ehex-Chef Naujokat zum Konnektortausch Ende 2025

Ende 2025 laufen die RSA-Zertifikate in der Telematikinfrastruktur ab – zehntausende Konnektoren in Arztpraxen müssen deshalb ausgetauscht oder ersetzt werden. Im Interview mit dem änd erklärt ehex-Geschäftsführer Frederic Naujokat, warum der Zeitplan ernst zu nehmen ist, wie der Umstieg auf das TI-Gateway gelingt – und weshalb ein Rückfall ins Papierzeitalter droht, wenn jetzt nicht gehandelt wird..

Herr Naujokat, bis Ende des Jahres müssen in zehntausenden Praxen Konnektoren ausgetauscht werden. Hintergrund ist der Umstieg auf neue Verschlüsselungsalgorithmen in der Telematikinfrastruktur. Wie bewerten Sie die Dringlichkeit des Konnektortauschs angesichts der bevorstehenden Ablauffrist für RSA-Zertifikate?

Das Thema ist dringend und sollte nicht auf die lange Bank geschoben werden. Die aktuelle Frist bezieht sich auf die Ablauffristen der RSA-Zertifikate, die etwa für das E-Rezept oder qualifizierte elektronische Signaturen essenziell sind. Eine erneute Verlängerung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nach unserem Kenntnisstand sehr unwahrscheinlich. Und es betrifft nicht nur die Konnektoren selbst, sondern auch Kartenkomponenten wie SMC-Bs und eHBAs. Die Versorgung mit diesen Komponenten ist begrenzt – es handelt sich nicht um Massenware, sondern um individuell zugeordnete Zertifikate. Deshalb ist klar: Der Austausch muss rechtzeitig organisiert werden. Wer wartet, riskiert Engpässe.
Die Kassenärztliche Bundesvereinigung hat vor Versorgungsausfällen gewarnt, falls der Tausch nicht fristgerecht erfolgt. Teilen Sie diese Einschätzung?

Es sind sicherlich nicht Mensch, Leib und Leben in Gefahr. Die Versorgung kann auch ohne TI vollzogen werden. Aber das E-Rezept zum Beispiel ist mittlerweile ein wichtiger Bestandteil der Versorgung. Das heißt, die Praxen müssten dann auf das Muster 16 wechseln. Das wäre ein erheblicher Rückschritt – nicht nur technisch, sondern auch in der Akzeptanz digitaler Prozesse – und ein dramatischer Imageverlust. Die bisherigen Fortschritte in der Digitalisierung würden an Glaubwürdigkeit verlieren.
Mit dem TI-Gateway steht eine Alternative zum physischen Konnektor bereit. Was passiert derzeit konkret in den Rechenzentren?

Seit Februar befinden wir uns im Massen-Roll-out. Als Hersteller des TI-Gateways arbeiten wir mit mehreren Rechenzentrumsbetreibern wie Akquinet, infinity managed services (ims) oder Arvato zusammen. Diese betreiben sogenannte Gateway-Cluster, in denen jeweils mehrere Tausend Konnektoren ersetzt werden können. Insgesamt haben wir Kapazitäten für rund 30.000 Konnektoren aufgebaut – sowohl für Neuinstallationen als auch für Migrationen bestehender Praxen. Die Umstellung erfolgt in enger Abstimmung mit den Praxis-IT-Dienstleistern. Alle relevanten Zulassungs- und Redundanztests der Gematik wurden durchlaufen.
Wie schnell kann eine Praxis auf das TI-Gateway umgestellt werden – technisch und organisatorisch?

Die eigentliche technische Umstellung dauert durchschnittlich zwischen 30 und 60 Minuten. In der Regel läuft sie remote, also ohne Vor-Ort-Besuch. Der Aufwand entsteht eher im organisatorischen Vorfeld – etwa bei der Terminvereinbarung oder der Einrichtung des Fernzugriffs. Der Übergang erfolgt im laufenden Praxisbetrieb. Wichtig ist: Das Gateway verhält sich gegenüber dem Primärsystem wie ein Konnektor. Das heißt, es sind keine tiefgreifenden Anpassungen am PVS notwendig.
Wie wurde Ihr Gateway auf Interoperabilität und Ausfallsicherheit getestet – gerade im Hinblick auf Anwendungen wie eAU, KIM oder ePA? 

Die Gematik verlangt für die Zulassung umfangreiche Funktionstests mit allen relevanten TI-Diensten – inklusive Referenz- und Produktivumgebungen. Hinzu kam bei unserem infinity gate ein zwölfmonatiger Friendly-User-Test unter realen Bedingungen. Dabei traten keine Systemausfälle auf. Hinsichtlich der Ausfallsicherheit wurde unser Gateway von Beginn an redundant über zwei Standorte ausgelegt. Bei einem Standortausfall übernimmt der andere automatisch innerhalb weniger Minuten. Die Rechenzentren sind über eigens verlegte Glasfasertrassen verbunden, um eine hochverfügbare Synchronisation zu gewährleisten.
Was sagen die Rückmeldungen aus Pilotpraxen?

Die Rückmeldungen betreffen weniger spektakuläre Einzelereignisse als spürbare Verbesserungen im Alltag. Etwa, dass Verzeichnissuchen schneller funktionieren oder dass die KIM-Kommunikation deutlich beschleunigt ist. Viele Anwender berichten auch, dass typische Störungen wie Konnektor-Neustarts entfallen. Es geht also weniger um neue Funktionen als um einen stabileren und wartungsärmeren Betrieb – was für viele Praxen einen echten Unterschied macht.
Was sind aus Ihrer Sicht die spürbarsten Veränderungen für Praxen beim Umstieg aufs TI-Gateway?

Zum einen entfällt die technische Betreuung des Konnektors vor Ort – inklusive Neustarts, Updates oder SMC-B-Freigaben. Zum anderen berichten viele Praxen von einer verbesserten Performance bei alltäglichen Prozessen, etwa bei der eAU oder beim Zugriff auf Adressverzeichnisse. Die Anwendungen laufen stabiler, weil sie auf eine zentral gewartete Infrastruktur zurückgreifen. Allerdings setzt das auch eine verlässliche Internetverbindung in der Praxis voraus. Hier empfehlen wir ausdrücklich Geschäftskundentarife mit garantierter Bandbreite und ggf. Ausfallsicherung.
Wie ist der Umstieg finanziell geregelt – und gibt es Unterschiede bei den Anbietern?

Die Kosten für das TI-Gateway werden im Rahmen der TI-Pauschale refinanziert. Alle Anbieter bewegen sich innerhalb dieses Budgets. Der Wettbewerb hat in den vergangenen Monaten zugenommen – was dazu geführt hat, dass einige Anbieter sogar unterhalb der Pauschale bleiben. Für Praxen kann sich ein Anbieterwechsel also auch finanziell lohnen.
Ein Blick nach vorn: Das TI-Gateway gilt als vorbereitender Schritt für die TI 2.0. Ist deren Start 2026 noch realistisch?

Die Umstellung auf die TI 2.0 erfolgt ja schrittweise – es wird keinen festen Stichtag geben. Einzelne Komponenten, etwa das E-Rezept oder die geplante E-Rechnung, sind bereits nach den Prinzipien der TI 2.0 konzipiert. Im vierten Quartal 2025 soll die E-Rechnung als erstes echtes TI-2.0-Anwendungselement in den Echtbetrieb gehen. Das Gateway ist für diese Anforderungen vorbereitet – sowohl technisch als auch architektonisch.

Was ist TI-Gateway?

Das TI-Gateway ist die nächste Ausbaustufe der Telematikinfrastruktur-Anbindung. Es ersetzt den Konnektor in der Praxis durch eine zentral gehostete Gateway-Lösung in einem Rechenzentrum. Die Praxis bleibt weiterhin über einen VPN-Zugang (SMC-B-gesteuert) an die TI angebunden, jedoch erfolgt die Verarbeitung der TI-Protokolle nicht mehr lokal, sondern im Backend des zertifizierten Dienstleisters.

Damit entfällt die Notwendigkeit für regelmäßige Hardware-Tauschzyklen in den Praxen. Betrieb, Wartung und Sicherheitsupdates liegen künftig zentral bei qualifizierten TI-Dienstleistern. Die Integration ins PVS erfolgt wie bisher über definierte Schnittstellen. Für die Praxis versprechen die Anbieter weniger technischen Wartungsaufwand und eine verbesserte Ausfallsicherheit, da zentrale Systeme skalierbarer und leichter zu aktualisieren seien.

Die Gateway-Lösung ist zertifizierungspflichtig und unterliegt – wie der Konnektor – den Vorgaben der Gematik und des BSI. Voraussetzung für den Umstieg ist, dass PVS, Kartenterminals und Praxisprozesse mit der neuen Anbindungslogik kompatibel sind. Der Wechsel auf das TI-Gateway ist auch Voraussetzung für die Nutzung moderner Verschlüsselungsverfahren wie ECC (Elliptic Curve Cryptography), die die RSA-basierte TI-Ablage vollständig ablösen sollen.