|
19.02.2026 18:18 Uhr |
Bis Mitte 2026 muss die Verschlüsselung aller elektronischen Heilberufsausweise von RSA auf Elliptic Curve Cryptography (ECC) umgestellt werden. Nach Lieferschwierigkeiten bei den Vertrauensdiensteanbietern, einer Sicherheitslücke und anderen Pannen ruft der Anbieter Medisign jetzt die seit Jahresbeginn produzierten elektronischen Heilberufsausweise wieder zurück.
Laut Gematik hat Medisign „seit Anfang Januar falsch personalisierte HBA-Karten (Generation 2.1, ECC-only) ausgegeben, die nicht spezifikationskonform sind. Bei diesen Karten wurden in der Personalisierung neben den ECC-Schlüsseln auch RSA-Schlüssel generiert. Erzeugung der RSA-Schlüssel ist nicht korrekt, entspricht nicht den Anforderungen“. Nach Kenntnisstand der Gematik sind weitere Anbieter nicht betroffen.
„Um die Interoperabilität seiner elektronischen Heilberufsausweise (eHBA) innerhalb der Telematikinfrastruktur sicherzustellen, wird Medisign alle Ausweise austauschen“, teilt das Unternehmen mit. Die betroffenen Ärzte und Apotheker will Medisign über eine E-Mail informieren. Da kein Sicherheitsproblem vorliege, seien die Ausweise weiterhin einsetzbar.
Betroffen sind laut Medisign elektronische Heilberufsausweise, die ausschließlich über ECC-Zertifikate verfügen (ECC-only) und seit Anfang Januar ausgegeben werden. Ausweise der Generation 2.1, die sowohl über RSA- als auch über ECC-Zertifikate verfügen und bis Ende 2025 produziert wurden, sind nicht vom Kartentausch betroffen. Bei einer technischen Analyse sei eine Fehlkonfiguration im Personalisierungsprozess festgestellt worden.
Wie Medisign mitteilt, erfolgt der Tausch in Abstimmung mit der Gematik. „Der bei der Personalisierung durch das Kartenbetriebssystem zwingend erzeugte RSA-Schlüssel ist bei den ECC-only-Karten nicht deaktiviert und könnte unter Umständen zu Interoperabilitätsproblemen mit einigen Konnektoren führen“, heißt es von Medisign, das sich bei seinen Kunden entschuldigt. Betroffene müssen nichts tun, da sie ohne zusätzliche Identverfahren ihre Karte erhalten. Die nächsten Schritte sollen ebenfalls im Brief erklärt werden. Sobald der neue eHBA freigeschaltet ist, werde die alte Karte gesperrt.
Für die Ärzte ist es schwer, zu erkennen, ob es sich bei den Informationsmails zum eHBA-Tausch um Phishing oder um echte E-Mails handelt. Bei der Redaktion meldeten sich verschiedene Ärzte, die aufgrund des erneuten Chaos beim Tauschprozess verunsichert sind.
Der aktuelle Rückruf reiht sich in eine ganze Serie von Problemen rund um die Umstellung von RSA- auf ECC-Verschlüsselung ein. Bereits im Januar war bekannt geworden, dass eHBA der Generation 2.1 bestimmter Anbieter aufgrund einer Schwachstelle in der ECDSA-Implementierung eines Infineon-Chips ausgetauscht werden müssen. Die Gematik hatte den betroffenen Karten Anfang 2025 die Zulassung entzogen. Zwar bestand laut Behörden keine akute Gefahr für die Telematikinfrastruktur, dennoch müssen die Karten bis spätestens Ende Juni 2026 ersetzt werden. Wie viele ersetzt werden müssen, wollen die Beteiligten nicht sagen. Ein Anbieter beruft sich auf Geschäftsgeheimnisse.
Auch organisatorisch lief die Umstellung der eHBAs und weiterer Komponenten im Gesundheitswesen nicht reibungslos. Die Gematik sah sich im November 2025 gezwungen, die Frist für die verpflichtende ECC-Umstellung zu verlängern, nachdem klar wurde, dass tausende Ärzte und Apotheker ihre neuen Ausweise nicht rechtzeitig erhalten. Hintergrund waren unter anderem Produktions- und Ausgabeschwierigkeiten – maßgeblich beim Anbieter Medisign, aber auch bei D‑Trust.
Bei D‑Trust kam es zudem zu Versandpannen: In einzelnen Fällen wurden eHBA an falsche Empfänger verschickt. Das Unternehmen sprach von einer Störung bei der Zuordnung von Karten und Lieferdokumenten. Zwar seien die Karten ohne PIN nicht nutzbar gewesen und umgehend gesperrt worden, betroffene Ärzte mussten die Sendungen jedoch teils auf eigene Kosten zurückschicken.
Antwort der Gematik ergänzt.
(mack)