Informationen zum Austausch der Konnektoren

Konnektoren und andere Komponenten zum Anschluss an die Telematikinfrastruktur enthalten Zertifikate mit einem Ablaufdatum. Aus Sicherheitsgründen müssen diese spätestens alle fünf Jahre ausgetauscht werden.

Ohne Konnektoren, Kartenterminals und Smartcards (HBA und SMC-B) ist kein Zugang zur TI möglich. Zum Sicherheitskonzept der TI gehört es, dass die Komponenten ihre Echtheit nachweisen müssen, um miteinander kommunizieren zu können. Dazu werden sogenannte Zertifikate verwendet. Sind diese abgelaufen, kann keine Verbindung zur TI mehr aufgenommen werden. Wichtige Funktionen, wie zum Beispiel das Einlesen der elektronischen Gesundheitskarte oder die Übermittlung eines Behandlungsplans im Rahmen des EBZ an die Krankenkasse, sind dann nicht mehr möglich. Die Zahnarztpraxen müssen in diesen Fällen handeln und sich um den Austausch der betroffenen TI-Komponenten kümmern. Hierbei werden sie in der Regel von ihren Herstellern und Dienstleistern vor Ort (DVO) unterstützt.
Bislang waren ausschließlich Geräte der Compugroup Medical (CGM) betroffen, die zwischen Herbst 2022 und Herbst 2023 in Betrieb genommen sind. Ab Oktober bzw. November 2023 sind alle Hersteller berührt.

gematik: Rund um die TI-Anbindung – Zentrale Informationsstelle zur TI-Anbindung mit aktuellen Hinweisen für TI-Teilnehmerinnen und -Teilnehmer
zm-online: Was Praxen zum Ablauf ihrer Konnektoren wissen sollten

FAQ zum Tausch der TI-Komponenten

Komponenten, die von einem Zertifikatsablauf betroffen sein können: Dazu gehören die Zertifikate der Konnektoren (gSMC-K) und Kartenterminals (gSMC-KT) sowie der Praxisausweise (SMC-B) und der Heilberufsausweise (HBA). In der Regel haben diese eine Laufzeit von fünf Jahren und müssen anschließend ausgetauscht werden.

Hinweis: Die Laufzeit von fünf Jahren gilt ab Produktionsdatum des jeweiligen Zertifikats. Dadurch kommt es, dass die tatsächlich verfügbare (Rest-)Laufzeit abhängig vom Zeitpunkt der Auslieferung geringer ist. Für Konnektoren ist durch die gematik eine Restlaufzeit von mindestens vier Jahren vorgegeben. Herausgeber der gSMC-KT geben ebenfalls eine Mindestgültigkeit von vier Jahren an, sind hierzu aber nicht verpflichtet.

1. Konnektoren

Um sich gegenüber dem VPN-Zugangsdienst und anderen Komponenten der TI zu authentisieren, nutzt der Konnektor eine festverbaute Smartcard, die gSMC-K, auf der die Zertifikate gespeichert sind. Wenn davon gesprochen wird, dass der „Konnektor abläuft“ ist damit das Ende der Laufzeit dieser Zertifikate gemeint.

Welche Möglichkeiten habe ich bei einem Zertifikatsablauf der Konnektoren?

Grundsätzlich bestehen verschiedene Möglichkeiten, je nach Modell des Konnektors, Ablaufdatum der Zertifikate und Angebote des Anbieters:

Austausch des Konnektors in der Praxis durch ein neues Gerät
Laufzeitverlängerung (Dauer der Verlängerung hängt vom Gerät ab (siehe „Kann mein Konnektor langfristig verlängert werden?“ unten)
Übergang zu einem gehosteten TI-Zugang (TI as a Service oder TI-Gateway)

Die Laufzeitverlängerung wird aktuell von zwei der drei Marktteilnehmer angeboten. Für das TI-Gateway als zugelassene Rechenzentrumslösung gibt es seit August 2024 die erste Anbieterzulassung durch die gematik.

Woher weiß, ich ob ich von einem Zertifikatsablauf betroffen bin?

Das Ablaufdatum der Konnektor-Zertifikate kann über die die Konnektor-Managementoberfläche abgelesen werden. Das genaue Vorgehen entnehmen Sie bitte dem Handbuch Ihres Konnektors. Auch Praxisverwaltungssysteme können die Zertifikatslaufzeiten anzeigen. In der Regel werden betroffene Zahnarztpraxen zusätzlich aktiv von Ihrem Hersteller/Anbieter angeschrieben und über das Laufzeitende informiert. Je nach Anbieter wird auch die Möglichkeit geboten, das Ablaufdatum der Komponenten mit Hilfe der Kundennummer selbstständig zu überprüfen.

Kann mein Konnektor langfristig verlängert werden?

Ob Ihr Konnektor grundsätzlich geeignet ist, seine Laufzeit über das Jahr 2025 hinaus zu verlängern, hängt davon ab, welche kryptografischen Verfahren die fest darin verbauten gSMC-K unterstützen. Die meisten früh ausgelieferten Geräte besitzen nur gSMC-K mit RSA-Zertifikaten, die gemäß den Vorgaben des BSI und des europäischen SOG-IS Katalogs nur noch bis Ende 2025 eingesetzt werden dürfen. Später produzierte Konnektoren enthalten zusätzlich ECC-Zertifikate, deren längerfristige Gültigkeit gewährleistet ist und somit eine Laufzeitverlängerung auch über das Jahr 2025 hinaus ermöglicht werden kann. Falls Ihr PVS keine Möglichkeit bietet, die eingesetzten Zertifikate anzuzeigen (s. Bedienungsanleitung), kann bei Ihrem Dienstleister erfragt werden, ob dies bei Ihnen der Fall ist.

Was bedeutet "TI as a Service", welche Angebote gibt es und was ist dabei zu beachten?

Bei „TI as a Service“ werden die Aufgaben des Konnektors von einem Rechenzentrum bereitgestellt, an das die Praxis-IT über einen VPN-Tunnel angebunden werden muss.

Schon länger gibt es Hosting-Angebote am Markt, welche auf sog. Konnektor-Farmen beruhen, d.h. dort stehen sehr viele Konnektoren, wie sie auch in den Praxen zum Einsatz kommen, in einem Rechenzentrum und werden zentral vom entsprechenden Dienstleister betreut. Diese Angebote werden von gematik und BSI bisher geduldet und können daher genutzt werden, haben jedoch keine dedizierte Zulassung. Dabei findet eine Auftragsverarbeitung des Anbieters für die Praxis statt, was bei der Evaluation der IT-Infrastruktur Ihrer Praxis im Hinblick auf Datensicherheit und Datenschutz besonders berücksichtigt werden sollte. Eventuell erhöht sich hierbei Ihr Haftungsrisiko, da die Zulassung der eingesetzten Konnektoren den Betrieb nur innerhalb einer Praxis vorsieht und die Verbindung Ihrer Praxis zum Rechenzentrum formal nicht davon umfasst ist.

Seit August 2024 steht auch das sog. TI-Gateways als zugelassene Rechenzentrumslösung zur Verfügung. Die erste Anbieterzulassung durch die gematik ist erfolgt. Diese Zulassung berücksichtigt speziell diesen Einsatzzweck und damit auch die Verbindung zwischen Praxis und Rechenzentrum, so dass keine zusätzlichen Haftungsrisiken für Ihre Praxis entstehen.

Was muss ich tun, wenn ich von einem Zertifikatsablauf betroffen bin?

Sofern die oben genannten Optionen (Laufzeitverlängerung oder Rechenzentrumslösung) noch nicht zur Verfügung stehen oder Sie sich aus anderen Gründen für den Tausch des Konnnektors entscheiden, sollte die notwendige neue Hardware rechtzeitig bestellt und ein Termin mit Ihrem Dienstleister für den Austausch vereinbart werden. Ein Anbieterwechsel ist dabei möglich, Zahnarztpraxen sollten dann aber die Geschäftsbedingungen für den VPN-Zugangsdienst, insb. Kündigungsfristen, beachten.

Für Konnektoren, deren Zertifikate ab dem 3. bzw. 4. Quartal 2023 ablaufen, sollen die oben genannten zusätzlichen Möglichkeiten grundsätzlich bereitstehen. Nähere Hinweise dazu können die einzelnen Anbieter geben.

2. Kartenterminals

Das Kartenterminal ist ein Kartenlesegerät, dass die in der TI eingesetzten Smartcards (elektronische Gesundheitskarte, Praxisausweis, Heilberufsausweis) erkennt und liest. In diesen befindet sich eine Sicherheitskarte mit begrenzter Laufzeit, die sogenannte gSMC-KT.

Welche Möglichkeiten habe ich bei einem Zertifikatsablauf des Kartenterminals?

Woher weiß, ich ob ich von einem Zertifikatsablauf betroffen bin?

Was muss ich tun, wenn ich von einem Zertifikatsablauf betroffen bin?

Falls die Karte getauscht werden muss, sollte diese beim Hersteller des Kartenterminals oder über einen Dienstleister vor Ort bestellt werden. Grundsätzlich ist es möglich, die gSMC-KT selbst zu tauschen. Was bei einem eigenhändigen Austausch zu beachten ist, kann den Bedienungsanleitungen der jeweiligen Geräte entnommen werden. Dabei muss eine Neu-Kopplung des Geräts mit dem Konnektor durchgeführt werden, weshalb u. a. Zugriff auf die Konnektor-Managementoberfläche erforderlich ist.

Besonders wenn Sie den Tausch durch einen Dienstleister (DVO) durchführen lassen möchten, sollten Sie prüfen, ob auch der Tausch des Konnektors und der SMC-Bs erforderlich ist, da deren Zertifikate in der Regel die gleiche Laufzeit haben. Der Tausch aller betroffenen Komponenten an einem Termin ist daher meist organisatorisch und wirtschaftlich sinnvoll.

3. Praxisausweis (SMC-B)

Die Secure Module Card Typ B (SMC-B) ist der elektronische Ausweis für Zahnarztpraxen, mit dem sich diese in der TI authentisieren können. Der Praxisausweis kann zudem für die Signatur und Ver- bzw. Entschlüsselung von KIM-Nachrichten genutzt werden.

Welche Möglichkeiten habe ich bei einem Zertifikatsablauf der SMC-B?

Woher weiß, ich ob ich von einem Zertifikatsablauf betroffen bin?

Was muss ich tun, wenn ich von einem Zertifikatsablauf betroffen bin?

Die Bestellung der neuen SMC-B sollten Zahnarztpraxen rund drei Monate vor dem Ablaufdatum vornehmen. So ist sichergestellt, dass die Bearbeitung des Antrags durch die zuständige Kassenzahnärztliche Vereinigung (KZV) sowie die Lieferung des neuen Praxisausweises und des PIN-Briefes durch den Kartenanbieter rechtzeitig erfolgen kann.

Da in der Regel die Zertifikatslaufzeiten der SMC-B, des Konnektors und der Kartenterminals gleich sind und diese meist auch zum gleichen Zeitpunkt gekauft wurden, sollten Sie prüfen, ob auch die Zertifikate des Konnektors und des Kartenterminals ablaufen. Der Tausch aller betroffenen Komponenten an einem Termin ist in diesem Fall in der Regel organisatorisch und wirtschaftlich sinnvoll.

Spezieller Hinweis im Rahmen eines SMC-B Wechsels: Weil die KIM-Adresse der Zahnarztpraxis in der Regel mit der SMC-B verbunden ist, sollten Zahnarztpraxen beim Wechsel des Praxisausweises auch mögliche Anpassungen für den KIM-Dienst berücksichtigen. Dazu gehören auch die Bescheide der Krankenkassen, die über das elektronische Beantragungs- und Genehmigungsverfahren (EBZ) verschickt werden.

Unmittelbar vor dem Kartenwechsel sollten zudem die KIM-Nachrichten noch einmal abgerufen werden. Nach Einrichtung und Freischaltung der neuen SMC-B sollte die alte Karte möglichst mindestens noch zwei Tage gesteckt bleiben, um ggf. noch eintreffende und nur für diese Karte verschlüsselte Mails entschlüsseln zu können. Im Anschluss an die Freischaltung der neuen SMC-B werden die KIM-Nachrichten der Zahnarztpraxis zusätzlich mit dem Zertifikat der neuen Karte verschlüsselt und entschlüsselt.

4. Elektronischer Zahnarztausweis (HBA)

Der elektronische Zahnarztausweis (HBA) ist anders als die SMC-B eine personenbezogene Smartcard, mit der sich die Zahnärztin oder der Zahnarzt in der TI identifizieren kann. Nähere Informationen zum elektronischen Zahnarztausweis erhalten Sie bei Ihrer Kammer als herausgebende Stelle.

Welche Möglichkeiten habe ich bei einem Zertifikatsablauf des HBAs?

Woher weiß, ich ob ich von einem Zertifikatsablauf betroffen bin?

Was muss ich tun, wenn ich von einem Zertifikatsablauf betroffen bin?

Die Bestellung eines neuen elektronischen Zahnarztausweises sollte rund drei Monate vor dem Ablaufdatum vorgenommen werden. So ist sichergestellt, dass die Bearbeitung des Antrags durch den Anbieter sowie die Lieferung des neuen Ausweises und des PIN-Briefes rechtzeitig erfolgen kann.

Weitere Hinweise im Rahmen eines SMC-B oder HBA Wechsels: Nach neuesten Vorgaben der gematik sind die Kartenherausgeber verpflichtet, bei allen Antragstellenden eine erneute Identitätsprüfung durchzuführen, auch für die Beantragung von Folgekarten. Dazu bieten die Anbieter verschiedene Ident-Verfahren an.

5. Sonstige Hinweise

Zahnarztpraxen sollten im Vorfeld des Austauschs- bzw. Installationstermins sicherstellen, dass alle TI-Komponenten und die Praxissoftware auf dem aktuellen Updatestand sind. Informationen zu Updates und Upgrades können den Herstellerseiten entnommen werden.

Am Tag des Austausches bzw. der Installation benötigen die ausführenden Dienstleister verschiedene Kenndaten und Zugangsdaten. Bereithalten zu sind z. B. die Administratoren-Kennwörter für Konnektor und Kartenterminals, ggf. Zugangsdaten für Router/Firewall und die Administrator-Zugangsdaten für PC und Praxissoftware. Beim Austausch der SMC-B wird zudem die PIN der alten SMC-B und der Transport-PIN der neuen SMC-B benötigt.

Zahnarztpraxen sollten, wenn Sie Kenntnis über den Ablauf einer Komponente erhalten, zur Sicherheit die Ablaufdaten der anderen Komponenten kontrollieren.

Weitere Informationen zu den notwendigen Vorbereitungen in der Zahnarztpraxis stellen die Anbieter bereit.

Gegenüberstellung der TI-Anbindungsmöglichkeiten bei Zertifikatsablauf unter besonderer Berücksichtigung der geplanten zukünftigen (konnektorfreien) Sicherheitsarchitektur (TI 2.0)

Im Folgenden werden die Vor- und Nachteile der Lösungsoptionen der Vertragszahnarztpraxen zum Ende der Laufzeit der Konnektor-Zertifikate stichpunktartig gegenübergestellt. Auf die Kosten(-modelle) kann zum aktuellen Zeitpunkt nicht realistisch eingegangen werden, da der Markt gerade erst begonnen hat, sich an die Umstellung der TI-Finanzierung zu einer monatlichen TI-Pauschale anzupassen. Ferner sind noch keine belastbaren Preise für eine Laufzeitverlängerung oder das TI-Gateway bekannt. Zur oft zitierten zukünftigen Sicherheitsarchitektur, der sog. „TI 2.0“ finden Sie hier weitere Informationen.

Tabellarische Übersicht