Neue Ausweise eHBA SMC-B ?

[turbotm]

Eine Kollegin schickte mir diese Mail
Weiß jemand davon?
Woran erkenne ich, was für einen Ausweis ich habe?

Austauschaktion: eHBA und SMC-B der Generation 2.0 werden ersetzt
Die elektronischen Heilberufsausweise (eHBA) sowie die Praxis- und Institutionsausweise (SMC-B) der Generation 2.0 müssen bis Ende dieses Jahres durch Karten der Generation 2.1 ersetzen werden.
Grundlage der Austauschaktion ist eine Anordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Demnach dürfen Ausweise, die ausschließlich auf dem Verschlüsselungsverfahren RSA basieren, ab dem 1. Januar 2026 nicht mehr eingesetzt werden – unabhängig von dem auf der Karte ausgewiesenen Gültigkeitsdatum. Auf der folgenden Seite der gematik finden Sie weitere Informationen zu diesem Thema.
Dementsprechend werden ab Sommer 2025 alle betroffenen Ausweise der Kartengeneration 2.0 (RSA only) durch neue Karten der Generation 2.1 ersetzt. Karten der neuesten Generation verfügen neben den bisherigen RSA-Zertifikaten auch ECDSA-Zertifikate, die die qualifizierte Signatur (QES), die Verschlüsselung (ENC) und die Authentifizierung (AUT) zusätzlich absichern.

Alle betroffenen Karteninhaber und Karteninhaberinnen werden frühzeitig direkt und persönlich von D-Trust per E-Mail kontaktiert und müssen nicht selbst aktiv werden.
Hier die weiteren Infos: https://www.d-trust.net/de/support/ehba

[Lazarus]

Das ist interessant, mal sehen, ob die anderen Kartenanbieter da auch mitmachen.
Der Kartenwechsel beim Praxisausweis ist nicht ganz ohne, wer bezahlt das ?

[FortiSecond]

Ich hoffe, dass es wie beim letzten Tausch auf 2.0 kostenfrei passiert.
Ein Anbieter, der nicht aus Kulanz oder vertragsbedingt durchtauscht, steht dümmer da als sein Kunde. Schließlich ist sein 5-Jahres-Produkt vorzeitig für unsicher erklärt worden.

Mich nervt viel mehr, dass die Arbeit wieder in der Fläche hängen bleibt. Der Austausch erfolgt ja nicht von selbst, ebensowenig wie eventuell Post-Ident und ganz sicher die Neuregistrierung des Konnektors und der KIM-Adressen, Freischaltungen, PIN-Vergabe und so weiter.

Aber keine Sorge: Immerhin werden diese beiden Ausweistypen nicht in den Slot gesiegelt. Wären ja auch fast 1,50 Euro pro Siegel im Viererpack, wenn man nach alters- oder zertifikattypbedingtem Tausch der gSMC-KT keine mehr haben sollte.
Ach, doch Sorge: Die gSMC-KT sind auch betroffen. Die muss man dann vorzeitig (kostenpflichtig) erwerben. Und neu pairen.

Sahnehäubchen aus Absurdistan gefällig?
Die neuen Ausweise tragen weiterhin neben dem neuen ECC-Zertifikat weiterhin ein RSA-Zertifikat.
Das lässt sich angesichts der vom BSI erklärten Unsicherheit nur noch mit Gefälligkeit gegenüber trägen Entwicklern erklären. Denn konsequent wäre, die Nutzung der "unsicheren" Zertifikate mit den neuen Karten direkt unmöglich zu machen.

[DC19]

Guten Tag:

erkennt man evtl. am Konnektor und den Versionen welche Karten getauscht werden müssen (Siehe Anhang). PS die ersten beiden HBAs und eine SMCKT müssen bald wegen Ablauf getauscht werden.

[FortiSecond]

Guten Tag:

erkennt man evtl. am Konnektor und den Versionen welche Karten getauscht werden müssen (Siehe Anhang). PS die ersten beiden HBAs und eine SMCKT müssen bald wegen Ablauf getauscht werden.

Pauschal gesagt: Alle mit 4.3.0 sind betroffen. Also ein eHBA und drei gSMC-KT.

[DC19]

Danke. Die HBAs müssen auch wegen Ablauf erneuert werden, bei 2 von 3 gSMC-KTs ist es ärgerlich bzgl. der noch 1 Jahr längeren Gültigkeit. Aber so habe ich einen Überblick, was ich machen muss.

Vielen Dank.

[thoppe]

Bitte die beiden folgenden Links beachten!
https://www.kvhessen.de/publikationen/r ... laufen-aus
https://www.kvhessen.de/publikationen/a ... anuar-2026
Möglicherweise ist auch der Konnector betroffen.

[Frankolas]

Bitte die beiden folgenden Links beachten!
https://www.kvhessen.de/publikationen/r ... laufen-aus
https://www.kvhessen.de/publikationen/a ... anuar-2026
Möglicherweise ist auch der Konnector betroffen.

Interessant, und wer trägt die Kosten für dieses Zwangs-Sicherheitsupdate?

[McLeod]

Interessant, und wer trägt die Kosten für dieses Zwangs-Sicherheitsupdate?

Kurze Antwort: Die Versichertengemeinschaft über die mehr als üppige Telematik-Pauschale, die zumindest bei den schlauen Kindern jeden Monat für einen "Kostenerstattungsüberschuß" im hohen 2-stelligen bis sogar 3-stelligen Eurobereich sorgt.

Aber es geht sogar noch weiter: Die Kartenanbieter selbst tauschen die entsprechenden Ausweise kostenfrei aus, bei D-Trust z.B. hat man die Wahl zwischen kostenloser Tauschkarte für die nominelle Restlaufzeit oder komplett neuer 5-Jahreskarte mit 20% Rabatt.

Den jetzt eigentlich noch fälligen Absatz über "faktenbefreites Rumgeheule" spare ich mir.

[FortiSecond]

https://fachportal.gematik.de/ti-status ... ormationen

23.07.2025 - Wichtige Information: Ablauf der Nutzbarkeit von älteren Konnektoren mit RSA2048-Verschlüsselung

Nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) dürfen ab dem 1. Januar 2026 keine Konnektoren mehr eingesetzt werden, die ausschließlich RSA-Schlüssel mit 3000 Bit oder weniger nutzen (sogenannte „RSA-only-Konnektoren“). Das betrifft insbesondere Geräte mit RSA2048-Verschlüsselung.

Was bedeutet das für Sie?
Bereits ab Mitte 2025 laufen die ersten betroffenen Konnektoren ab. Spätestens Ende 2025 ist die Nutzung dieser Konnektoren nicht mehr möglich, da die notwendigen Zertifikate dann nicht mehr verlängert werden können.

Was sollten Sie jetzt tun?

Prüfen Sie, ob Sie oder Ihre Einrichtung noch einen betroffenen Konnektor einsetzen.
Informieren Sie sich bei Ihrem IT-Dienstleister oder Anbieter, ob ein Austausch notwendig ist.
Planen Sie frühzeitig eine Umstellung auf aktuelle Konnektoren oder TI-Gateway, um einen reibungslosen Praxisbetrieb sicherzustellen.

Häufige Fragen:

Wie erkenne ich, ob mein Konnektor betroffen ist?
Ihr IT-Dienstleister oder Anbieter kann Ihnen hierzu Auskunft geben.

Was passiert, wenn ich den Konnektor nicht rechtzeitig austausche?
Nach Ablauf der Zertifikate ist der Konnektor nicht mehr nutzbar. Das kann zu Störungen im Praxisbetrieb führen.

Wer hilft mir bei Fragen?
Wenden Sie sich an Ihren Anbieter oder an den Support Ihres VPN-Zugangsdienstes.

Wir empfehlen Ihnen, sich frühzeitig zu informieren und gemeinsam mit Ihrem Anbieter die nächsten Schritte zu planen.

[McLeod]

Naja, das bisschen Gerätekarten-Tauscherei sollte wohl das kleinste Problem sein. 10 min pro Leser sind da schon großzügig veranschlagt. KT im Konnektor manuell "runterstufen", bestehende Pairings am KT löschen, Karte tauschen, neu pairen. Außerdem kosten die Dinger im Doppelpack aktuelll keine 100,- € (also unter 50,-/Stk.)

Auf die Gratislieferung irgendwelcher Karten durch CGM im Rahmen der "MoreMoney"-TI würde ich mich aber eher nicht verlassen, da die schlauen Kinder wohl bei CGM genau nur einen (nämlich den ersten aus der Grundausstattung) Kartenleser gekauft haben. Und ob für die seit einiger Zeit bei dem Laden relativ günstig verkauften Altbestände von 6141ern wirklich kostenlose Ersatzkarten nachgeliefert werden, wage ich zu bezweifeln. Immerhin wurden die Dinger ja erstmal ohne gSMC-KT verkauft.

Übrigens sind die 378,- brutto bei CGM für den "alten Schleifer", bei dem man aktuell die Firmware erstmal per USB updaten muß, damit das Ding überhaupt mit 'nem Konnektor pairt, sowieso nicht gerade das Überschnäppchen. Schließlich gibt's die Nachfolgegeräte im freien Handel ohne Gerätekarte auch schon ab knapp über 390,- brutto und mit Gerätekarte für etwas mehr als 430,- brutto.

[BER]

Ergänzung zu den Kartenleser Karten, die noch nicht EEC tauglich sind (V2.0):

Laut https://www.gematik.de/telematikinfrast ... -migration

... bleibt die Nutzung der gSMC-KT 2.0 über den 01.01.2026 hinaus vorerst zulässig. Unabhängig von der Laufzeit der auf den Karten gespeicherten Zertifikate ist die Nutzung jedoch spätestens zum 31.12.2026 einzustellen.

Hier hat man also noch knapp 1,5 Jahre Zeit, solange die ursprüngliche Ablaufzeit nicht zwischenzeitlich endet.

Viele Grüße vom

BER

[FortiSecond]

gSMC-KT geht besser extra. Ich wäre dankbar, im folgenden Thread ein Meinungsbild zu bekommen:

viewtopic.php?t=11035

[Frankolas]

In der Managementschnittstelle der KoCo-Box steht bei Info folgendes, siehe Screen. Ist das denn für das neue Verschlüsselungs-Verfahren tauglich oder nicht?

Screenshot 2025-07-28 080240.jpg