TI 2.0 wird Zero Trust: Was ZETA für Ihr Krankenhaus-Primärsystem bedeutet

„Die Telematikinfrastruktur wird auf Zero Trust umgestellt." Was nach einem Infrastrukturprojekt der gematik klingt, landet am Ende in der Software, die in Kliniken täglich läuft — im Primärsystem. Für Hersteller von Krankenhausinformationssystemen (KIS) und für die Klinik-IT bedeutet ZETA konkrete Integrationsarbeit in der eigenen Anwendung.

Dieser Artikel ordnet ein, was ZETA ist, was sich für das Primärsystem ändert, was das Open-Source-Release der gematik liefert und was nicht, welche Integrationswege es gibt und wer die Zulassung trägt — und welche Termine den Takt vorgeben.

Sie wollen ZETA früh für Ihr Primärsystem einordnen? Sprechen Sie mit uns in einem Erstgespräch.

Was ZETA ist

Zero Trust ist ein Sicherheitskonzept, das niemandem automatisch vertraut — weder innerhalb noch außerhalb des Netzes. Jeder Zugriff wird geprüft und autorisiert. Die gematik nennt ihre Zero-Trust-Architektur für die TI ZETA (Zero Trust Access). Ein einheitlicher Vertrauensraum auf Basis von ZETA löst das bisherige, geschlossene TI-Netz ab.

ZETA hat zwei Kernkomponenten. Der ZETA Client wird auf der zugreifenden Seite eingebunden, also im Primärsystem. Der ZETA Guard sitzt vor jedem TI-2.0-Dienst und besteht aus einem Policy Enforcement Point (PEP), einem Policy Decision Point (PDP) und betrieblichen Komponenten. Ein TI-2.0-Dienst ist dann „ZETA Guard plus mindestens ein Resource Server". Charakteristisch ist die Registrierung von Gerät und Anwendung auf eine Identität.

Was sich für das Primärsystem ändert

Primärsystem ist der Oberbegriff für Praxisverwaltungssysteme, Krankenhausinformationssysteme (KIS) und ähnliche Systeme. Unter ZETA binden die Hersteller das ZETA-Client-SDK in ihre Anwendungen ein, damit diese die Dienste der TI 2.0 aufrufen können.

Die Änderung reicht damit von der Netzwerkgrenze, an der früher der Konnektor saß, bis in die Anwendung selbst: Das Primärsystem wird zum geprüften Teilnehmer, registriert auf eine Identität, statt hinter einem vertrauten Netzwerk-Perimeter zu liegen.

Daneben läuft die Konnektor-Umstellung auf eigener Spur. Anfang 2026 verlieren ältere RSA-Konnektoren ihre Zulassung, die Verschlüsselung wandert auf ECC, und Highspeed-Konnektor und TI-Gateway sind die Anbindungswege. Diese Termine haben kurzfristig regulatorische Wirkung. ZETA ist die mittelfristige Richtung, die das Vertrauensmodell selbst verändert. Beides hängt zusammen, ist aber getrennt terminiert — wer es vermischt, plant falsch.

Das Open-Source-Release: gegeben und zu bauen

Am 15. Dezember 2025 hat die gematik die erste Version der ZETA-Kernkomponenten als Open Source veröffentlicht — ein SDK für den ZETA Client und den ZETA Guard, öffentlich auf GitHub. Die Komponenten stehen für Test- und Integrationszwecke bereit. Die gematik beschreibt sie als produktivtauglich und sicherheitsgeprüft: Industriepartner sollen sie direkt integrieren, statt sie selbst zu entwickeln.

Gegeben sind also Referenzkomponenten und ein SDK. Zu bauen bleibt die Integration dieses SDK in die konkrete Architektur eines Primärsystems, die Behandlung von Geräte- und Identitätsregistrierung und die Konformitätsarbeit bis zur Zulassung. „Müssen Sie nicht selbst entwickeln" gilt für den Sicherheitskern, nicht für die produktspezifische Integration.

Integrationswege und wer die Zulassung trägt

In der Praxis gibt es mehrere Wege: das ZETA-Client-SDK direkt in das Primärsystem integrieren; den TI-Zugang über ein TI-Gateway-Angebot beziehen, bei dem ein Anbieter mehr Betrieb übernimmt; oder mit einem Integrationspartner arbeiten. Die gematik ist und bleibt die Zulassungsstelle für TI-Produkte einschließlich der Primärsysteme. Die Verantwortung für Konformität und Zulassung des integrierten Primärsystems liegt deshalb beim Produkthersteller, unabhängig davon, wer den Integrationscode schreibt. Ein Partner kann die Integration übernehmen; die Zulassungspflicht des Herstellers nimmt er ihm nicht ab.

Unklar, welcher Integrationsweg zu Ihrem KIS passt? Wir ordnen die Optionen mit Ihnen ein.

Der Zeitplan

• 15. Dezember 2025: erste ZETA-Komponenten als Open Source veröffentlicht.
• Mitte 2026: ZETA kommt erstmals mit der neuen Anwendung VSDM 2.0 zum Einsatz; der PoPP-Dienst (Proof of Patient Presence) gehört zur ersten Stufe. Der mobile Zugang für Versicherte folgt ebenfalls 2026.
• Ab 2027: weitere TI-Anwendungen werden auf ZETA umgestellt.
• Bis 2029: vollständige Umstellung der TI auf Zero Trust angestrebt.

Eine ehrliche Einordnung: Die datierten Konnektor-Termine 2026 haben regulatorische Wirkung. Die ZETA-Migrationsfolge 2026 → 2027 → 2029 ist nach derzeitiger Quellenlage vor allem Roadmap der gematik, kein einzelner gesetzlich fixierter Stichtag. Wer plant, sollte verbindliche Fristen von Roadmap-Zielen unterscheiden.

Beispiel: Wie eine ZETA-Integration abläuft

Ein KIS-Hersteller will VSDM 2.0 über ZETA anbinden — das folgende Beispiel ist illustrativ, kein konkretes Projekt. Schritt eins ist die Einbindung des ZETA-Client-SDK in die Primärsystem-Anwendung. Dann kommen die Geräte- und App-Registrierung auf eine Identität, der Aufruf des Fachdienstes über den ZETA Guard, das Fehler- und Logging-Verhalten und schließlich die Konformitäts- und Zulassungsarbeit. Den Sicherheitskern liefert die gematik; der Aufwand liegt in der sauberen Einpassung in eine über Jahre gewachsene KIS-Architektur.

Was das für deutsche Krankenhäuser bedeutet

Zero Trust passt zur Datenlage im deutschen Gesundheitswesen. Patientendaten sind besonders schützenswert, und ZETA verlagert die Prüfung vom Netzwerkrand auf jeden einzelnen Zugriff. Für Kliniken zählt dabei, wo Identitäten, Token und Entscheidungspunkte liegen und wie die Integration die Datenhoheit wahrt.

Genau hier arbeitet Surfgreen.dev: als Integrationspartner für Python- und Django-basierte Systeme mit Fokus auf DSGVO-konforme, in Deutschland betriebene Lösungen. Die ZETA-Komponenten der gematik sind Open Source; die Arbeit liegt in der Integration in das jeweilige Primärsystem. Das ist eine Software- und Engineering-Aufgabe, und als solche planbar.

Drei Fragen zur Einordnung

1. Bauen wir die ZETA-Integration selbst, beziehen wir sie über ein TI-Gateway, oder holen wir einen Partner?
2. Wer trägt die Zulassung — und ist klar, dass sie beim Hersteller bleibt?
3. Welche unserer Termine sind gesetzlich verbindlich, welche sind Roadmap?

Wer diese drei Fragen beantworten kann, hat ZETA als das eingeordnet, was es ist: eine terminierte Integrationsaufgabe mit klarer Verantwortungsverteilung.

Wenn Sie diese Fragen für Ihr Haus durchgehen wollen: Vereinbaren Sie ein Erstgespräch mit Surfgreen.dev.