mos6581
Goto Top

Telematikinfrastruktur Erfahrungsaustausch

Moin,

unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. Da ich weiß, dass einige von euch ebenfalls im medizinischen Bereich tätig sind, wollte ich diesen Thread zum Erfahrungsaustausch ins Leben rufen.

Aktuell hat von meinen Kunden noch keiner konkret umgestellt. Bis jetzt scheint es mir sinnvoll, die Umstellung durch einen unabhängigen Dienstleister (welcher meist Hersteller der Praxissoftware ist) durchführen zu lassen, um sich da nicht mehr Probleme als nötig zu machen. Wobei ich bis jetzt wenig positives berichtet bekommen habe...

Aus technischer Sicht ist von den ausführenden Stellen nicht all zu viel Information, welche über das Level "digitale Datenautobahn" hinausgeht, zu erwarten. Das einzige technische was ich bisher dazu gefunden habe, ist das Whitepaper der Gematik.

Hat von euch schon jemand solch eine Umstellung durchgeführt bzw. wurde hinzugezogen?

Schönen Freitag,

MOS

Content-ID: 365008

Url: https://administrator.de/forum/telematikinfrastruktur-erfahrungsaustausch-365008.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

aqui
aqui 16.02.2018 um 09:35:43 Uhr
Goto Top
Dein geposteter Link erzeugt ein "404 Not found" Error face-sad
MOS6581
MOS6581 16.02.2018 um 09:39:26 Uhr
Goto Top
Ups - gefixt. Habe gerade auch gesehen, dass es dazu bereits einen Thread gibt.
StefanKittel
StefanKittel 16.02.2018 um 12:32:07 Uhr
Goto Top
Hallo,

ich kann hier nur für Zahnärzte sprechen.
Und dem aktuellen Stand. Das kann Morgen alles schon anders sein.

Aktuell gibt es nur einen Anbieter mit einem Gerät der zertifiziert ist.
Es handelt sich hierbei um die Compugroup. Die macht auch kräftig werbung.

Die Installation darf nur durch zertifizierte Techniker ausgeführt werden.
Also die Servicepartner der Compugroup.

That's it.

Ich finde es unverantwortlich ein System unter diesen Rahmenbedingungen einzuführen.
Wenn Jemand nun einen Fehler bei diesen Geräten findet und die Zertifizierung wiederrufen wird steht das Gesamte Gesundheitswesen vor dem "Nichts". Es muss doch mindestens 2 Anbieter geben.

Stefan
sk
sk 16.02.2018 aktualisiert um 13:46:10 Uhr
Goto Top
Zur Info: Habe die Mods um Zusammenführung mit dem anderen Thread gebeten

Gruß
sk
MOS6581
MOS6581 16.02.2018 um 13:46:59 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo,

ich kann hier nur für Zahnärzte sprechen.
Und dem aktuellen Stand. Das kann Morgen alles schon anders sein.

Aktuell gibt es nur einen Anbieter mit einem Gerät der zertifiziert ist.
Es handelt sich hierbei um die Compugroup. Die macht auch kräftig werbung.

Die Installation darf nur durch zertifizierte Techniker ausgeführt werden.
Also die Servicepartner der Compugroup.

That's it.

Ich finde es unverantwortlich ein System unter diesen Rahmenbedingungen einzuführen.
Wenn Jemand nun einen Fehler bei diesen Geräten findet und die Zertifizierung wiederrufen wird steht das Gesamte Gesundheitswesen vor dem "Nichts". Es muss doch mindestens 2 Anbieter geben.

Stefan

Der technisch bewandertste Kunde, mit dem ich da seit längerem am darüber brüten drin, ist ebenfalls (Zahnarzt-)Kunde von CGM und wird regelmäßig zugesch... mit Werbung. Da lacht er immer und befüttert den dicken Aktenvernichter mit selbiger... Klar, die wollen die Wertschöpfung im eigenen Haus, also werden die den Teufel tun und das Zeug für "normale" Techniker zugänglich machen.

Dieser Monopolismus nervt mich tierisch - genau deiner Meinung...

lG MOS
keine-ahnung
keine-ahnung 16.02.2018 um 14:54:12 Uhr
Goto Top
Moin,
Die Installation darf nur durch zertifizierte Techniker ausgeführt werden.
wo stammt diese Info her? Von CGM face-smile ??
Aktuell gibt es nur einen Anbieter mit einem Gerät der zertifiziert ist. Es handelt sich hierbei um die Compugroup.
Es gibt aktuell nur einen Connector, der zertifiziert ist - die KoCoBox MED+ von der KoCo Connector GmbH, die IMHO mit CGM nix zu tun hat. Praxisverwaltungen mit Zulassung hat es aktuell schon knapp 60.
Wenn Jemand nun einen Fehler bei diesen Geräten findet und die Zertifizierung wiederrufen wird steht das Gesamte Gesundheitswesen vor dem "Nichts".
Wieso stehen wir dann vor dem Nichts face-smile ?? Dann gehts offline weiter ... in aktuellen rollout-Phase passiert ja nichts weiter, als dass die auf der Karte hinterlegten Stammdaten des Patienten abgeglichen werden.
Der geplante Zugangsweg zum Entfernen Deiner steingehärteten Gallenblase ist da noch nicht abgelegt ... face-wink

Wenn Jemand so ein Gedöhns mal installiert - mich würde dringend interessieren, inweit das Zeugens noch funktional ist, wenn man den connector in eine DMZ packt ... ich stell mir diesen Trojaner doch nicht ins eigene LAN face-smile

LG, Thomas
lcer00
lcer00 16.02.2018 aktualisiert um 18:52:18 Uhr
Goto Top
Hallo,

Zwei Anmerkungen:

Ein Blick bei Google zum Thema https://www.google.de/search?q=gematik+rechenzentrum&oq=gematik+rech ... zeigt, dass hier nicht nur Arztpraxen mit Werbung und Serviceverträgen vollgeballert werden. Da werden in Form von Infrastruktur Fakten geschaffen.

Die „Marktlücke“ der nicht-Arztsoftware-Anbieter sehe ich in der ordnungsgemässes Isolierung der Gesundheitstrojanerbox. Der Konnektor ist ein nicht zu kontrollierendes Fremdsystem, das in eine DMZ gehört.

Grüße

lcer
keine-ahnung
keine-ahnung 16.02.2018 aktualisiert um 20:12:14 Uhr
Goto Top
Moin,
Da werden in Form von Infrastruktur Fakten geschaffen.
wär mir jetzt gar nicht aufgefallen face-smile. Geht ja erst seit ein paar Jahren ... wir nennen das "DIE MATRIX" - aber psssst!!!!

LG, Thomas
StefanKittel
StefanKittel 16.02.2018 aktualisiert um 20:54:11 Uhr
Goto Top
Mich würden am "Ende" auch mal die Kosten interessieren.
Bei der eGK waren es ca. 1.8 Milliarden Euro.
Also "nur" ein neues Lesegerät und Karten mit Foto.

Wenn man nun die Mehrkosten in Hardware und Dienstleistung sowie die höheren Entwicklungs- und Betriebskosten hochrechnet könnte man bei 40 Mrd Euro liegen. Da wäre es vermutlich billiger das alles wegzulassen und bei jeder Karte anzurufen und sich die Gültigkeit bestätigen zu lassen.

Ich finde das technisch alles totalen overkill.
Ich finde Datenschutz auch wichtig, aber hier sind wir 100mal (oder mehr) sicherer als beim Onlinebanking.
Eine Signaturkarte in einem Lesegerät eine PKI und HTTPs wären doch völlig ausreichend. Na scheinbar nicht.

Auch sind viele praktische Fragen unbeantwortet.
Was passiert wenn so ein Ding kaputt geht? Von Garantie oder Vor-Ort-Service spricht keine.
Und Lesegeräte können nicht mehr repariert werden weil sie verplombt sind.

Wenn später dann die Rezepte auf der eigenen Karte gespeichert werden, muss der Arzt ja unterschreiben.
Bisher hat er das in der Behandlung in kurzen Unterbrechungen gemacht.
Jetzt muss er nach vorne und seinen Pin eingeben. Mal schaue wieviele Pins dann ohne den Arzt eingegeben werden.

Die Coco-Box ist ja quasi ein VPN-Router.
Ich bin mal gespannt wie die sich in Netzwerken mit Firewall integrieren lässt.
Ich vermute deren Ideen bezüglich dem Schutz des Kundennetzwerkes und der Vorstellung des Kunden sind nicht deckungsgleich.

Stefan

Update: eGK-Kosten
https://www.ikkev.de/politik/egk/
keine-ahnung
keine-ahnung 16.02.2018 um 21:37:48 Uhr
Goto Top
Moin nochmal,
Mich würden am "Ende" auch mal die Kosten interessieren. Bei der eGK waren es ca. 1.8 Milliarden Euro. Also "nur" ein neues Lesegerät und Karten mit Foto.
ganz so schlimm ist es auch wieder nicht face-smile. Das sind die kumulierten Kosten von der eCard release 1 bis heute ... da kosten die öffentlichen Hände die "Neubürger" das Minimum 25fache. Pro Jahr, selbstverständlich face-sad !
Was passiert wenn so ein Ding kaputt geht?
Offline weiter arbeiten ...
Und Lesegeräte können nicht mehr repariert werden weil sie verplombt sind.
Ich konnte bisher keine Cardreader reparieren und werde das auch weiterhin nicht können - Raider heisst jetzt also Twix face-smile. Muss ich dann zum Hersteller schicken, müsste ich heute auch (die Teile sind auch heute schon versiegelt).
Wenn später dann die Rezepte auf der eigenen Karte gespeichert werden, muss der Arzt ja unterschreiben. Bisher hat er das in der Behandlung in kurzen Unterbrechungen gemacht. Jetzt muss er nach vorne und seinen Pin eingeben.
Hier werden die AIS-Anbieter Lösungen anbieten müssen, ich könnte mir vorstellen, dass ich mit meinen credentials im AIS die Rezepte automatisiert oder halt auch manuell via PIN autorisiere.
Die Coco-Box ist ja quasi ein VPN-Router.
Im Prinzip schon ... nur ein bisschen aufgebohrt. Du brauchst eine SIM-Card pro Betriebstätte und den elektronischen HBA pro LANR, die Du dort einfriemeln musst. Den Rest macht der hardware-Trojaner ganz von alleine ... face-smile

LG, Thomas
StefanKittel
StefanKittel 16.02.2018 aktualisiert um 22:32:33 Uhr
Goto Top
Zitat von @keine-ahnung:
Ich konnte bisher keine Cardreader reparieren und werde das auch weiterhin nicht können - Raider heisst jetzt also Twix face-smile. Muss ich dann zum Hersteller schicken, müsste ich heute auch (die Teile sind auch heute schon versiegelt).

https://www.viadavinci.de/gesundheitswesen/service.html
Anruf und aufbereitetes und vorkonfiguriertes für die eigene Software Gerät am nächsten Tag.
In Hamburg auch direkt abzuholen.
lcer00
lcer00 17.02.2018 um 07:07:39 Uhr
Goto Top
lcer00
lcer00 01.03.2018 aktualisiert um 18:36:20 Uhr
Goto Top
Hallo,

falls es interessiert - wir haben jetzt einen koco-Connector in Betrieb genommen bekommen. Die Installation erfolgte über einen CGM-Telematik-Servicetechniker der ganz fit im Themenfeld war.

Folgende, für mich neue Infos gab es - ohne Gewähr natürlich:
- Die Praxis SMC-B kommt in ein Lesegerät, nicht in den Konnektor. Nach dem Einschalten dieses Lesegerätes muss die SMC-B entsperrt werden.
- weitere Lesegeräte laufen quasi als "Client" des ersten Lesegerätes, die (soll) kann man ohne entsperren ein- und ausschalten können
- bei kurzfristigen Stromausfall am Lesegerät mit der SMC-B muss diese also vor Ort entsperrt werden
- auch daher sollte pro Betriebsstätte eine SMC-B vorhanden sein
- Den Konfigurationszugang für den Connector habe ich bekommen.
- Die Konnektorkonfiguration scheint recht flexibel zu sein. DHCP-Server, DHCP Client, Statische Routen sind möglich.
- Allerdings hatte ich mit IE11 Probleme auf ein "OK" zu klicken, Firefox ging dann aber.
- Witzig nebenbei - Die Konfigurationsoberfläche wird über https aufgerufen und das Zertifikat wird prompt als nicht vertrauenswürdig eingestuft!

Die Einbindung in ein geroutetes Netz funktionierte. (Netz 1 Konnektor und Lesegerät, Netz 2 weiteres Lesegerät, Netz 3 AIS). Isolation ist also möglich. face-smile

In unserem Fall greift das AIS wohl über Port 80 ? auf den Konnektor zu, das ist aber noch zu prüfen - auch ob das alles ist. Die Lesegeräte machen so etwas wie SNMP-Traps auf das AIS - unaufgeforderte eingehende Nachrichten über "EGK steckt" und ähnlich. Der Port dafür muss also freigegeben sein! Achtung bei entsprechenden Statful-Inspection-Firewalls bzw. Endpoint-Firewalls. Der Port dafür ist aber wohl einstellbar.

In der Lieferkiste waren ein paar schöne kurze Patchkabel dabei face-smile und die alten Netzteile der Vorgänger-Lesegeräte passen immer noch.

Grüße

lcer
keine-ahnung
keine-ahnung 02.03.2018 um 11:54:23 Uhr
Goto Top
Moin,
zumindest schon mal einige "gute" Nachrichten! Ich habe das gleich mal an APT 28 und Snake weitergereicht ... face-smile
weitere Lesegeräte laufen quasi als "Client" des ersten Lesegerätes, die (soll) kann man ohne entsperren ein- und ausschalten können
Ich vermute, dass die auch für die TIS zertifiziert sein müssen oder funktionieren als "clients" auch Geräte der aktuell verwendeten Generation?
Isolation ist also möglich.
Das ist das Allerwichtigste ...
In unserem Fall greift das AIS wohl über Port 80 ? auf den Konnektor zu, das ist aber noch zu prüfen - auch ob das alles ist.
Wäre lieb, wenn Du hier bei Gelegenheit mal verlautbaren könntest, ob da noch andere Wege offen sein müssen - insbesondere in Richtung Konnektor -> Produktivnetz.

LG, Thomas
lcer00
lcer00 19.03.2018 um 16:37:26 Uhr
Goto Top
Kleine Zwischeninfo

Ich habe folgende nette Seite gefunden: Amüsant Informativ: https://enbyn.de/ti-installation/
TCP/UDP 53 (DNS)
TCP 80
TCP 443
UDP 123 (NTP wenn man intern keine Zeitquelle hat)
UDP 500 (IPSec)
UDP 4500 (IPSec)
AH / ESP (IPSec nix Ports)
TCP 8443 (TI / KV-SafeNet)
TCP 9443 (Zugriff von intern auf’s Webinterface – NICHT ausgehend!!!)
https://IPADRESSE-KoCoBox:9443/administration/start.htm (muss bei der KoCoBox anscheinend genau so sein, sonst wird man vom Webserver (Jetty) lediglich beschimpft)

Hinzuzufügen ist, dass der Zugriff zwischen Konnektor und AIS und Lesegerät über geroutete Netze funktioniert. Allerdings scheint der Zugriff auf die "Bestandsnetze" (Sichere Netz der KVen) geblockt zu werden, wenn die Anfrage nicht aus dem direkt angebundenen Netz des Konnektors kommt.

Grüße

lcer
lcer00
lcer00 19.03.2018 um 16:49:12 Uhr
Goto Top
Nette Info am Rande:

Momentan scheint es ein Telematikinfrastruktur-Globales Problem zu geben. Soweit die Protokolle des Konnektors auswertbar sind, führt eine abgelaufene CRL zur Verweigerung des erneuten VPN-Aufbaus zur Telemantikinfrastruktur. Scheint VIELE face-smile - alle ? face-smile angeschlossene Systeme zu betreffen face-smile

Da scheint jemand das mit der Hochverfügbarkeit nicht verstanden und die Konsequenzen fehlender oder ungültiger Zertifikatssperrlisten nicht verinnerlicht zu haben.

Bei dieser Gelegenheit ist mit aufgefallen, dass es wohl keine (zumindest keine offensichtlich vorgesehene) Möglichkeit gibt den Funktionszustand der Box zu monitoren. Zumindest nicht für den Netzwerk-Administrator. Es muss aber wohl eine Schnittstelle geben, da das AIS eine solche Funktion nutzt und anzeigt.

Grüße

lcer
StefanKittel
StefanKittel 19.03.2018 um 16:50:44 Uhr
Goto Top
Schön finde ich auch

Wie so ziemlich jedes andere Gerät auch, benötigt die KoCoBox ein funktionierendes DNS. Das bezieht die Kiste aber nicht von den vielen, vielen offenen DNS-Servern (9.9.9.10 z.B.), sondern von den Google Public DNS-Servern. Ja richtig, in dieser super sicheren Infrastruktur, bezieht man die Namensauflösung von Google. Ich habe nichts gegen Google! Im Gegenteil. Aber ich muss mich schon wundern, dass bei der Größe des Projektes keine eigenen DNS-Server mit entsprechender Absicherung (DNSSEC / DANE) mehr drin waren. Aber sei es drum.

Wir war das mit dem Anwaltspostfach?

Stefan
lcer00
lcer00 19.03.2018 um 17:02:41 Uhr
Goto Top
wenn man möchte, kann man auch einen beliebigen anderen DNS-Server eintragen. face-smile

Wobei ich mit nicht sicher bin, ob er den DNS-Server in Verbindung mit der Telematikinfrastruktur überhaupt nutzt. Möglicherweise wird die Verbindungs des TI-VPN auch über eine fest einprogrammierte feste IP initiiert. Für die Datenströme innerhalb des VPN scheint es jedenfalls eigene, nur intern erreichbare DNS-Server zu geben. Auch das Wort DNSSEC wird hier in der Weboberfläche des Konnektors verwendet.

lcer
DrEvil1
DrEvil1 22.03.2018 um 23:57:37 Uhr
Goto Top
Guten Abend, ich bin neu hier und interessierter Laie in der it. (Leider?) habe ich in meiner Praxis die Telematik Infrastruktur mit Koco box und allem pipapo installieren lassen.
Nun gibts keine Verbindung mehr zur KV (quartalsabrechnung steht an ), keine online Prüfung der versichertenkarten, laue kommentare der cgm. Bzw. Ärgerliche Kommentare:

Meine IT Firma schrieb am 19.3.:
Folgende Information möchten wir Ihnen aus dem Hause der CGM weiterleiten.

WICHTIGE MITTEILUNG!!!!

Sehr geehrte Damen und Herren Doctores,

am 19. März 2018 konnte in vielen Praxen keine Verbindung zur Telematikinfrastruktur aufgebaut werden. Die Störungsursache liegt außerhalb der CGM in der zentralen Infrastruktur, welche durch die Firma Arvato Systems betrieben wird. Der Grund für die Störung wurde dort identifiziert und bereits behoben. Die Komponenten zur Telematikinfrastruktur sind nicht ursächlich für das zeitweilige Problem und bleiben nach Behebung der externen Störung weiter voll funktionsfähig.

Ganz im Gegenteil: Die entsprechenden Sicherheitseinrichtungen des Konnektors haben mit ihrer Abschaltung völlig korrekt auf diese Störung reagiert und damit einmal mehr unter Beweis gestellt, dass die TI sicher ist.

Auch wenn es zu kurzfristigen Störungen des Abgleichs von Versichertenstammdaten kommt, bleiben die Arztpraxen weiterhin voll arbeitsfähig. Das Einlesen der eGKs kann weiterhin erfolgen, allerdings ohne Onlineprüfung. Die Karte gilt als gültiger Leistungsanspruchsnachweis und alle relevanten Daten zur Abrechnung werden erfasst. Eine erneute Online-Prüfung wird bei der nächsten Vorstellung des Patienten in der Praxis durchgeführt.

Konkret führte das temporäre Nichterreichen eines Zertifikatservers dazu, dass eine notwendige Aktualisierung der CRL-Zertifikate ausblieb und der Konnektor nach mehrfachen erfolglosen Aktualisierungsversuchen aufgrund einer Sicherheitsvorgabe in einen Offline-Zustand wechselt. Um den Konnektor nun wieder erfolgreich mit der Telematikinfrastruktur zu verbinden, wäre ein manueller Eingriff notwendig.

Die CGM arbeitet mit Hochdruck an einem Verfahren, um mit Ihnen direkt - ohne DVO-Unterstützung - eine Behebung der Störung durch Sie selbst vorgenommen werden kann. Es wird an dieser Stelle noch um Geduld gebeten. Das Software-Werkzeug dazu befindet sich aktuell in der Prüfung....


Und heute das:

Guten Tag,
anbei ein Statusbericht zum Zertifikatsfehler. Das versprochene Tool der CGM steht uns /Ihnen derzeit noch nicht zur Verfügung.
Da auch die Quartalsabrechnung vor der Tür steht (KV-Portal nicht erreichbar über die TI) benötigen wir Ihre Entscheidung.

Rückmeldung zur Ihrer Entscheidung bitte ausschließlich per Mail an xxxxx oder Fax an xxxxx

Wir warten ab, bis das Softwaretool zur Verfügung steht.

Wir trauen uns selbst zu, das Zertifikat über die Konnektor-Konsole einzuspielen und den Konnektor anschließend neu zu starten. (Bitte Anleitung per E-Mail übermitteln).

Bitte planen Sie eine kostenpflichtige Fernwartung am Freitagvormittag ab 09:30 Uhr für uns ein, wir werden Ihnen dann Teamviewer-ID und Kennwort zufaxen.
(Bitte Fernwartung per Teamviewer am Online-PC ermöglichen, also der PC an den Sie Ihre KV-Abrechnung durchführen werden).

Bitte planen Sie eine kostenpflichtige Fernwartung am Dienstagvormittag ab 08:30 Uhr für uns ein, wir werden Ihnen dann Teamviewer-ID und Kennwort zufaxen.
(Bitte Fernwartung per Teamviewer am Online-PC ermöglichen, also der PC an den Sie Ihre KV-Abrechnung durchführen werden).

Nach Einspielen des Zertifikats und Neustart des Konnektors stehen Ihnen alle Funktionen ca. fünf Minuten später zur Verfügung.

Halten Sie für alle Fälle die Ihnen ausgehändigten Dokumentationen und Zugangsdaten zur Verfügung.

Mit besten Grüßen


Großartig. Wie soll ich mich da entscheiden. Soll ichs mal selber ausprobieren? (Siehe oben: ich traue mir zu...) Kann man das als Laie bringen?

Vielen Dank!
lcer00
lcer00 23.03.2018 um 06:42:01 Uhr
Goto Top
Hallo,

das Problem bei dem Konnector ist die fehlende Bedienungsanleitung/Dokumentation. Wenn Du eine Anleitung per Mail erhältst, sollte das kein Problem sein, Du hast ja auch das Anmeldeformular dieses Forums bewältigt. ;)

Grüße

lcer
keine-ahnung
keine-ahnung 23.03.2018 um 11:27:15 Uhr
Goto Top
Moin,
warum bekomme ich nur diese eigenartigen Krämpfe im Bauch, wenn ich das so durchlese ...???

LG, Thomas
Tektronix
Tektronix 23.03.2018 um 11:37:27 Uhr
Goto Top
Hallo,
professionel geplant und umgesetzt.
TI Installation
lcer00
lcer00 23.03.2018 um 11:49:20 Uhr
Goto Top
Hallo
Zitat von @Tektronix:

Hallo,
professionel geplant und umgesetzt.
TI Installation
der Link stand oben schon mal ...

nebenbei:

Das aktuelle TI-Problem liess sich durch manuelles herunterladen der CRL und anschließenden manuellen Import der heruntergeladenen Datei (erst mal ?) beheben, die Download-URL ist in der Weboberfläche ersichtlich.

Das aber ohne Garantie - wegen der fehlenden Dokumentation eben!

lcer
lcer00
lcer00 23.03.2018 um 12:02:12 Uhr
Goto Top
Hallo,
Zitat von @keine-ahnung:

Moin,
warum bekomme ich nur diese eigenartigen Krämpfe im Bauch, wenn ich das so durchlese ...???

LG, Thomas

so langsam krampft es bei mir auch ....

Offenbar wird "Zertifikat" und "Zertifikatsperrliste" von der betreuenden Firma synonym verwendet ...

und noch besser:

Es soll ein Softwaretool geben, das ein fehlerhaftes "Zertifikat" im Konnektor behebt .....

Also wenn man bei der supersicheren Telematikinfrastruktur ein Zertifikat einfach per Softwaretool ersetzen kann, dann können wir uns noch auf viele lustige Pressemeldungen gefasst machen. Gibt es schon vorgefertigte "Tools" mit denen man die Telematik-PKI aushebeln kann?

Grüße

lcer
aqui
aqui 23.03.2018 um 18:45:22 Uhr
Goto Top
DrEvil1
DrEvil1 26.03.2018 um 10:21:59 Uhr
Goto Top
Ok, danke Leute, dann weiss ich aber, dass mir zurecht die Galle hoch kocht. Ich werde berichten, wie der Versuch, das selber zu behen ausgegangen ist....
DrEvil1
DrEvil1 26.03.2018 um 10:43:01 Uhr
Goto Top
Hallo Thomas,
Ja, warum denn? Ich bin nicht vom FAch, d.h. ob meine IT-Firma "Zertifikate" oder Zertifikatssperrliste" schreibt, ist für mich ohnehin nicht auffällig. Scheint es aber zu sein...
LG, MArkus
DrEvil1
DrEvil1 26.03.2018 um 10:43:56 Uhr
Goto Top
:O)
Danke, ich versuch das.
Gruß, DrEvil1
StefanKittel
StefanKittel 26.03.2018 aktualisiert um 10:55:34 Uhr
Goto Top

Moin,

das wird noch viel besser.
Was die Anwälte da im Büro machen bekommt ja fast keiner, bis auf die Rechnung, mit.

Wenn bei 400.000 Ärzten wegen eines Zertifikatspfusches die Karten nicht gelesen werden können, sagen wir mal 1 Woche, und dies manuell passieren muss wird das schon Spass. Und ja, das ist bei der eGK schon passiert. Keiner wusste das Kennwort der CA mehr.

Auch sind die Kosten deutlich höher.
Die Einführung der eGK vor ein paar Jahren, die Karte mit Foto, mit neuen Lesegeräten (ca. 300 Euro) hat die Versicherten 2 Milliarden Euro gekostet. Die neuen Geräte kosten ja eher 3.000 Euro und fast 90 Euro monatlich. Dazu die ganze "Entwicklung" und Betrieb der Infrastruktur?
Wer rechtnet mal hoch?

Nicht dass die Lesegeräte mit einer SIM-Karte ihre Daten nicht selber hätten verschlüsselt senden können.

Und mit so einer Infrastruktur live zu gehen solange es nur einen zertifizierten Anbieter am Markt gibt ist ja schon fahrlässig.
Wenn da heute Jemand einen Bug findet, wird das alles eingestellt und rückabgewickelt wie beim beA. Halleluja.

Stefan

Quelle: https://www.ikkev.de/politik/egk/
StefanKittel
StefanKittel 26.03.2018 aktualisiert um 15:14:16 Uhr
Goto Top
widameista
widameista 13.11.2018 um 07:05:02 Uhr
Goto Top
Nachdem hier viel Negatives geschrieben wurde, möchte ich Mal etwas positives berichten.
Ich bin nebenher verantwortlich für die IT einer durchschnittlichen Einzelpraxis (Zahnarzt).
Normales Setup: 2 Server, Hyperv, 10 Arbeitsplätze, Telekom DSL, Fritzbox.

Verwendete Software ist Charly von solutio.

Wir haben das Paket der Telekom/T-Systems bestellt, wurde geliefert, Techniker war da, hat das Teil in Betrieb genommen, natürlich in der Parallel-Variante und was soll ich sagen?

Es funktioniert völlig reibungslos.
Das alte Kartenlesegerät habe ich zur Sicherheit noch an einen anderen PC gehängt, so dass man im Notfall noch ausweichen könnte.

Box und Leser wurden per DHCP und Mac Adressen Fixierung eingebunden(Windows 2016 DHCP Server). Fritzbox ist das Gateway.

Das einfach Mal als kleine Erfahrung nachdem ja viel Polemik und Panikmache herrscht...
StefanKittel
StefanKittel 13.11.2018 aktualisiert um 07:38:10 Uhr
Goto Top
Moin

Zitat von @widameista:
Nachdem hier viel Negatives geschrieben wurde, möchte ich Mal etwas positives berichten.
Positives hören wir gerne
Und ja, bei geschätzt 98% aller Praxen läuft das reibungslos.

Ich bin nebenher verantwortlich für die IT einer durchschnittlichen Einzelpraxis (Zahnarzt).
Normales Setup: 2 Server, Hyperv, 10 Arbeitsplätze, Telekom DSL, Fritzbox.
Das normale Setup einer durchschnittlichen Einzelpraxis ist eher 0 Server, 1 Haupt-PC und 3 andere PCs.
Zumindest hier im Norden.

Verwendete Software ist Charly von solutio.

Wir haben das Paket der Telekom/T-Systems bestellt, wurde geliefert, Techniker war da, hat das Teil in Betrieb genommen, natürlich in der Parallel-Variante und was soll ich sagen?
Es funktioniert völlig reibungslos.
Das alte Kartenlesegerät habe ich zur Sicherheit noch an einen anderen PC gehängt, so dass man im Notfall noch ausweichen könnte.
Box und Leser wurden per DHCP und Mac Adressen Fixierung eingebunden(Windows 2016 DHCP Server). Fritzbox ist das Gateway.
Bei einer Praxis soll ich bei der Installation die ganze Zeit dabei sein, da der Kunde einen 19"-Technik-Schrank hat und die Herren von der Telekom den angeblich nicht anfassen dürfen.

Es gibt halt Solche und Solche...

Stefan
widameista
widameista 13.11.2018 aktualisiert um 08:44:45 Uhr
Goto Top
Ich war auch die ganze Zeit dabei, aber schon aus Eigeninteresse. Ich lasse niemand an die Server, Netzwerk oder Software.

Lustige Anekdote: Es ist ja alles super secure, SMC Karten müssen versiegelt werden usw. ABER: der Telekomler hatte einen Anleitung und war angewiesen, das Passwort für die Konnektor-Box auf ein Standard-Passwort zu setzen, das für alle Kunden gleich ist. Damit es die hotline leichter hat, war die Aussage! *kopfschüttel*
War so frei und habe es trotzdem geändert...
MOS6581
MOS6581 13.11.2018 um 08:59:02 Uhr
Goto Top
Moin,

ich darf morgen das erste Mal tätig werden - eine kocobox Med+ (das DIY-Paket von CGM) in Verbindung mit Dampsoft.
Wir sind gespannt und harren der Dinge, die da kommen...

<ironie>Da die Frist ja nun nochmal verlängert wurde, bleibt auch viel Zeit für Bugfixing </ironie>
lG MOS
lcer00
lcer00 13.11.2018 um 09:22:34 Uhr
Goto Top
Hallo,
Zitat von @widameista:
Lustige Anekdote: Es ist ja alles super secure, SMC Karten müssen versiegelt werden usw. ABER: der Telekomler hatte einen Anleitung und war angewiesen, das Passwort für die Konnektor-Box auf ein Standard-Passwort zu setzen, das für alle Kunden gleich ist. Damit es die hotline leichter hat, war die Aussage! *kopfschüttel*

Das mit dem Versiegeln nehmen die Techniker übrigends auch nicht so genau, es könnte ja sein, dass irgendwas nicht geht und die Karte irgendwo anders hineingesteckt werden muss....

Das mit dem Passwort ist besonders lustig. Die CGM-Box (wobei ich davon ausgehe, dass ein Gematik-Standard umgesetzt wird) erfordert ein sicheres Passwort und eine Passwortänderung nach ?? Tagen. Da wird die Hotline noch viel Spaß haben.

Grüße

lcer
widameista
Lösung widameista 13.11.2018 um 10:59:12 Uhr
Goto Top
Zitat von @MOS6581:

Moin,

ich darf morgen das erste Mal tätig werden - eine kocobox Med+ (das DIY-Paket von CGM) in Verbindung mit Dampsoft.
Wir sind gespannt und harren der Dinge, die da kommen...

<ironie>Da die Frist ja nun nochmal verlängert wurde, bleibt auch viel Zeit für Bugfixing </ironie>
lG MOS

TIPP: heb das alte Lesegerät auf und konfiguriere es an einem anderen Rechner.
StefanKittel
StefanKittel 13.11.2018 um 15:23:54 Uhr
Goto Top
Hallo,

ich habe nun den 1. Kunden wo der Konnektor defekt ist.
Er friert 1-2 pro Woche ein.

Ich warte nun seit 24 Stunden auf einen Rückruf wie der Austausch erfolgen soll.
Am Telefon wusste das Keiner face-smile

Stefan
widameista
widameista 13.11.2018 um 17:01:05 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo,

ich habe nun den 1. Kunden wo der Konnektor defekt ist.

Welcher Anbieter?
StefanKittel
StefanKittel 13.11.2018 um 18:12:56 Uhr
Goto Top
Zitat von @widameista:

Zitat von @StefanKittel:

Hallo,

ich habe nun den 1. Kunden wo der Konnektor defekt ist.

Welcher Anbieter?
CompuGroup-Shop-Kunde.
MOS6581
MOS6581 13.11.2018 um 22:58:53 Uhr
Goto Top
Naja, ist halt doch nur ein Plastiklinux... face-smile Drückt mir die Daumen, bin gespannt ob das so tut, wie ich mir das vorstelle...

Übrigens gibt es hier eine nette Auflistung, über welche Ports das Plastiklinux denn gerne kommunizieren würde.

lG MOS
keine-ahnung
keine-ahnung 14.11.2018 um 09:50:15 Uhr
Goto Top
Moin,
vorweg: ich habe das Geraffel immer noch nicht bestellt und lebe noch ... werde das wohl auch erst am 31. März angehen face-smile
ich habe nun den 1. Kunden wo der Konnektor defekt ist
Hoffentlich klappts ... face-smile
Die i-motion GmbH (Tochter der medatixx) hat da ganz lustige AGB eigens für das TI-Gedöhns "erfunden", u.a. ist da für Defekte folgendes fixiert:
2.6 Im Zweifel besteht im Falle der Ziff. 2.4 und 2.5 die Vermutung, dass der Geräteausfall durch vom Benutzer zu vertretenden unsachemäßen Gebrauch bzw. Beschädigung hervorgerufen ist. Dem Benutzer steht der Beweis des Gegenteiles frei.
Den Beweis möchte ich nicht bezahlen müssen ...

LG, Thomas
MOS6581
MOS6581 14.11.2018 um 20:47:05 Uhr
Goto Top
Moin,

wie versprochen ein kleiner Erfahrungsbericht zur heutigen Installation: der Konnektor, der Kartenleser und die gSMC-KT kommen in einem hübschen Paket in die Praxis geliefert. Den Konnektor an's Netz gehängt, den Kartenleser mit gSMC-KT und SMC-B Karte befüllt, die Netzwerkeinstellungen konfiguriert und das nach schon 20 Sekunden unerträglich laute und nervige Rauschen bei der Pin-Eingabe abgestellt.

Die Installation mit dem Koco-Guide klappte relativ problemlos. Bis man den Konnektor mit dem Praxisausweis registrieren sollte. Fehlermeldung sinngemäß: "Es konnte keine SSL-Verbindung zu $servername hergestellt werden, Zertifikat ungültig". Ich hatte erst drauf getippt, dass die Firewall irgendwas blockt. Logs ausgewertes und nix gefunden, daraufhin den CGM-Support bemüht. Die erste Hotlinerin bat mich, ein Tool herunterzuladen und auszuführen - hat nix gebracht. Darauf hin noch mal angerufen und dieses Mal wusste die Hotlinerin sofort was fehlt:

"Kann es sein, dass der Praxisausweis noch nicht registriert wurde, nachdem er der Praxis zugeschickt wurde?"

So war's dann auch, besagte Registrierung bei der Bundesdruckerei nachgeholt. Einziger Wehrmutstropfen: dauert bis zu 24 Stunden. Also den Rest remote fertig machen, da 200km einfache Anfahrt...

Übrigens konnte ich zuerst nicht auf das Webinterface zugreifen. https://<konnektor-ip>:9443 förderte eine leere Seite zu Tage. Irgendwann bin ich drauf gekommen, dass der Konnektor seine Konfiguration nur über https://<konnektor-ip>:9443/administration preisgibt.

Alles in allem hatte das ganze ein bisschen was von Fritz!Box Installationsassistent durchklickern face-smile

lG MOS
StefanKittel
Lösung StefanKittel 14.11.2018 um 22:45:49 Uhr
Goto Top
Hallo,

Zitat von @MOS6581:
Die Installation mit dem Koco-Guide klappte relativ problemlos. Bis man den Konnektor mit dem Praxisausweis registrieren sollte. Fehlermeldung sinngemäß: "Es konnte keine SSL-Verbindung zu $servername hergestellt werden, Zertifikat ungültig". Ich hatte erst drauf getippt, dass die Firewall irgendwas blockt. Logs ausgewertes und nix gefunden, daraufhin den CGM-Support bemüht. Die erste Hotlinerin bat mich, ein Tool herunterzuladen und auszuführen - hat nix gebracht. Darauf hin noch mal angerufen und dieses Mal wusste die Hotlinerin sofort was fehlt:
"Kann es sein, dass der Praxisausweis noch nicht registriert wurde, nachdem er der Praxis zugeschickt wurde?"
So war's dann auch, besagte Registrierung bei der Bundesdruckerei nachgeholt. Einziger Wehrmutstropfen: dauert bis zu 24 Stunden. Also den Rest remote fertig machen, da 200km einfache Anfahrt...

das hatte ich auch. Die Fehlermeldung ist halt nicht wirklich aussagekräftig.
Bei mir hat das aber nur 10 Minuten gedauert.

Viele Grüße

Stefan
MOS6581
MOS6581 23.11.2018 um 10:15:17 Uhr
Goto Top
Moin,

gerade kam ich dazu, die Installation fertigzustellen. Nachdem sich herausstellte, dass die Praxis den ersten Praxisausweis letztes Jahr schon bestellt aber verloren hatte, konnten wir schlussendlich nach viel Telefoniererei mit der Bundesdruckerei den richtigen Praxisausweis aktivieren.
Als Softwarelösung kam beim Kunden Dampsoft zum Einsatz, diese bieten übrigens eine wunderbare Anleitung, wie die TI dort zu konfigurieren ist.
Die Einrichtung funktionierte vollkommen problemlos, zum Testen die eGK einer Helferin gesteckt und Dank @widameista 's Tipp den alten Kartenleser an einen anderen Platz umgebaut und dort eingerichtet.

Wir harren der Dinge die da kommen, aber für den Moment funktioniert's face-smile

Schönen Freitag allerseits,

MOS
lcer00
lcer00 23.11.2018 um 12:13:40 Uhr
Goto Top
Hallo,

will man den alten eGK als Reserve benutzen sollte man folgendes wissen:

Alte G1 Karten können vom alten Lesegerät weiter ( zur Zeit) gelesen werden. Der neue eGK-Leser kann G1 Karten lesen und er versucht einen einen Stammsatenabgleich, der scheitert. Dann sperrt er die eGK (ja, er kann sie beschreiben!). Die Daten der eGK Werden nicht an das Praxissystem übertragen! Und danach kann die eGK auch nicht mehr vom alten Lesegerät gelesen werden.

Man sollte eine Karte, auf der G1 steht, deshalb erst im alten Leser einlesen und dann erst in den neuen Leser stecken. Falls die Karte sich als G1+ Karte herausstellt ist sie lesbar, G1 -ohnePlus- Karten werden direkt gesperrt.

Grüße

lcer
MOS6581
MOS6581 25.11.2018 um 09:46:07 Uhr
Goto Top
@icer00 Sehr interessant, Danke für die Info!

Weiß jemand, ob man bei der Kocobox Med+ die Fehlermeldung am Display für die nicht aufgebaute Verbindung zum sicheren Internetservice abschalten kann? SIS ist in den Konnektoreinstellungen deaktiviert, trotzdem meckert dieser...

LG MOS
lcer00
lcer00 25.11.2018 um 16:46:47 Uhr
Goto Top
Hallo MOS,

die Meldung kann man, soweit ich das sehe nicht abschalten.

Grüße

lcer
usercrash
usercrash 12.02.2019 um 16:20:16 Uhr
Goto Top
Zitat von @lcer00:
Ich habe folgende nette Seite gefunden: Amüsant Informativ: https://enbyn.de/ti-installation/
> TCP/UDP 53 (DNS)
> TCP 80
> TCP 443
> UDP 123 (NTP wenn man intern keine Zeitquelle hat)
> UDP 500 (IPSec)
> UDP 4500 (IPSec)
> AH / ESP (IPSec nix Ports)
> TCP 8443 (TI / KV-SafeNet)
> TCP 9443 (Zugriff von intern auf’s Webinterface – NICHT ausgehend!!!)
> https://IPADRESSE-KoCoBox:9443/administration/start.htm (muss bei der KoCoBox anscheinend genau so sein, sonst wird man vom Webserver (Jetty) lediglich beschimpft) 
Für stringent konfigurierte ausgehende Firewalls, die nur explizite Zielserver zulassen:

In welchem Zielnetz bei welcher Maske finden sich die Server der Telematik-Infrastruktur?
Das KV-Safenet beispielsweise findet sich im Netz 188.144.0.0 und MASK 255.255.0.0, wohin die VPN-Blackboxen (Zyxel-UW20 u.ä.) routen

Danke + Gruß, Uc
resuction
resuction 03.08.2022 um 18:28:29 Uhr
Goto Top
• <KonnektorIP> konnektor
• 100.102.1.136 webportal.tsi.kim.telematik
• 100.102.1.136 webportal.eqxffm.tsi.kim.telematik
• 100.102.3.136 webportal.eshffm.tsi.kim.telematik
• 100.102.3.136 webportal.tsi.kim.telematik
• 100.102.1.169 lb-mail.tsi.kim.telematik
• 100.102.1.169 lb-mail.eqxffm.tsi.kim.telematik
• 100.102.3.169 lb-mail.eshffm.tsi.kim.telematik
• 100.102.3.169 lb-mail.tsi.kim.telematik
Routing
• route /p add 100.102.0.0 MASK 255.255.0.0 <

aber ich bevorzuge
lb-mail.eqxffm.tsi.kim.telematik
usercrash
usercrash 05.08.2022 aktualisiert um 20:51:11 Uhr
Goto Top
Zitat von @resuction:

Routing
• route /p add 100.102.0.0 MASK 255.255.0.0 <

Hmmmm, bist Du da sicher?
Mir wurde immer und gebetsmühlenartig eine etwas eingeschränktere Adressrange für KIM genannt:
route /p add 100.102.0.0 MASK 255.254.0.0 konnektorIP

Gruß Uc
resuction
resuction 05.08.2022 um 20:55:51 Uhr
Goto Top
Zitat von @usercrash:

Zitat von @resuction:

Routing
• route /p add 100.102.0.0 MASK 255.255.0.0 <

Hmmmm, bist Du da sicher?
Mir wurde immer und gebetsmühlenartig eine etwas eingeschränktere Adressrange für KIM genannt:
route /p add 100.102.0.0 MASK 255.254.0.0 konnektorIP

Gruß Uc

direkt aus dem kim-anleitung der telekomiker kopiert und so steht es auch auf meinem windows server 2012
usercrash
usercrash 07.08.2022 um 10:23:56 Uhr
Goto Top
Hmmm, von I-Motion und deren 'Mutterkonzern' Medatixx kommt aber die Aussage:
route /p add 100.102.0.0 MASK 255.254.0.0 konnektorIP

  • Schulterzuck'*
lcer00
lcer00 07.08.2022 um 12:38:17 Uhr
Goto Top
Hallo,

die Routen stehen alle im Konnektor unter Bestandsnetze. Einfach nachschauen und abtippen.

Grüße

lcer