Ab dem 1. Januar 2026 dürfen eHBA der Generation 2.0 aus Sicherheitsgründen (Pressemeldung der Bundesnetzagentur vom 06.09.2024*) nicht mehr eingesetzt werden, da diese nur den Verschlüsselungsalgorithmus RSA 2048-Bit verwenden. Davon ist eine große Anzahl der derzeit im Umlauf befindlichen elektronischen Heilberufsausweise betroffen. Ein Austausch dieser Karten ist noch im Laufe dieses Jahres erforderlich. Im Wesentlichen handelt es sich dabei um eHBA der Anbieter D-Trust/Bundesdruckerei und DGN/medisign.

Die eHBA der Nachfolgegeneration 2.1 verfügen zusätzlich über den Verschlüsselungsalgorithmus ECC (Elliptic Curve Cryptography), der ab 2026 den alten RSA-Algorithmus ablösen wird. Diese Verschlüsselung entspricht nicht nur dem aktuellen Stand der Technik, sondern gewährleistet auch die Zukunftsfähigkeit und Performance der Telematikinfrastruktur. Die Kartengeneration ist auf der Rückseite des elektronischen Heilberufsausweises oben rechts unter dem CE-Zeichen vermerkt und kann mit einem Blick geprüft werden. Für Ausweise der Generation 2.1 ist kein Austausch notwendig.

Frühzeitiges Handeln verhindert Nutzungsausfälle

Die Anbieter werden die betroffenen Ärztinnen und Ärzte in mehreren Informationswellen gezielt anschreiben und über das notwendige Vorgehen informieren. Die Verfahren zum Kartentausch unterscheiden sich im Detail zwischen den Anbietern. Die Anbieter informieren darüber hinaus auf eigenen Webseiten (Bundesdruckerei, medisign) ausführlich zum Thema.

eHBA der Generation 2.0 ohne ECC-Unterstützung werden automatisch zum 31.12.2025 gesperrt. Sie können ab dem 01.01.2026 Ihre Karte nicht mehr für den Zugang zur Telematikinfrastruktur und deren Anwendungen oder zum Signieren von z. B. E-Rezepten verwenden. Um die berufliche Handlungsfähigkeit zu sichern, sollten Ärztinnen und Ärzte in jedem Falle rechtzeitig auf das Anschreiben ihres Anbieters reagieren und den für den Austausch notwendigen Schritten folgen.

Bundesärztekammer

* Vor dem Hintergrund der „Empfehlung für die Nutzung von Algorithmen“ auf dieser Seite (eI­DAS 2.0) weist die Bundesnetzagentur auf folgenden aktuellen Sachverhalt hin. Der RSA-Algorithmus mit einer Schlüssellänge von 2048 Bits verliert gemäß dem aktuellen SOG-IS-Katalog v1.3 zum 31.12.2025 seine Eignung. Dasselbe gilt für alle RSA-Schlüssellängen mit mindestens 1900 und weniger als 3000 Bits. Insbesondere Vertrauensdiensteanbieter und Konformitätsbewertungsstellen, aber auch benannte Stellen für die Zertifizierung von qualifizierten Signatur- bzw. Siegelerstellungseinheiten sind daher dringend aufgerufen, die verwendeten kryptographischen Algorithmen ihrer Produkte und Dienste zu überprüfen und ggf. rechtzeitig anzupassen.