Tages Archiv

Sehr geehrte Kolleginnen und Kollegen, liebes Praxisteam,

hiermit erhalten Sie von uns wichtige Informationen für den Fall, dass demnächst bei Ihnen Sicherheitszertifikate ablaufen sollten bzw. ein Konnektortausch ansteht:

Für die sichere Kommunikation innerhalb der Telematikinfrastruktur (TI) gibt es diverse Komponenten (Konnektor, eHBA, gSMC-KT, SMC-B), die ein Authentifizierungszertifikat integriert haben. Die spezifische Zertifikatslaufzeit dieser Komponenten beträgt 5 Jahre ab Produktionsdatum des Gerätes. Dies ist eine Sicherheitsanforderung des BSI (Bundesamt für Sicherheit und Informationstechnik). Um keine Fristen zu verpassen und als Folge davon keinen Zugriff mehr auf die TI haben, sollten Sie also rechtzeitig bzw. regelmäßig prüfen, wann die Laufzeit Ihrer Komponenten endet.

Woher weiß ich, wann die Laufzeit meiner TI-Komponenten endet?

SMC-B: Die meisten Kartenproduzenten schreiben den Gültigkeitszeitraum direkt auf der SMC-B Trägerkarte. Wer die Trägerkarte nach dem Herausbrechen des Chips nicht aufbewahrt hat, findet meist alternativ eine digitale Abbildung in entsprechenden Kundenkonto des Kartenproduzenten. Darüber hinaus lässt sich die Gültigkeit des SMC-B-Zertifikats auch auf der Konnektor-Oberfläche ablesen. Bei Konnektoren des Herstellers Secunet sind zum Beispiel unter Praxis > Karten die eingesetzten SMC-B inkl. jeweiligem Ablaufdatum des Zertifikats aufgeführt. Bei Konnektoren des Herstellers RISE sind unter Kartendienst > Verwaltete Karten alle Karten zu finden. Über Details gelangt man zur Versicherteninformation, die u. a. das Ablaufdatum des AUT-Zertifikats der Karte beinhaltet.

eHBA: Der Gültigkeitszeitraum des eHBA ist direkt auf dem eHBA aufgedruckt. Um die Anwendungen des eHBA über diesen Zeitraum hinaus nutzen zu können, müssen Sie vor Ablauf der 5 Jahre einen neuen elektronischen Heilberufeausweis beantragen.

gSMC-KT: Der Gültigkeitszeitraum ist im Konnektor abzulesen. Die Gültigkeitsdauer aller Zertifikate (X.509 und CVC) beträgt mindestens 48 Monate ab Auslieferungsdatum bzw. 60 Monate ab Produktionsdatum.

Konnektor: Haben Sie einen Secunet Konnektor, ist ein Konnektortausch frühestens im Jahr 2024 notwendig. Haben Sie eine KoCo-Box von CGM, dann ist ein Konnektortausch ggf. bereits in diesem Jahr notwendig. Die Laufzeit ist über die Konnektor-Oberfläche unter Praxis > Karten ersichtlich. Die SMC-K enthält das Konnektor-Zertifikat und gibt Ihnen die entsprechende Laufzeit an.

Bestellung von Folgekarten / Konnektoren bei Laufzeitende:

eHBA und SMC-B müssen über die entsprechenden Anbieter bezogen werden. Hier ist darauf zu achten, dass eine „Folgekarte“ bestellt wird, damit sich Ihre Telematik-ID nicht ändert !!!

gSMC-KT: Die Karten können Sie direkt über uns beziehen. Die Kosten hierfür betragen um die 50 Euro zzgl. Versand.

Konnektortausch: Sollte bei Ihnen demnächst ein Konnektortausch anstehen, dann melden Sie sich bitte vor Bestellung unbedingt bei uns. Wir unterstützen Sie dann bei diesem Vorgang.

Sollten Sie Fragen haben zu diesem Artikel oder Unterstützung benötigen, schreiben Sie uns gerne eine Email oder buchen einen Termin direkt in unserem Onlinekalender unter www.zahnarztsoftware.de/dol

Wir freuen uns von Ihnen zu lesen oder zu hören. Gerne unterstützen wir Sie bei allen Themen rund um Praxis-EDV, Telematikinfrastruktur und Zahnarztsoftware.

mehr zu DENS unter www.zahnarztsoftware.de

parseTSL: TSL not readable (I/O error).

Problem:

Im Protokoll des Konnektors wird diese Fehlermeldung angezeigt, sofern ein Problem mit der eingespielten TSL vorliegt.

Lösung:

Eine neue TSL wird spätestens sieben Tage vor Ablauf der Gültigkeit der aktuellen TSL, i.d.R. jedoch ca. alle zwei Wochen, durch die gematik bereitgestellt.

Zunächst prüfen, welche TSL aktuell im Konnektor eingespielt ist:

System > Zertifikate > TSL Information > Sequenznummer

Sofern durch die gematik eine neuere TSL bereitgestellt wurde, kann diese manuell eingespielt werden. Dazu deaktivieren Sie zunächst den Leistungsumfang Online:

Netzwerk > Allgemein > Leistungsumfang Online

Laden Sie anschließend die aktuelle TSL manuell herunter (z. B. via Support-Kit). Support-Kit laden >

Alternativ können Sie die aktuelle TSL hier und den zugehörigen Hashwert hier herunterladen.

Spielen Sie die TSL am Konnektor ein:

System > Zertifikate > TSL hochladen … 

Aktivieren Sie Leistungsumfang Online:

Netzwerk > Allgemein > Leistungsumfang Online 

Starten Sie abschließend den Konnektor neu:

System > Allgemein > Neustart 

SERVER_NOT_RESOLVED_REGSERVER. Die URL zum Registrierungsserver konnte nicht aufgelöst werden.

Fehler bei Registrierung des Konnektors.

Lösung

Es gibt mehrere mögliche Ursachen für diesen Fehler:

  1. Sofern DHCP verwendet wird, überprüfen Sie ob der Konnektor vom Router Informationen zum Gateway erhalten hat.
  2. Eine mögliche Ursache für dieses Problem kann die Verwendung von DS-Lite sein. Es gilt darum die Einstellungen für MTU anzupassen. Dafür muss zwingend die Version 2.0.37 (oder höher) installiert sein.
  3. Möglicherweise kann DNSSEC nicht verwendet werden. Überprüfen Sie ob der Port 53 (TCP/UDP) ausgehend für den Konnektor freigeschaltet ist.
  4. Dieser Fehler kann in Kombination mit dem Fehler 4180 DNS: Es ist ein Fehler bei der Namensauflösung aufgetreten. No location for Service [VPN_REGISTRATION] available! auftreten.Überprüfen Sie dahingehend das Protokoll des Konnektors. Sofern dieser Fehler in Kombination mit dem Fehlern 43014 und 43027 auftritt, beheben Sie zunächst den Fehler 4180.

Gateway überpüfen

Die Überprüfung des Gateways geschieht unter:

Netzwerk > Allgemein > IP-Adresse des Standard-Gateway

Hier sollte, sofern dem Konnektor das Gateway bekannt ist, eine IP-Adresse angezeigt werden.

MTU anpassen

Um den optimalen Wert für MTU zu ermitteln, können Sie unter Windows einen Ping absetzen:

ping -f -l 1500 www.google.de

Reduzieren Sie den Wert 1500 solange (in Zehnerschritten), bis der Ping die Webseite erreichen kann. Dadurch ergibt sich der höchstmögliche Wert für die Einstellung der MTU.

Die anschließende Einstellung des Werts im Konnektors wird folgendermaßen durchgeführt:

Im Parallelbetrieb geschieht dies unter:

Netzwerk > LAN > Einstellungen > LAN-seitige IP-Paketlänge (MTU)

Im Reihenbetrieb geschieht dies unter:

Netzwerk > WAN > Einstellungen > WAN-seitige IP-Paketlänge (MTU)

REG_ERROR_STATUS_SOAP. Fehler bei Statusabfrage beim Registrierungsserver im Registrierungsserver. Fehler: HTTP transport error: java.net.SocketExection: Broken pipe (Write failed) ( – )

Problem:

Das Zertifikat der verwendeten SMC-B ist beim Registrierungsdienst unbekannt.

Lösung:

Die SMC-B wurde nach Erhalt nicht oder sehr kurzfristig vor der Registrierung aktiviert. Wenden Sie sich entsprechend an den Hersteller der SMC-B.


REG_ERROR_STATUS_SOAP. Fehler bei Statusabfrage beim Registrierungsserver im Registrierungsserver. Fehler: HTTP transport error: org.bouncycastle.tls.TlsFatalAlert: internal_error(80) ( – )

Problem:

Die SMC-B kann nicht ordnungsgemäß verwendet werden.

Lösung:

Ziehen Sie die SMC-B aus dem Kartenterminal und stecken Sie sie dann erneut. Alternativ können Sie das Kartenterminal aus- und anschließend wieder anschalten.

REG_ERROR_UNLOCK_KONNEKTOR. Fehler bei Registrierung des Konnektors im Konnektor.

Fehler bei Registrierung des Konnektors. Dieser Fehler ist eine Folgefehler von 43027 SERVER_NOT_RESOLVED_REGSERVER – Die URL zum Registrierungsserver konnte nicht aufgelöst werden.

REG_ERROR_UNLOCK_SOAP. Fehler beim Registrieren des Konnektors am Registrierungsserver. Fehler: HTTP transport error: org.bouncycastle.tls.TlsFatalAlert: internal_error(80) ( – )

Problem:

Die SMC-B kann nicht ordnungsgemäß verwendet werden.

Lösung:

Ziehen Sie die SMC-B aus dem Kartenterminal und stecken Sie sie dann erneut. Alternativ können Sie das Kartenterminal aus- und anschließend wieder anschalten.


REG_ERROR_UNLOCK_SOAP. Fehler beim Registrieren des Konnektors am Registrierungsserver. Fehler: HTTP transport error: java.net.SocketExection: Broken pipe (Write failed) ( – )

Problem:

Das Zertifikat der verwendeten SMC-B ist beim Registrierungsdienst unbekannt.

Lösung:

Die SMC-B wurde nach Erhalt nicht oder sehr kurzfristig vor der Registrierung aktiviert. Wenden Sie sich entsprechend an den Hersteller der SMC-B.


REG_ERROR_UNLOCK_SOAP. Fehler bei Registierung des Konnektors im Registrierungsserver. Fehler: Der Timestamp im Request weicht mehr als 300 Sekunden von der aktuellen Zeit im Registrierungsserver ab

Problem:

Der Konnektor lässt sich nicht beim Registrierungsserver freischalten.

Lösung:

Für eine Lösung siehe Fehler 7061 Fehler bei Registierung des Konnektors im Registrierungsserver. Fehler: Der Timestamp im Request weicht mehr als 300 Sekunden von der aktuellen Zeit im Registrierungsserver ab.

CANT_AUTHENTICATE_TLS_CONNECTION. Der TLS-Dienst konnte mit einer Gegenstelle [https://int.arv.intermediaer.telematik:443/] keine TLS-Verbindung aufbauen

Problem:

Der Konnektor kann keine Verbindung zum Intermediär aufbauen.

Lösung:

Hierbei handelt es sich um kein Problem mit dem Konnektor, sondern um ein temporäres Problem der TI-Infrastruktur oder um ein generelles Problem mit der lokalen Netzwerkinfrastruktur.

Sofern der bereitgestellte Internetanschluss über Router mit VoIP-Integration oder komplexer Firewall (beispielsweise von den Herstellern LANCOM und Zyxel) umgesetzt wird, kann es trotz einer bestehenden VPN-Verbindung zu Problemen bei Versichertenstammdatenabgleich kommen. Durch bestehende Konfiguration der Geräte werden teilweise die aus der TI kommenden Rückantworten an den Konnektor an der Firewall geblockt oder durch eine hohe Fragmentierung der Pakete (im Zusammenhang mit VoIP) die Kommunikation gestört.

Sollten solche Netzwerklösungen verwendetet werden, gilt es die Einstellungen dieser Geräte durch den Systemadministrator überprüfen zu lassen:

  • Die Freigabe der für den Betrieb notwendigen Ports muss gewährleistet sein.
  • Die Fragmentierung der Pakete (MTU-Size) darf den für den Betrieb minimal zulässigen Wert von 576 Byte nicht unterschreiten.

6B00: Wrong parameters P1-P2

Problem:

Beim Einlesen einer eGK kommt es zum Fehler, der Prüfungsnachweis lässt sich nicht auslesen.

Lösung:

Für eine Lösung siehe Fehler 3040 NO_PN – Es ist kein Prüfungsnachweis auf der eGK vorhanden. 6B00: Wrong parameters P1-P2.

Konnektor Update Fehler: Anwendung der UpdateFiles fehlgeschlagen (Eine Aktualisierung konnte nicht installiert werden. Der Fehler konnte nicht ermittelt werden.)

Problem:

Diese Meldung erscheint beim Start der Firmware Installation auf der Konnektor Oberfläche und die Installation wird abgebrochen.

Lösung:

Setzen Sie als Erstes die Aktualisierungsinformation zurück:

System > Aktualisierungen > Alle Aktualisierungsinformationen zurücksetzen

und leeren Sie im nächsten Schritt den Protokollspeicher:

Diagnose > Administration > von unten nach oben die Protokolleinträge löschen

Manche Einträge sind sofort wieder zusehen, was den Prozess nicht beeinflusst. Einmal löschen ist ausreichend.

Nun starten Sie den Konnektor neu und stoßen den Update erneut an:

System > Aktualisierungen > Aktualisierungsinformationen 
aktualisieren (PTV3) / Auf Aktualisierungen in der TI (KSR) prüfen 
(PTV4/PTV4+)

Falls diese Methode fehlschlägt, setzen die Aktualsierungsinformationen erneut zurück und führen Sie den bekannten manuellen Update Prozess durch.