gematik Brain

Dieses Projekt ist eine private, nicht-offizielle Zusammenstellung. Die Inhalte wurden mit Hilfe von KI auf Basis öffentlich zugänglicher Quellen (fachportal.gematik.de, gematik.de) erstellt. Keine Verbindung zur gematik GmbH. Fehler möglich. Beiträge willkommen.

Telematikinfrastruktur (TI)

5 Min. Lesezeit 181 VerknüpfungenWachsendDieser Artikel ist solide, aber noch in Entwicklung

Telematikinfrastruktur (TI)

Die Telematikinfrastruktur (TI) ist das sichere digitale Netzwerk des deutschen Gesundheitswesens. Sie verbindet Arztpraxen, Krankenhäuser, Apotheken, Krankenkassen und weitere Akteure miteinander.

Erklärt für Einsteiger

Stell dir das Internet vor, aber nur für das Gesundheitswesen und besonders gesichert. Wenn dein Arzt ein Rezept ausstellt, deine Krankmeldung an die Kasse schickt oder deine Patientenakte öffnet, laufen diese Daten über die TI. Es ist wie ein eigenes Netz, das dafür sorgt, dass Gesundheitsdaten sicher von A nach B kommen und nur die richtigen Leute Zugriff haben. Die gematik in Berlin ist dafür verantwortlich.

Überblick

Die TI wird von der gematik GmbH (Berlin, Rosenthaler Straße 30) im Auftrag des Bundesministeriums für Gesundheit (BMG) verantwortet.

Zentrale Dienste

  • IDP-Dienst: Identitätsmanagement und Authentisierung
  • VZD (Verzeichnisdienst): Zentrales Adressbuch aller TI-Teilnehmer
  • TSP (Trust Service Provider): PKI-Infrastruktur für Zertifikate
  • OCSP/CRL: Zertifikatsprüfung

Anwendungen auf der TI

  • ePA: Elektronische Patientenakte
  • E-Rezept: Digitales Rezept
  • KIM: Sichere E-Mail
  • TI-Messenger: Instant Messaging
  • eAU: Elektronische Arbeitsunfähigkeitsbescheinigung
  • VSDM: Versichertenstammdaten
  • NFDM: Notfalldaten

Anbindungspflichten

Die Pflicht zur TI-Anbindung wird schrittweise ausgeweitet. Pflegeeinrichtungen müssen ab 1. Dezember 2026 die elektronische Abrechnung über KIM nutzen. Für Heilmittelerbringer wurde die Anbindungsfrist auf den 1. Oktober 2027 verlängert.

TI-Pauschale

Die monatliche TI-Pauschale vergütet Arztpraxen die Kosten für TI-Infrastruktur und -Anwendungen. Zum 1. Januar 2026 stieg die Pauschale um 2,8 Prozent. Für eine Einzelpraxis beträgt sie seither ca. 263,62 Euro pro Monat.

Die Pauschale setzt voraus, dass die Praxis vollständig technisch ausgestattet ist (Konnektor oder TI-Gateway, Kartenterminals, SMC-B, HBA) und zentrale TI-Anwendungen aktiv nutzt (eAU, ePA, KIM). Fehlt der Nachweis einer Anwendung, wird die Pauschale um 50 Prozent gekürzt. Fehlen mehrere Nachweise, entfällt sie vollständig.

Architektur

Zugangskomponenten

  • Konnektoren: Hardware-VPN-Gateway in Praxen und Kliniken
  • TI-Gateway: Cloud-basierte Alternative zum Konnektor (TI 2.0)
  • eGK: Versichertenausweis mit NFC-Chip
  • SMC-B: Institutionskarte für Leistungserbringer
  • HBA: Heilberufsausweis für Ärzte und Apotheker

TI 2.0

Die TI wird grundlegend weiterentwickelt. Die wichtigsten Änderungen:

  • Zero-Trust-Architektur: Kein implizites Vertrauen mehr, jeder Zugriff wird geprüft
  • mTLS-Verschlüsselung: Gegenseitige Authentisierung bei jeder Verbindung
  • TI-Gateway statt Konnektor: Hardwareunabhängig, flexibler, zukunftssicher
  • VSDM 2.0 ist die erste TI-2.0-Anwendung (Start: 30. Juni 2026)

Über 19 zugelassene VPN-Zugangsdienstanbieter bieten Anschluss-Pakete an. Der Oberbegriff für alle Zugangsformen (VPN-Zugangsdienst und TI-Gateway) ist der Zugangsdienst.

Netzwerk

  • Zentrales VPN-Netz mit Konzentratoren
  • Sichere DNS-Auflösung (TI-DNS)
  • IPv4 (Standard-MTU 1500) und IPv6 (Dual-Stack-Lite, MTU 1400)

Technische Details

Netzwerkarchitektur

Das Netz der TI ist kein öffentliches Netz. Es basiert auf einem VPN-Overlay über das öffentliche Internet. VPN-Konzentratoren nehmen die verschlüsselten Verbindungen der Konnektoren und TI-Gateway-Instanzen entgegen. Die TI-DNS-Infrastruktur löst intern genutzte Domainnamen auf und ist vom öffentlichen DNS getrennt.

PKI und Zertifikate

Die gesamte Vertrauensinfrastruktur der TI basiert auf einer mehrstufigen PKI (Public Key Infrastructure). Die gematik betreibt die Root-CA. Unterhalb der Root-CA gibt es Zwischen-CAs für verschiedene Kartenfamilien (eGK, HBA, SMC-B) und Dienste. Alle Zertifikate verwenden X.509 v3.

Seit 1. Januar 2026 ist ECC 256 für alle neu ausgestellten Zertifikate Pflicht (ECC-Migration). Laufende Übergangsfristen: eHBA G2.0 (RSA) bis 30. Juni 2026, gSMC-KT bis 31. Dezember 2026.

Authentisierung und Autorisierung

Für die Authentisierung setzt die TI auf OAuth 2.0 und OpenID Connect. Der IDP-Dienst der gematik ist der zentrale Identitätsanker. Versicherte authentisieren sich über die eGK oder die Gesundheits-ID. Leistungserbringer nutzen HBA und SMC-B.

Token-basierte Autorisierung sichert den Zugriff auf Fachdienste. Jedes Token hat einen eingeschränkten Scope und eine begrenzte Gültigkeitsdauer.

FHIR-basierter Datenaustausch

FHIR (Fast Healthcare Interoperability Resources) ist das zentrale Datenformat der modernen TI. Fachdienste wie ePA, E-Rezept, VZD und TI-Messenger verwenden FHIR R4-Profile. Die gematik definiert spezifische deutsche Profile und veröffentlicht sie auf Simplifier.net.

Zero-Trust-Migration

Mit TI 2.0 wird das bisherige VPN-Perimeter-Modell durch Zero-Trust ersetzt. Jede Verbindung zwischen Primärsystem und TI-Fachdienst erfordert mTLS (Mutual TLS), bei dem beide Seiten gültige Zertifikate vorlegen müssen. Das TI-Gateway ist die zentrale Umsetzungskomponente.

KHAG und Transformationsfonds: TI-Förderung für Krankenhäuser

Das Krankenhausreformanpassungsgesetz (KHAG) soll am 27. März 2026 vom Bundesrat beschlossen werden. Es würde Krankenhäuser verpflichten, verbindliche Interoperabilitätsstandards bis September 2026 umzusetzen. Das KHAG treibt die FHIR-basierte Interoperabilität (ISiK) im stationären Bereich weiter voran.

Der Transformationsfonds stellt 50 Milliarden Euro (2026 bis 2035) für Krankenhäuser bereit. Die Antragsphase läuft seit Januar 2026. Explizit förderfähige Maßnahmen umfassen:

  • TI-Anbindung: Konnektoren, TI-Gateway, KIS-Erweiterungen für TI-Dienste
  • ISiK-Implementierung: FHIR-basierte Interoperabilitätsschnittstellen im KIS
  • Digitale Strukturtransformation, Telemedizin-Netzwerke, zertifizierte Patientenportale

Krankenhäuser ohne zertifiziertes Patientenportal erhalten ab 2026 einen Abschlag von 0,5 Prozent je stationären Fall.

Betriebsstabilität und Ausfälle

Am 10. Februar 2026 kam es zu einem mehrstündigen TI-Ausfall (ca. 3:05 bis 11:00 Uhr). Auslöser war ein Rauchmelder-Alarm in einem Frankfurter IBM-Rechenzentrum, der eine automatische Sicherheitsabschaltung auslöste. Betroffen waren die Dienste ePA, E-Rezept, KIM und VSDM. Der Vorfall unterstreicht die physische Abhängigkeit der TI von wenigen zentralen Rechenzentrumsstandorten: Ein einzelner Fehlalarm in Frankfurt legte für acht Stunden wesentliche TI-Anwendungen lahm.

Am 3. März 2026 kam es zu einem Mehrfach-Ausfall-Tag, der das systemische Konzentrationsrisiko der TI deutlich machte: Zwischen 12:30 und 14:00 Uhr fielen Bitmarck-Fachdienste und das KBV aAdG-NetG aus. Dieser Ausfall lief unabhängig vom RISE-TI-Gateway-Ausfall desselben Tages, der alle über RISE angeschlossenen Leistungserbringer von der TI trennte. Weitere Teilausfälle folgten am 4. und 5. März 2026. Mangels Offline-Fallback-Lösung mussten viele Apotheken Patienten abweisen. Die Ausfälle gelten als Mitauslöser für den bundesweiten Apothekenstreiktag am 23. März 2026. Die gematik verwies auf PoPP und VSDM 2.0 als geplante Stabilitätsverbesserungen.

Standards

Die TI nutzt internationale Standards:

  • FHIR für Dateninteroperabilität
  • OAuth 2.0 / OpenID Connect für Authentisierung
  • X.509-Zertifikate für die PKI
  • ECC 256 (seit 1. Januar 2026 Pflicht; eHBA-Übergangsfrist bis 30. Juni 2026; gSMC-KT bis 31. Dezember 2026)

Verknüpfungen

  • ePA: Elektronische Patientenakte auf der TI
  • E-Rezept: Digitale Verordnung auf der TI
  • KIM: Sichere E-Mail-Kommunikation
  • TI-Messenger: Instant Messaging im Gesundheitswesen
  • eAU: Elektronische Arbeitsunfähigkeitsbescheinigung
  • VSDM: Versichertenstammdatenmanagement
  • NFDM: Notfalldaten-Management
  • Konnektoren: Hardware-Zugangsgeräte zur TI
  • TI-Gateway: Cloud-Zugang für TI 2.0
  • eGK: Elektronische Gesundheitskarte
  • SMC-B: Institutionskarte für Leistungserbringer
  • HBA: Heilberufsausweis für Heilberufler
  • FHIR: Datenformat für Interoperabilität
  • PKI: Zertifikatsinfrastruktur der TI
  • IDP: Identitätsdienst der TI
  • VZD: Verzeichnisdienst der TI
  • gematik: Betreiber und Regulierer der TI
  • BMG: Bundesministerium für Gesundheit, Auftraggeber
  • BSI: Bundesamt für Sicherheit in der Informationstechnik
  • Zero-Trust: Architekturprinzip der TI 2.0

Quellen

Graphansicht

Alle

Backlinks