Gematik startet mit Zero Trust die digitale Gesundheits-Revolution

Die deutsche Telematikinfrastruktur (TI) wird grundlegend neu aufgestellt. Die zuständige Agentur gematik hat heute die ersten Kernelemente ihres neuen Zero Trust Access-Standards (ZETA) veröffentlicht. Damit beginnt der Abschied vom geschlossenen, hardwareabhängigen Netz – dem Fundament der digitalen Gesundheitsversorgung seit fast zehn Jahren.

Die heute in Berlin vorgestellten ZETA-Komponenten markieren den ersten konkreten Schritt zur lang erwarteten TI 2.0. Das neue Sicherheitskonzept stellt das bisherige Prinzip auf den Kopf: Statt einem vermeintlich sicheren, geschlossenen Netz vertraut es grundsätzlich keinem Netzwerk mehr – weder intern noch extern. Jeder Zugriff auf Daten oder Systeme muss einzeln geprüft und autorisiert werden.

„Zero Trust ist ein zentraler Baustein für die TI 2.0“, erklärte gematik. „Ein einheitlicher Vertrauensraum auf Basis von ZETA ersetzt das bisherige geschlossene TI-Netz.“

Erstmals veröffentlicht die Behörde diese produktionsreifen und sicherheitsgeprüften Komponenten als Open-Source-Software. Das ZETA Client Software Development Kit (SDK) und der ZETA Guard für Dienste stehen ab sofort auf GitHub für Industrie-Partner bereit. Hersteller von Praxisverwaltungssystemen und Krankenhausinformationssystemen können damit sicheren TI-Zugang direkt in ihre Software integrieren – und langfristig auf separate Konnektor-Hardware verzichten.

Die jüngsten TI-Ausfälle machen deutlich: Perimeter-Security reicht nicht mehr aus. Unser kostenloser Report „Cyber Security Awareness Trends“ zeigt, wie Krankenhäuser, Praxen und Softwareanbieter pragmatische Maßnahmen umsetzen können – von einfachen Awareness-Checks bis zu konkreten Schritten in Richtung Zero Trust. Inklusive praktischer Checkliste, wie Sie Systeme gegen Seitwärtsbewegungen im Netz härten. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Fahrplan bis 2026: VSDM und mobiler Zugang führen

Die Einführung der neuen Architektur erfolgt schrittweise, aber zügig. Den ersten Praxistest soll VSDM 2.0 bestehen, die Aktualisierung des Versichertenstammdaten-Managements. Dieser Dienst, der millionenfach täglich in Praxen zur Versichertenprüfung genutzt wird, soll Mitte 2026 mit ZETA live gehen.

Im weiteren Verlauf des Jahres 2026 plant gematik, ZETA auf den mobilen Zugang für Versicherte auszuweiten. Diese Entwicklung ist entscheidend für die „ePA für alle“, die elektronische Patientenakte, die dieses Jahr für gesetzlich Versicherte verpflichtend wurde. Ab 2027 sollen dann alle großen TI-Anwendungen – wie das E-Rezept und die sichere Kommunikation (KIM) – auf den Zero-Trust-Standard migrieren.

„Mit ZETA bieten wir der Industrie Komponenten an, die sie sofort integrieren können, ohne sie selbst entwickeln zu müssen“, so ein gematik-Sprecher. „Das soll Sicherheit und Betriebsstabilität der TI weiter erhöhen.“

Hintergrund: Ausfälle und veraltete Hardware erhöhen Druck

Die Dringlichkeit dieser Modernisierung wurde erst vor wenigen Tagen deutlich. Am 13. Dezember führte eine Teilstörung beim Worldline TI-Gateway dazu, dass angeschlossene Ärzte und Apotheken stundenlang weder auf die ePA noch auf E-Rezepte zugreifen konnten.

Solche Vorfälle zeigen die Schwachstellen des aktuellen, zentralisierten Gateway- und Konnektor-Modells. Die ZETA-Architektur zielt genau darauf ab: Sie will diese Single Points of Failure entschärfen, indem sie die Vertrauensprüfung dezentralisiert und die Abhängigkeit von spezieller Hardware reduziert.

Die Ankündigung fällt zudem in eine kritische Phase für Arztpraxen. Tausende physikalische Konnektoren mit veralteten RSA-Verschlüsselungszertifikaten laufen am 31. Dezember 2025 aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Kassenärztliche Bundesvereinigung (KBV) warnen: Praxen, die bis dahin nicht auf ECC-Standards (Elliptic Curve Cryptography) umgerüstet oder zu einem TI-Gateway migriert haben, verlieren den Zugang zur digitalen Infrastruktur.

Experten: „Radikaler, aber notwendiger Schritt“

Cybersicherheitsexperten bewerten den Wechsel zum Open-Source-Zero-Trust-Modell als radikale, aber überfällige Modernisierung für den deutschen Gesundheitssektor.

„Den Quellcode zu veröffentlichen, ist für eine Behörde ein mutiger Schritt, aber er folgt modernen Sicherheitsstandards“, sagt Dr. Lena Schmidt, Cybersicherheitsanalystin aus München. „Security through Obscurity‘ hat versagt. Indem gematik die Community den ZETA-Code prüfen lässt, versucht es, Vertrauen durch Transparenz aufzubauen – ironischerweise mit einem ‚Zero Trust‘-System.“

Der Schritt folgt auch den Warnungen des BSI. In seinem jüngsten Jahresbericht stellte die Behörde fest, dass fast die Hälfte der Betreiber Kritischer Infrastrukturen über keine ausreichenden Angriffserkennungssysteme verfügt. Das ZETA-Modell setzt hier an: Es verlagert die Sicherheit vom Netzwerk-Perimeter hin zur Überprüfung einzelner Identitäten und Geräte. Das erschwert es Angreifern erheblich, sich nach einem ersten Eindringen im Netzwerk seitlich zu bewegen.

Ausblick: Druck auf Software-Hersteller steigt

Zum Jahresende 2025 liegt der Ball nun bei den Software-Anbietern. Sie müssen die neuen ZETA-Komponenten integrieren. Für Ärzte und Apotheker bleibt die kurzfristige Priorität, ihre Systeme über die Zertifikats-Ablaufgrenze am 31. Dezember zu retten.

Die langfristige Perspektive des heutigen Starts ist jedoch eine Gesundheitsversorgung, in der Sicherheit unsichtbar, hardwarefrei und ausfallsicher ist – ein Kontrast zur konnektor-lastigen Realität des letzten Jahrzehnts. Gematik hat für Januar 2026 weitere technische Workshops für Entwickler angekündigt, um die Einführung des neuen Standards zu beschleunigen.

PS: Entwickler, IT-Verantwortliche und Praxisbetreiber, die jetzt ZETA integrieren, finden in unserem Gratis-Report konkrete Schutzmaßnahmen und schnelle Umsetzungs-Tipps — von Audit-Checklisten bis zu Awareness-Maßnahmen für Mitarbeitende. So reduzieren Sie Ausfallrisiken bei ePA, E-Rezept und KIM. Gratis Cyber-Security-Leitfaden sichern