Berlin. Dass es noch in diesem Jahr eine Umstellung bei den Verschlüsselungsverfahren in der Telematikinfrastruktur (TI) geben soll, bereitet der Kassenärztlichen Bundesvereinigung (KBV) „große Sorge“. In einem Brief an Gematik-Geschäftsführer Dr. Florian Fuhrmann plädiert KBV-Vorstandsmitglied Sibylle Steiner dafür, Praxen mehr Zeit für den dadurch nötig werdenden Austausch der Komponenten einzuräumen.
Das auf den 13. Mai datierte Schreiben liegt der Redaktion von Hausärztliche Praxis vor.
Zum Hintergrund: Kommen digitale Anwendungen wie eRezept oder eAU in der Praxis zum Einsatz, laufen im Hintergrund verschiedene Sicherheitsverfahren. Ein aktuell genutzter RSA-Algorithmus ist nach Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur jedoch nur noch bis Ende des Jahres gültig. “In der Konsequenz bedeutet dies, dass alle RSA-only-TI-Komponenten bis zum Ende des Jahres getauscht sowie alle Anwendungen und Systeme ebenso zu diesem Zeitpunkt auf die Verwendung von ECC statt RSA umgestellt sein müssen“, führt Steiner in ihrem Schreiben aus.
Praxisinhabende in der Pflicht
Dass Zertifikate ablaufen und Verschlüsselungsverfahren aktualisiert werden müssen, ist aus technischer Sicht ein völlig üblicher Prozess. Dies im Blick zu behalten, ist auch Aufgabe der Nutzer.
Praxistipp: Moritz Eckert, Hausarzt in Herzberg am Harz und Teil der Rauchenden Köpfe, rät Kolleginnen und Kollegen, großzügig vor Ablauf entsprechender Fristen eine Terminerinnerung zu setzen, um neue Geräte oder Ausweise zu beantragen, denn einige Lieferungen dauern vier bis sechs Wochen. In der Regel haben Zertifikate eine Gültigkeit von fünf Jahren. Wer beispielsweise 2020 seinen eHeilberufeausweis (eHBA) oder Praxisausweis (SMC-B) beantragt hat, muss 2025 erneuern.
Inwiefern der Austausch bereits läuft und Hausärztinnen und Hausärzte die Frist auf dem Schirm haben, ist unbekannt. Laut KBV sind konkret 35.000 Konnektoren, 100.000 eHBA sowie 30.000 SMC-B betroffen. “Aufgrund der Vorreiterrolle der Arztpraxen bei der Anbindung an die TI und bei der Einführung von deren Anwendungen ist davon auszugehen, dass sich der Großteil der betroffenen Komponenten in niedergelassenen Praxen befindet.“
Hausärzte fordern praxistaugliche Digitalisierung
Der Hausärztinnen- und Hausärzteverband mahnt immer wieder an, dass Digitalisierung den Praxisnutzen im Blick behalten müsse und Abläufe keineswegs erschweren dürfe. Zuletzt hatten die Delegierten des Verbandes das in insgesamt acht Anträgen während ihrer Frühjahrstagung unterstrichen.
Doch gerade für Praxen skizziert Steiner in dem Schreiben ein verheerendes Szenario: Erfolgt der Austausch nicht bis zum Stichtag 31.12.2025, „können die TI-Anwendungen nicht mehr genutzt werden“. So könne beispielsweise keine gültige Signatur mehr erstellt werden. „Die Regelversorgung wäre somit grundlegend gestört. Der Rückgriff auf eine flächendeckende Verwendung von papiergebundenen Ersatzverfahren für das Ausstellen von Arzneimittelrezepten und Arbeitsunfähigkeitsbescheinigungen wäre die Folge.“
Gematik will an Frist festhalten
Die KBV plädiert in ihrem Brandbrief nun dafür, die Frist für die Migration zu verschieben. So stehe beispielsweise auch noch kein umfassender Migrationsplan zur Verfügung, führt die KBV an. Diese führe „erwartbar dazu, dass keine fristgerechte Bereitstellung der Komponenten durch die Industrie möglich sein wird“.
Bereits in der Vergangenheit hatte es für erhebliche Probleme gesorgt, wenn politische Vorgaben schneller in der Praxis Wirkung entfalteten, als beispielsweise Hersteller von Konnektoren oder anderen Hardware-Geräten liefern konnten. Der Hausärztinnen- und Hausärzteverband hatte das immer wieder scharf kritisiert.
Die KBV verweist unter anderem auf Frankreich, wo der RSA-Algorithmus noch bis Ende 2030 verwendet werden darf. Sie schlägt für Deutschland Ende 2027 als realistischen Zeitrahmen für den Austausch vor.
Die Gematik will jedoch an der Frist festhalten. “Bei den Sicherheitsrichtlinien orientieren wir uns an den Empfehlungen und Vorgaben der obersten Sicherheitsbehörden und international anerkannten Standards”, teilt eine Sprecherin auf Anfrage der Redaktion von Hausärztliche Praxis mit. Als zentrale Richtschnur gelten hier die Empfehlungen des BSI sowie der Bundesnetzagentur. “Der Austausch der Verschlüsselungsalgorithmen RSA2028 auf ECC256 bis Ende 2025 ist eine zentrale Maßnahme, damit TI-Komponenten und Dienste auch künftig an den höchsten Sicherheitsstandards ausgerichtet sind”, erklärt die Gematik mit Verweis auf diese Richtschnur, die übrigens auch in anderen Branchen als richtungsweisend angesehen wird.
Der Wechsel der Verschlüsselungsalgorithmen sei vor diesem Hintergrund “notwendig”. Die Sorgen der KBV nehme man “sehr ernst” und stehe laufend mit den Gesellschaftern – darunter ist auch die KBV – im Austausch, ebenso mit den “betroffenen Industrievertretern”.
