gematik Brain

Dieses Projekt ist eine private, nicht-offizielle Zusammenstellung. Die Inhalte wurden mit Hilfe von KI auf Basis öffentlich zugänglicher Quellen (fachportal.gematik.de, gematik.de) erstellt. Keine Verbindung zur gematik GmbH. Fehler möglich. Beiträge willkommen.

Konnektoren

4 Min. Lesezeit 91 VerknüpfungenWachsendDieser Artikel ist solide, aber noch in Entwicklung

Konnektoren

Konnektoren sind die zentralen Zugangsgeräte zur Telematikinfrastruktur. Sie stellen den sicheren VPN-Tunnel her und übernehmen kryptografische Operationen.

Erklärt für Einsteiger

Der Konnektor ist eine kleine Box, die in jeder Arztpraxis, Apotheke und jedem Krankenhaus steht. Er ist wie ein spezieller Router, der die Praxis mit dem sicheren Gesundheitsnetz (der TI) verbindet. Ohne dieses Gerät kann die Praxis keine Rezepte digital verschicken, keine Patientenakten öffnen und keine sicheren E-Mails über KIM senden. Der Konnektor liest auch die Chipkarten (eGK, SMC-B, HBA) und prüft, ob alles korrekt ist.

Überblick

Jede Einrichtung im Gesundheitswesen braucht entweder einen Konnektor oder die neue TI-Gateway-Lösung, um an der TI teilzunehmen.

Funktionen

  • VPN-Verbindung zur TI
  • Signatur-Erstellung (QES) mit HBA und SMC-B
  • Ver- und Entschlüsselung für KIM
  • Kartenterminal-Management (eGK, HBA, SMC-B)
  • Zertifikatsprüfung (OCSP)

Architektur

Komponenten

  • Konnektor-Hardware: Zertifiziertes Gerät (z.B. von secunet, RISE)
  • Kartenterminals: eHealth-KT zum Lesen der Chipkarten
  • Primärsystem: Praxis-/Apothekensoftware (PVS, AVS, KIS)

Netzwerk

  • ECC 256 Verschlüsselung (seit 1. Januar 2026 Pflicht per ECC-Migration; RSA-only-Konnektoren haben keinen TI-Zugang mehr)
  • IPv4 mit Standard-MTU von 1500 (konfigurierbar)
  • IPv6 mit Dual-Stack-Lite und reduzierter MTU von 1400
  • Größere Einrichtungen nutzen Highspeed-Konnektoren für Skalierbarkeit

Technische Details

SOAP-Webservices

Interesse technik

Das Primärsystem kommuniziert mit dem Konnektor über SOAP-Webservices (gemSpec_Kon). Wichtige Dienste: SignaturDienst (QES), VerschlüsselungsDienst (KIM), ZertifikatsDienst (OCSP), EventDienst. Mit TI 2.0 kommen gRPC-APIs hinzu. ECC-Preferred-Feature (RISE Firmware 6.1.3:1.0.0, Februar 2026) ermöglicht schrittweise RSA-ECC-Migration.

Das Primärsystem kommuniziert mit dem Konnektor über SOAP-Webservices. Diese Schnittstelle ist in der gemSpec_Kon (Konnektor-Spezifikation) der gematik definiert. Die wichtigsten Dienste:

  • SignaturDienst: Erstellt und prüft qualifizierte elektronische Signaturen (QES) via HBA
  • VerschlüsselungsDienst: Ver- und Entschlüsselung von Nachrichten (für KIM)
  • ZertifikatsDienst: Liest Zertifikate von Smartcards und prüft deren Gültigkeit via OCSP
  • EventDienst: Benachrichtigt das Primärsystem über Kartenereignisse (z.B. Karte eingesteckt)
  • KartendiensteKomfort: Bietet vereinfachte Kartenadministration

Die SOAP-Schnittstelle ist abwärtskompatibel gehalten, damit bestehende Primärsysteme ohne Anpassung weitergenutzt werden können.

gRPC für TI 2.0

Mit der Einführung von TI 2.0 werden neben SOAP auch gRPC-basierte APIs eingeführt. gRPC ist effizienter als SOAP, binärbasiert und besser für moderne Anwendungsarchitekturen geeignet. Neue Primärsysteme und Fachdienste können damit direkt integriert werden.

ECC 256 Migration

Interesse compliance

Seit 1. Januar 2026 ist ECC 256 für alle Konnektoren Pflicht. RSA-only-Konnektoren haben keinen TI-Zugang mehr. Fristen für den Kartentausch: eHBA G2.0 und SMC-B G2.0 bis 30. Juni 2026. Praxen und Apotheken müssen sicherstellen, dass ihr Konnektor und ihre Kartenterminals ECC-fähig sind.

Seit 1. Januar 2026 ist ECC 256 (Elliptic Curve Cryptography) für alle Konnektoren Pflicht. RSA-only-Konnektoren verlieren seither den TI-Zugang. Hintergrund: RSA gilt langfristig als weniger sicher gegenüber Quantencomputer-Angriffen, und ECC ermöglicht bei gleichem Sicherheitsniveau kürzere Schlüssel und schnellere Operationen.

RISE hat am 11. Februar 2026 die Firmware-Version 6.1.3:1.0.0 für den RISE Konnektor über den Konnektor-Software-Repository (KSR) freigegeben. Das zentrale neue Merkmal ist das ECC-Preferred-Feature: Es ermöglicht den schrittweisen Umstieg von RSA auf ECC, bevor alle Kartenterminals vollständig aktualisiert sind. Das Update ist ein wichtiger Schritt vor dem Pflichtaustausch von eHBA G2.0 und SMC-B G2.0 gegen ECC-fähige Karten bis 30. Juni 2026. Voraussetzung: Kartenterminals müssen vorab auf kompatible Versionen aktualisiert sein (Cherry ST1506 4.0.47, Worldline ORGA 6100 3.9.2, JDM 1.1.20). Bekannte Einschränkung: IBM- und Akquinet-KIM-Clientmodule unterstützen Brainpool-Kurven nicht vollständig.

Netzwerkkonfiguration

  • IPv4: Standard-MTU 1500 Byte; der VPN-Overhead reduziert die effektive Nutzlast leicht
  • IPv6: Dual-Stack-Lite mit MTU 1400 Byte; ermöglicht parallelen Betrieb beider Protokollversionen
  • Die VPN-Verbindung läuft zu einem der über 19 zugelassenen VPN-Zugangsdienstanbieter

Highspeed-Konnektor (HSK) und HSM-B

Für größere Einrichtungen (Krankenhäuser, MVZ) gibt es den Highspeed-Konnektor (HSK). Er unterstützt höhere Durchsatzraten und kann mehrere Kartenterminals gleichzeitig verwalten.

Im März 2026 startete die gematik einen Friendly-User-Test für das HSM-B (Hardware Security Module Typ B) im HSK-Kontext. Beim HSM-B wird die institutionelle Identität (bisher auf der physischen SMC-B-Karte) direkt im HSK gespeichert. Beteiligte Pilotpartner: RHÖN-KLINIKUM, D-Trust, DKTIG, RISE. HSK kann HSM-B und SMC-B parallel betreiben, was eine schrittweise Migration ermöglicht.

TI 2.0: Ablösung durch TI-Gateway

Mit der TI 2.0 wird der Hardware-Konnektor schrittweise durch das TI-Gateway ersetzt:

  • Virtuelle Konnektor-Funktionalität (vKON) als Cloud-Service
  • Eingebauter VPN-Zugangsdienst
  • Unterstützung bestehender Primärsystem-Schnittstellen
  • mTLS-Konfiguration im Primärsystem erforderlich
  • Ziel: Weniger Hardware, geringere Kosten, einfachere Wartung

Verknüpfungen

Quellen

Graphansicht

Alle

Backlinks