen der gematik haben gezeigt, dass auch diese SMC-B mit ECC-only-Zertifikaten problemlos in der TI genutzt werden können - durch eine Neuregistrierung des Konnektors wie oben beschrieben.

Da seitens der Bundesnetzagentur (BNetzA) bereits seit März 2022 bekannt war, dass für qualifizierte elektronische Signaturen (QES) die Nutzung von RSA-2048-Zertifikaten bis zum 31.12.2025 befristet ist, hat medisign bei seinen eHBA der Generation 2.1, welche sowohl mit RSA- als auch ECC-Zertifikaten bestückt sind, die Laufzeit der RSA-QES-Zertifikate auf den 31.12.2025 beschränkt.

Dies führt dazu, dass seit dem 01.01.2026 mit diesen Ausweisen nicht mehr mit dem inzwischen ungültigen RSA-Zertifikat, sondern ausschließlich mit dem ECC-Zertifikat qualifiziert signiert werden kann.

Grundsätzlich muss die Praxis-/Apothekensoftware so eingestellt sein, dass sie für die Signatur präferiert ein vorhandenes ECC-Zertifikat verwendet. Erst, wenn dieses nicht vorhanden sein sollte (so wie bei Ausweisen der Generation 2.0 der Fall), sollte auf RSA-Zertifikat zurückgegriffen werden.

Im November 2025 hatte die gematik gemeinsam mit der Bundesnetzagentur und der eIDAS-Zertifizierungsstelle SRC eine Übergangsregelung bezüglich älterer eHBA der Generation 2.0 (RSA-only) geschaffen. Demnach kann mit eHBA 2.0  bis zum bis zum 30.06.2026 ausnahmsweise weiterhin mit RSA-2048-Zertifikaten qualifiziert signiert werden, was bei entsprechender Softwareeinstellung auch weiterhin funktioniert.

Während elektronische Heilberufsausweise (eHBA) der Kartengeneration 2.0 ausschließlich über RSA-Zertifikate (RSA-only) verfügen, besitzen Ausweise der Generation 2.1 neben den RSA- auch ECC-Zertifikate. Das bedeutet, dass auf diesen Karten insgesamt sechs Zertifikate enthalten sind: je eines für die qualifizierte Signatur (QES), die Verschlüsselung (ENC) und die Authentifizierung (AUT).

Seit dem 01.01.2026 geben alle Hersteller eHBA heraus, die ausschließlich über ECC-Zertifikate verfügen (ECC-only).

ECC-Zertifikate basieren auf der Elliptischen-Kurven-Kryptografie und erfüllen damit die aktuell höchsten Sicherheitsstandards.

• Bundesamt für Sicherheit in der Informationstechnik (BSI): "Technische Richtlinie: Kryptographische Verfahren: Empfehlungen und Schlüssellängen"
• Bundesnetzagentur: "Zeitnaher Ablauf der Eignung von RSA2048"
• gematik: "Aktuelle Information TI-Verschlüsselungsalgorithmen: Umstellung von RSA auf ECC" (14.11.2025)
• gematik-Leitfaden: "TI-Verschlüsselung: Umstellung von RSA auf ECC" (PDF, 12/25)