Sichere TI-Anbindung & Zertifikatsmanagement: BSI-zertifizierter Konnektor mit EAL4+-Zertifizierung für vollständige TI-Dienste nach gematik-Vorgaben, automatisches Lifecycle-Management für SMC-B- und eHBA-Zertifikate mit Ablauf-Erinnerung, integrierte Kartenleser-Unterstützung für eGK, eHBA und medizinische Z-Karten sowie verschlüsselter VPN-Tunnel zur gematik-Infrastruktur mit automatischer Wiederverbindung.
Digitale Versorgungsprozesse: eRezept-Abwicklung über standardisierte HL7/FHIR-Schnittstellen, eAU-Verarbeitung direkt aus dem PVS, KIM-Messaging für verschlüsselte Kommunikation zwischen Leistungserbringern, Zugriff und Pflege der elektronischen Patientenakte über sichere Verbindungen sowie eArztbrief-Versand mit qualifizierter elektronischer Signatur.
Sicherheit & Netzwerkschutz: Next-Generation-Firewall mit IDS/IPS-Funktionen für das Praxisnetzwerk, rollenbasierte Zugriffskontrolle für Praxispersonal und IT-Administratoren, TPM-Modul, Secure Boot und Schutz gegen physische Manipulation.
Administration & Monitoring: Monitoring-Dashboard mit Health-Checks, Ereignis-Logs und Alert-Funktionen, automatische Firmware- und Zertifikats-Updates per Remote Management, Multi-Site-Management über zentrales Portal für MVZ und Filialstrukturen, API-Anbindung an über 50 PVS/KIS-Systeme für Single-Sign-On.
Höchste Sicherheitszertifizierung im deutschen Markt erreicht secunet mit der BSI Common Criteria EAL4+-Zertifizierung. Während die meisten Wettbewerber auf dem EAL4-Niveau zertifiziert sind, geht secunet einen entscheidenden Schritt weiter. Diese höchste erreichbare Sicherheitsstufe für zivile IT-Produkte in Deutschland macht die Lösung besonders für Krankenhäuser und KRITIS-Einrichtungen relevant, die nachweisbare Security-Standards dokumentieren müssen.
Inhouse BSI-Labor für präventive Sicherheitsentwicklung betreibt secunet als einziger Konnektor-Hersteller. Das vom BSI anerkannte Testlabor ermöglicht nicht nur die Erfüllung von Konformitätsanforderungen, sondern proaktive Sicherheitsentwicklung und frühzeitige Anpassung an neue Bedrohungslagen. Dieser Entwicklungsvorsprung führt regelmäßig dazu, dass secunet zu den ersten Anbietern mit gematik-Zulassungen für neue Dienste gehört.
Container-basierte Zukunftsarchitektur unterscheidet die technische Umsetzung von traditionellen Konnektor-Lösungen. Modulare Software-Container für einzelne TI-Dienste ermöglichen flexible Updates ohne Gesamtsystem-Neustarts und bereiten optimal auf die TI 2.0 vor. Hardware-Reserven sind bereits für zukünftige Anforderungen wie quantum-resistente Kryptographie eingeplant, was die Investitionssicherheit erhöht.
Einschränkungen betreffen vor allem das Bereitstellungsmodell und die Kostenstruktur. Die Lösung ist primär als On-Premise-Appliance konzipiert – eine vollumfängliche Cloud-Variante wie bei einigen Wettbewerbern ist aktuell nicht verfügbar. Die Preispositionierung liegt etwa 10-15% über Budget-Alternativen. Support-Reaktionszeiten außerhalb der Standard-Geschäftszeiten sind nur gegen Aufpreis verfügbar, und die Qualität des Vor-Ort-Supports hängt stark vom jeweiligen Systemhaus-Partner ab.
Sicherheitskritische Einrichtungen wie Krankenhäuser, Kliniken und MVZ mit hohen Compliance-Anforderungen profitieren besonders von der EAL4+-Zertifizierung und den umfassenden Sicherheitsfunktionen. Die Hardware-Härtung, das rollenbasierte Zugriffsmanagement und die nachweisbare BSI-Konformität rechtfertigen hier den Mehrpreis gegenüber Standardlösungen. Für KRITIS-Einrichtungen, die ihre Security-Architektur dokumentieren müssen, bietet secunet die stärkste Argumentationsbasis.
Multi-Site-Betreiber mit zentraler IT-Verwaltung finden in secunet eine Lösung, die Skalierung und zentrale Administration optimal unterstützt. Apothekenfilialisten, MVZ-Verbünde und Praxisketten können über das zentrale Management-Portal alle Konnektoren an verschiedenen Standorten effizient verwalten. Dies spart erheblichen Administrationsaufwand und gewährleistet einheitliche Sicherheitsstandards über alle Standorte hinweg.
Praxen mit heterogener IT-Landschaft oder anstehenden Systemwechseln schätzen die Herstellerunabhängigkeit der Lösung. Einrichtungen, die nicht an ein spezifisches PVS-Ökosystem gebunden sein wollen, profitieren von den offenen APIs und der Integration in über 50 verschiedene PVS/KIS-Systeme. Diese Flexibilität bietet strategische Vorteile bei Softwarewechseln oder Fusionen mit unterschiedlichen IT-Umgebungen.
Datenschutzbeauftragte und Verantwortliche mit hohem Sicherheitsbewusstsein wählen secunet aufgrund der lückenlosen Zertifizierungskette und der "Made in Germany"-Entwicklung ohne Outsourcing. Für Organisationen, die über gesetzliche Mindestanforderungen hinausgehen und Security als strategisches Differenzierungsmerkmal verstehen, bietet die Lösung die dokumentiert sicherste Option im Markt.
Entscheidende Auswahlkriterien:
Vollständige gematik-Konformität bildet die technische Basis der secunet-Lösung. Der Konnektor erfüllt alle aktuellen gematik-Spezifikationen und ist für sämtliche TI-Pflichtanwendungen zertifiziert, darunter eRezept 1.0, eAU, eArztbrief und ePA. Die automatische Zertifikatsverwaltung verhindert Honorarkürzungen durch abgelaufene Zertifikate – ein häufiges Problem in der Praxis, das ohne entsprechende Monitoring-Funktionen zu finanziellen Einbußen führen kann.
Im praktischen Arbeitsalltag ersetzt die Lösung manuelle Post- und Fax-Prozesse durch verschlüsselte digitale Kommunikation. KIM-Messaging ermöglicht sicheren Datenaustausch zwischen Ärzten, Therapeuten und anderen Leistungserbringern. Das eRezept beschleunigt die Medikamentenvergabe und reduziert Medienbrüche zwischen Arztpraxis und Apotheke. Die eAU verringert den Verwaltungsaufwand bei Krankmeldungen um geschätzt eine Stunde pro Monat, da keine manuellen Übermittlungen an Krankenkassen mehr erforderlich sind.
Die container-basierte Architektur und die vorhandenen Hardware-Reserven bereiten optimal auf die TI 2.0 vor, die verstärkt auf Cloud-Komponenten und OpenID-Connect-Broker setzen wird. secunet kommuniziert frühzeitig Roadmap-Änderungen und bietet damit eine hohe Investitionssicherheit. Die modulare Softwarestruktur ermöglicht Updates einzelner Dienste ohne Gesamtsystem-Neustarts, was die Verfügbarkeit im laufenden Praxisbetrieb erhöht.
Security-Spezialist mit drei Jahrzehnten Expertise ist secunet als börsennotiertes Unternehmen mit rund 1.200 Mitarbeitern und einem Umsatz von 213 Millionen Euro (2023) besonders im öffentlichen Sektor und bei KRITIS-Einrichtungen verankert. Die enge Zusammenarbeit mit dem BSI seit Jahrzehnten prägt die Entwicklungsphilosophie: Security by Design statt nachträglicher Absicherung. Diese Kompetenz aus Hochsicherheitsprojekten für Bundesbehörden fließt direkt in die TI-Komponenten für das Gesundheitswesen ein.
Sämtliche Entwicklung erfolgt in Deutschland ohne Outsourcing, was für Datenschutz-sensible Gesundheitseinrichtungen ein wichtiges Vertrauensmerkmal darstellt. ISO 27001 und ISO 9001 Zertifizierungen belegen durchgängige Prozessqualität. Das Unternehmen betreibt ein partnerzentriertes Servicemodell und vertreibt über ein Netzwerk zertifizierter Systemhäuser im Gesundheitswesen. Die Qualität des Vor-Ort-Supports hängt daher vom gewählten Partner ab – die Partnerauswahl ist erfolgskritisch für eine reibungslose Implementierung und den laufenden Betrieb.
Gehärtete Industrie-Hardware bildet die physische Basis des secunet-Konnektors. Die 1-HE-Appliance verfügt über TPM 2.0, Secure Boot und bei kompakten Modellen über lüfterloses Design für hohe Betriebszuverlässigkeit. Die Embedded-Linux-Distribution ist auf minimale Angriffsfläche optimiert – nur essenzielle Dienste laufen auf dem System. Krypto-Beschleuniger sorgen für Performance auch bei starker Verschlüsselung, sodass die TI-Anbindung nicht zum Engpass bei der Verarbeitung von Versichertenstammdaten oder eRezepten wird.
Neben der standardisierten gematik TI-Gateway-API bietet secunet gut dokumentierte RESTful-APIs mit OpenAPI/Swagger-Spezifikationen. Dies ermöglicht tiefe Integration in übergeordnete IT-Management-Systeme und Custom-Entwicklungen für spezifische Workflow-Anforderungen. Offizielle Integrations-Kits für über 50 PVS/KIS-Anbieter – darunter CGM, Medatixx, Compugroup und Arztpartner – reduzieren Implementierungsrisiken erheblich. Die Single-Sign-On-Integration ermöglicht nahtlosen Zugriff auf TI-Dienste aus der gewohnten Praxissoftware heraus.
Automatisierte Betriebsführung minimiert den täglichen Administrationsaufwand. Over-the-Air-Updates via verschlüsseltem Management-Tunnel, automatisches Zertifikatsmanagement und Health-Monitoring sollen laut Herstellerangabe den Aufwand auf unter fünf Minuten pro Tag reduzieren. Redundanz-Mechanismen wie Failover-Konfigurationen und High-Availability-Setups gewährleisten unterbrechungsfreien Betrieb für kritische Einrichtungen mit 24/7-Anforderungen. Das zentrale Management-Portal bietet Übersicht über alle installierten Konnektoren, Alert-Funktionen bei Störungen und zentrale Konfigurationsmöglichkeiten.
Hardware-Anschaffung liegt bei 3.500-4.500 EUR netto, abhängig vom gewählten Modell und der Konfiguration. Die Einrichtung durch einen zertifizierten Partner und initiale Schulung des Praxisteams schlagen mit 500-1.000 EUR zu Buche. Die jährliche Wartung beträgt etwa 350-450 EUR (circa 10% des Hardwarepreises) und umfasst Software-Updates, Sicherheitspatches und telefonischen Standard-Support während der Geschäftszeiten (8×5).
Der Gesamt-TCO über fünf Jahre beläuft sich damit auf etwa 6.500-7.500 EUR. Diese Kalkulation positioniert secunet im mittleren bis gehobenen Marktsegment, etwa 10-15% über Budget-Alternativen. Zu beachten sind potenzielle Zusatzkosten für Netzwerk-Umbauten, falls VLAN-Segmentierung oder neue Firewall-Regeln erforderlich werden (300-800 EUR). PVS-Updates für volle TI-Kompatibilität können PVS-seitige Zusatzkosten verursachen. Erweiterter 24×7-Support mit kurzen SLAs ist signifikant teurer als der Basis-Vertrag.
Der indirekte ROI entsteht durch eingesparte Porto- und Fax-Kosten (etwa 20-40 EUR monatlich), Zeitersparnis bei der manuellen Zertifikatsverwaltung (circa eine Stunde pro Monat) und Vermeidung von Honorarkürzungen bei TI-Pflichtverstößen. Eine direkte Amortisation der Investition ist schwer messbar, da der Konnektor regulatorisch verpflichtend ist. Der wirtschaftliche Nutzen liegt primär in der Effizienzsteigerung und Fehlerreduktion bei Verwaltungsprozessen.
Unkomplizierter Hardware-Tausch charakterisiert die Migration von bestehenden Konnektoren anderer Hersteller. Der Prozess umfasst den Austausch der Appliance und den Export/Import der PVS-Konfiguration. Da keine Patientendaten auf dem Konnektor gespeichert werden, beschränkt sich das zu übertragende Datenvolumen auf Konfigurationsdateien und Zertifikate. Die typische Installationszeit durch einen technischen Consultant beträgt vier bis sechs Stunden, davon etwa zwei Stunden für Netzwerkkonfiguration und Integration.
Der Schulungsaufwand sollte nicht unterschätzt werden. Eine zweistündige Grundschulung für das Praxisteam zur Nutzung der TI-Dienste ist essentiell für die Akzeptanz im Arbeitsalltag. Change-Management durch frühzeitige Kommunikation über die Vorteile – Zeitgewinn durch digitale Prozesse, Fehlerreduktion bei Zertifikaten – erhöht die Nutzerakzeptanz signifikant. Widerstände gegen Veränderung lassen sich durch praktische Demonstrationen der vereinfachten Abläufe reduzieren.
Kritische Erfolgsfaktoren bei der Einführung sind sorgfältige Netzwerk-Vorbereitung anhand der technischen Checkliste, die Wahl eines erfahrenen Implementierungspartners aus dem secunet-Netzwerk und eine initiale PVS-Kompatibilitätsprüfung. Typische Stolpersteine sind Firewall-Fehlkonfigurationen, die den Zugriff auf gematik-Dienste blockieren, und veraltete PVS-Versionen ohne aktuelle TI-Gateway-API-Unterstützung. Eine Pilotphase mit begrenztem Nutzerkreis vor dem Vollbetrieb minimiert Produktivitätseinbußen.
Vorteile:
Herausforderungen:
Technisch ist die Lösung problemlos auch in kleinen Einzelpraxen einsetzbar und erfüllt alle gematik-Anforderungen. Allerdings sollte das Premium-Preisniveau (etwa 10-15% über Budget-Alternativen) gegen die tatsächlichen Sicherheitsanforderungen abgewogen werden. Für Hausarztpraxen ohne besondere Compliance-Auflagen oder KRITIS-Status gibt es günstigere Alternativen. Für Praxen mit hohem Datenschutzbewusstsein, sensiblen Patientendaten oder besonderen Sicherheitsanforderungen bietet secunet das stärkste Sicherheitsprofil im Markt.
Die Installation durch einen zertifizierten secunet-Partner wird empfohlen und dauert etwa vier bis sechs Stunden. Grundlegende IT-Kenntnisse – insbesondere Netzwerkkonfiguration, VLAN-Einrichtung und Firewall-Regeln – sind für eine Eigeninstallation erforderlich. Theoretisch ist eine Selbstinstallation möglich, birgt aber Risiken bei Netzwerk-Fehlkonfigurationen, die zu Verbindungsproblemen mit der gematik-Infrastruktur führen können. Die Unterstützung durch einen Dienstleister minimiert Ausfallzeiten und gewährleistet korrekte Integration in bestehende PVS-Systeme.
secunet gehört regelmäßig zu den ersten Anbietern mit gematik-Zulassungen für neue TI-Dienste. Das eigene BSI-Labor und die enge Zusammenarbeit mit der gematik während der Spezifikationsphase ermöglichen einen Entwicklungsvorsprung. Die modulare Container-Architektur erlaubt Software-Updates für neue Funktionen ohne Hardware-Tausch. Neue Dienste werden per automatischem Over-the-Air-Update ausgerollt, sobald die gematik-Zulassung vorliegt – ohne dass ein Techniker vor Ort sein muss.
Der wesentliche Unterschied liegt in der Sicherheitszertifizierung: secunet bietet als einziger Anbieter EAL4+ statt Standard-EAL4. Für KRITIS-Einrichtungen und sicherheitskritische Umgebungen ist dies ein entscheidendes Differenzierungsmerkmal. Zusätzlich unterscheidet sich die Hardware-Qualität – gehärtete Industrie-Komponenten statt Consumer-Grade-Hardware. Die Herstellerunabhängigkeit durch offene APIs und breite PVS-Kompatibilität bietet strategische Flexibilität bei Systemwechseln. Budget-Alternativen sind für Standardanwendungen ausreichend, bieten aber weniger Sicherheitstiefe und Zukunftssicherheit.
Das webbasierte Management-Portal ermöglicht Übersicht und Steuerung aller installierten secunet-Konnektoren über eine zentrale Oberfläche. IT-Verantwortliche können Firmware-Updates koordiniert ausrollen, Zertifikate standortübergreifend überwachen, einheitliche Sicherheitsrichtlinien implementieren und Health-Status aller Geräte in Echtzeit einsehen. Alert-Funktionen informieren proaktiv bei Störungen oder anstehenden Zertifikatsabläufen. Die rollenbasierte Zugriffskontrolle ermöglicht differenzierte Berechtigungen für zentrale IT-Administration und lokale Standort-Verantwortliche.
Bei Hardware-Ausfall sind TI-Dienste temporär nicht verfügbar – analoges Rezept und Fax-Übermittlung müssen übergangsweise genutzt werden. Die Wiederherstellung erfolgt durch Austausch der Appliance und Wiedereinspielen der Konfiguration aus dem Backup. Für kritische Einrichtungen mit 24/7-Anforderungen bietet secunet High-Availability-Konfigurationen mit redundanten Konnektoren und automatischem Failover. Die Ersatzteillieferung erfolgt je nach Service-Level innerhalb von 24-48 Stunden (Standard) oder innerhalb von vier Stunden (Premium-SLA gegen Aufpreis). Regelmäßige Konfigurations-Backups minimieren Wiederherstellungszeiten.
