Zum Hauptinhalt springen
News & Insights

Das Update für
Digital Health.

Technologische Tiefe, regulatorische Updates und Einblicke in die Zukunft der Gesundheitsidentitäten.

5 min read

TI 2.0 & sektorale Identity-Föderation: Was DiGA-Hersteller über die neue Telematikinfrastruktur wissen müssen

azuma Team
azuma Team
Core Team

Die Telematikinfrastruktur (TI) ist das digitale Rückgrat des deutschen Gesundheitswesens – und sie durchläuft gerade den größten Umbau ihrer Geschichte. Unter dem Stichwort TI 2.0 löst die gematik die hardwarezentrierte Architektur aus Konnektoren und Karten schrittweise durch ein internetbasiertes, identitätszentriertes Modell ab. Für DiGA-Hersteller ist das keine ferne Infrastruktur-Frage, sondern der Rahmen, in dem GesundheitsID, ePA und E-Rezept funktionieren.

Dieser Artikel erklärt, was sich mit TI 2.0 ändert, wie die sektorale Identity-Föderation funktioniert und was das konkret für die Anbindung deiner Anwendung bedeutet.

Von TI 1.0 zu TI 2.0: der Architektur-Wandel

Die klassische TI (oft TI 1.0 genannt) ist stark hardwaregebunden: Zugang über Konnektoren, Authentisierung über physische Karten wie die eGK (Versicherte) und SMC-B/HBA (Leistungserbringer), abgesichert über dedizierte VPN-Strecken. Das ist sicher, aber unflexibel, teuer im Betrieb und schlecht geeignet für mobile, app-basierte Anwendungen.

TI 2.0 denkt das neu: weg von der Karte und dem Konnektor, hin zu einem internetbasierten Zugang, bei dem Identitäten – nicht Netzwerkgrenzen – das Vertrauen herstellen. Wichtig: TI 1.0 und TI 2.0 existieren während einer mehrjährigen Übergangsphase parallel; der Wandel passiert schrittweise, nicht über Nacht.

Die vier Prinzipien der TI 2.0

Die gematik beschreibt TI 2.0 über einige Kernmerkmale, die das neue Modell prägen:

  • Internetbasiert: Zugang über das offene Internet statt über Konnektor und VPN, abgesichert auf Anwendungsebene.
  • Modular: Lose gekoppelte Dienste statt einer monolithischen Infrastruktur – einzelne Bausteine lassen sich unabhängig weiterentwickeln.
  • Standardbasiert: Etablierte Industriestandards wie OAuth 2.0, OpenID Connect und OIDC Federation statt proprietärer Verfahren.
  • Identitätszentriert (Zero Trust): Jeder Zugriff wird anhand einer verifizierten digitalen Identität geprüft. Vertrauen entsteht nicht mehr durch das Netzwerk, in dem man sich befindet, sondern durch den Nachweis, wer man ist.

TI 2.0 Sektorale Föderationsarchitektur

Das Herzstück: die sektorale Identity-Föderation

Der zentrale Baustein der TI 2.0 ist die Föderation digitaler Identitäten. Statt einer einzigen zentralen Stelle gibt es viele vertrauenswürdige Identity Provider, die über einen gemeinsamen Vertrauensanker zusammenspielen:

  • Die gematik betreibt den Föderationsmaster – die Instanz, die festlegt, welche Teilnehmer der Föderation vertrauenswürdig sind.
  • Die Krankenkassen betreiben sektorale Identity Provider (IDPs), die ihren Versicherten die GesundheitsID ausstellen und die Authentisierung übernehmen.
  • Für Leistungserbringer und Institutionen entstehen entsprechende professionelle Identitäten.
  • Deine Anwendung ist eine Relying Party (ein Fachdienst), die einen Login anfragt und verifizierte Identitätsattribute zurückbekommt.

Das Vertrauen wird kryptografisch über signierte Entity Statements und veröffentlichte Schlüssel (JWKS) hergestellt. Wie diese Föderation für die GesundheitsID konkret aussieht, beschreiben wir im Detail im Beitrag GesundheitsID in eine DiGA integrieren.

Was das für DiGAs und Health-Apps bedeutet

Für dich als Hersteller heißt TI 2.0 vor allem eines: Du wirst zum Teilnehmer einer Föderation. Statt mit einem einzelnen Login-Anbieter zu sprechen, musst deine App dynamisch mit vielen sektoralen IDPs umgehen und sich dem Föderationsmaster gegenüber als legitimer Teilnehmer ausweisen.

Drei praktische Konsequenzen:

  • Standardprotokolle sind Pflicht, reichen aber nicht allein. OIDC beherrscht jedes moderne IAM – die föderationsspezifischen Mechanismen (Entity Statements, OIDC Federation, PKCE, PAR) musst du zusätzlich umsetzen. Warum generische Systeme wie Keycloak oder Auth0 hier an Grenzen stoßen, beleuchtet der Beitrag Keycloak & Auth0 vs. Health-IAM.
  • Identität ist sicherheitsrelevant – und prüfpflichtig. Die Authentisierung ist ein eigener, zertifizierungsrelevanter Block der BSI TR-03161.
  • Die Spezifikationen bewegen sich. TI 2.0 entwickelt sich laufend weiter; was du integrierst, musst du dauerhaft mitpflegen – oder an einen spezialisierten Dienst auslagern.

TI 2.0 und die europäische Ebene

TI 2.0 ist die nationale Antwort auf eine Entwicklung, die auch europäisch läuft: Mit der EUDI Wallet und eIDAS 2.0 entsteht eine EU-weite, identitätszentrierte Infrastruktur, die mittelfristig auch das Gesundheitswesen erfasst. Die nationale sektorale Föderation und die europäische Wallet-Ebene werden koexistieren und zunehmend interoperieren. Was das konkret bedeutet, behandeln wir in einem eigenen Beitrag zum EUDI Wallet im Gesundheitswesen.

So bereitest du dich vor

  • Auf Standards setzen: OIDC/OAuth 2.0 als Fundament, sauber nach BSI-Vorgaben abgesichert.
  • Föderationsfähigkeit einplanen: Entity Statements, JWKS-Hosting, Zertifikatsrotation – selbst bauen oder über einen Baustein abdecken.
  • Wartung mitdenken: Spec-Updates der gematik sind Daueraufgabe, nicht Einmalprojekt.
  • Identität früh aus dem Scope nehmen: Je früher der Identitäts-Layer steht, desto reibungsloser laufen GesundheitsID-Anbindung und TR-03161-Zertifizierung.

Häufige Fragen

Was ist der Unterschied zwischen TI 1.0 und TI 2.0?

TI 1.0 ist hardwarezentriert (Konnektor, eGK, SMC-B, VPN). TI 2.0 ist internetbasiert, modular, standardbasiert und identitätszentriert (Zero Trust). Authentisierung erfolgt über föderierte digitale Identitäten statt über physische Karten und Netzwerkgrenzen.

Was ist die sektorale Identity-Föderation?

Ein Vertrauensverbund, in dem die gematik den Föderationsmaster betreibt und sektorale Identity Provider (z.B. der Krankenkassen) digitale Identitäten wie die GesundheitsID ausstellen. Anwendungen klinken sich als Relying Party ein.

Muss meine DiGA TI 2.0 unterstützen?

Die für DiGAs zentrale Komponente der TI 2.0 ist die GesundheitsID, deren Unterstützung seit Januar 2024 verpflichtend ist. Damit ist die Anbindung an die Föderation für DiGAs faktisch Pflicht.

Lösen TI 2.0 und GesundheitsID die eGK ab?

Mittelfristig ermöglicht TI 2.0 kartenlose, app-basierte Zugänge. Während der Übergangsphase bestehen kartenbasierte und föderierte Verfahren aber parallel.

Du baust eine DiGA oder Health-App und willst den Identitäts-Layer für TI 2.0 nicht selbst aufbauen? Sprich mit unserem Team oder hol dir einen kostenlosen Developer-Zugang und sieh dir an, wie azuma die GesundheitsID-Föderation als fertigen Baustein bereitstellt.

Stand: Juni 2026. Die TI-2.0-Spezifikationen der gematik entwickeln sich laufend weiter – bitte vor Veröffentlichung den aktuellen Stand gegenchecken.