apraxostux

Author: Dr. med Claudia Neumann
© 2023 Dr. Claudia Neumann

Update: 07.02.2023

Seit Mitte 2022 wird über den Konnektortausch der Kocoboxen diskutiert, die in 2018 angeschafft worden waren. Die Zertifikate dieser Kocoboxen laufen nach 5 Jahren, also in 2023, ab. Das bedeutet, dass mit diesen Kocoboxen nach Ablauf der Zertifikate keine Verbindung zur Telematik Infrastruktur mehr hergestellt werden kann und damit die TI-Anwendungen nicht mehr laufen.

Vom Heise-Verlag wurde nachgewiesen, dass diese Zertifikate über ein Software-Tool verlängert werden könnten. Die gematik und das Bundesgesundheitsministerium (BMG) bestehen allerdings darauf, dass die Kocoboxen durch neue Kocoboxen ersetzt werden müssen. Dafür wird pro Kocobox ein Betrag von 2.300,00 Euro zur Verfügung gestellt. Genau diesen Betrag berechnet CGM für den Tausch der Kocobox inklusive SMC-KT für ein Kartenterminal und die Kosten für den Techniker mit An- und Abfahrt. Ein Schelm, der Böses dabei denkt.

apraxos-Anwender können ein preiswerteres Do-it-yourself-Konnektortausch-Paket bei CGM bestellen, wenn sie in 2018 ebenfalls ein Do-it-yourself-Paket bekommen hatten.

Das Do-it-yourself-Konnektortausch-Paket wird zu einem verabredeten Termin an die Praxis geliefert. Es enthält die neue Kocobox G4 mit Stromversorgung und einen SMC-KT für ein Kartenterminal. Ich beschreibe hier die Maßnahmen, wie der Konnektortausch durchgeführt werden sollte.

Vorbereitungen

Bevor der Konnektor getauscht wird, sind einige Vorarbeiten durchzuführen:

  • das KIM-Modul sollte auf neu eingegangene Emails kontrolliert werden.

  • alle eAUs, eArztbriefe usw. sollten versendet werden.

  • die Zugangsdaten zum Konnektor, die Zugangsdaten zum TI-VPN-Dienst, die Kartenterminal-PINs usw. sollten bereit liegen. Wer sicher gehen will, kann Screenshots von sämtlichen Einstellungen im Konnektor machen.

  • falls noch Aktualisierungen der Kartenterminals durchgeführt werden müssen, sollten diese jetzt ausgeführt werden.

Export der Konfigurationsdaten

Man logge sich auf dem Konnektor ein und gehe auf Verwaltung / Ex-/Import. Für den Export der Konfigurationsdaten wählen Sie einen oder den SMC-B aus. Die Nummer des SMC-Bs wird in dem Feld angezeigt. Wenn Sie auf Export Konfiguration klicken, muss die SMC-B-PIN am Kartenterminal eingegeben werden. Danach wird in einem neuen Fenster das Passwort für die Konfigurationsdatei angezeigt.

Wenn beim angezeigten Passwort Unklarheiten bezüglich I, l, 1 usw. bestehen sollte, sollte man nochmal einen neuen Export starten. Man kann sich dadurch viel Zeit bei der Suche nach der richtigen Passwort-Schreibweise ersparen.

Dieses Passwort müssen Sie aufschreiben, abfotografieren oder kopieren und sichern, weil Sie es beim Import zu der Konfigurationsdatei eingeben müssen. Die Konfigurationsdatei config.p7s wird anschließend heruntergeladen und typischerweise in das Verzeichnis Downloads des Rechners, von dem aus Sie gearbeitet haben, gespeichert.

Deregistrierung des Zugangsdienstes

Nun müssen Sie den TI-VPN-Zugangsdienst deregistrieren. Gehen Sie auf VPN, klicken Sie auf das kleine Plus-Zeichen links vor VPN und gehen Sie auf Registrierung. Notieren Sie die Vertragsnummer; diese muss im neuen Konnektor eingegeben werden. Nun klicken Sie auf Deregistrieren und folgen dem Dialog.

Tausch des Konnektors

Stöpseln Sie nun den alten Konnektor ab und den neuen Konnektor ein. Beim Start bezieht der Konnektor dieselbe IP-Adresse vom Internet-Router, wie sie die alte Kocobox hatte. Kontrollieren Sie das am Internet-Router. Ist die neue Kocobox vollständig hochgefahren, können Sie sich wieder über

https://[IP-Adresse KoCoBox]:9443/administration/start.htm

auf der Kocobox einloggen. Melden Sie sich wie üblich mit

Name: koco-root

an. Als Initialisierungspasswort ist auf der neuen Kocobox InItal4StartUp! gesetzt. Sie werden nach einem neuen Passwort gefragt. Hier geben Sie als altes Passwort nochmal InItal4StartUp! ein. Das neue Kocobox-Root-Passwort muss entsprechend den dargestellten Regeln gewählt werden. Schreiben Sie sich das neue Koco-Root-Passwort auf!

Nun müssen einige Zertfikate eingespielt werden. Ich musste dafür sämtliche dieser Zertifikat zunächst im Browser auf dem Praxisrechner downloaden und konnte sie anschließend in die neue Kocobox übertragen:

https://download.tsl.ti-dienste.de/ECC/ECC-RSA_TSL.xml Zertifikat downloaden, in die Kocobox unter Zertifikatsdienst Trust-Service Status List mit dem Button TSL importieren einspielen.

http://download.crl.ti-dienste.de/crl/ aus diesem Verzeichnis entweder die Datei vpnk-ca1.crl oder die DAtei vpnk2-ca.crl downloaden und in die Kocobox unter Zertifikatsdienst Certificate Revocation List (CRL) mit dem Button CRL importieren einspielen.

Das Zertifikat https://tl.bundesnetzagentur.de/TL-de.xml wird Ihnen beim Aufruf direkt als XML-Datei angezeigt. So können Sie es nicht importieren. Sie müssen das Zertifikat mit wget auf der Kommandozeile herunterladen. Evtl. muss das Debian-Paket wget installiert werden. Öffnen Sie eine Konsole, wechseln Sie in ein Verzeichnis, z.B. Downloads, und geben Sie auf der Kommandozeile ein:

wget https://tl.bundesnetzagentur.de/TL-de.xml

Es wird eine Datei TL-de.xml heruntergeladen. Diese Datei können Sie unter Zertifikatsdienst BNetzA-VL mit dem Button BNetzA-VL importieren einspielen.

Import der Konfigurationsdaten

Um die Konfigurationsdaten des alten Konnektors einspielen zu können, muss der Konnektor zunächst offline geschaltet werden. Dafür gehen Sie auf Verwaltung und schalten Sie beim Leistungsumfang ONLINE auf nicht aktiviert.

Nun kontrollieren Sie unter VPN Zeitdienst, ob die Zeit unter Zeit einstellen aktuell ist. Ansonsten muss hier die aktuelle Zeit korrigiert werden.

Danach gehen Sie auf Verwaltung Ex-/Import. Geben Sie unter Import das Passwort der Konfigurationsdatei, das beim Export der Konfigurationsdaten angelegt wurde, ein und klicken Sie auf Import Konfiguraton. Dann sollte sich ein kleines Dateimanager-Fenster öffnen und Sie müssen die config.p7s des alten Konnektors aufsuchen und über Öffnen zum Import markieren.

Es wird dann ein Fenster mit Informationen zur Konfigurationsdatei angezeigt, was Sie mit OK bestätigen. Danach wird das Kartenterminal mit entsprechender CT_ID-Nummer angezeigt. Wenn Sie hier auf OK klicken, muss eventuell die SMC-B-PIN am Kartenterminal freigeschaltet werden.

Nach dem Import der Konfigurationsdaten startet der Konnektor neu. Auch wenn im kleinen Konnektorfenster bereits alles normal angezeigt wird, kann es trotzdem noch etwas dauern, bis die Administrations-Webseite über die Kocobox wieder erreichbar ist. Sie können sich jetzt mit dem zuletzt vergegebenen Passwort als koco-root anmelden.

Leider funktioniert der Import der alten Konfigurationsdatei nicht immer. Dann kommt immer wieder der Hinweis, dass eine statische LAN-Konfiguration vorhanden sein muss. Der Hinweis ist nicht zielführend. Eventuell muss unter LAN / WAN in der Basiskonfiguration der Anbindungsmodus Internet auf IAG stehen, der Anbindungsmodus muss auf parallel stehen und in der Adresse IAG muss die IP-Adresse des Internet-Routers stehen. Eventuell muss statt Hostname "Kocobox" auch "Konnektor" stehen. Bei Änderungen muss jedes Mal auf Übernehmen geklickt werden.

Falls das nicht hilft, kann man einen Werksreset unter Verwaltung aufrufen und nochmal von vorne anfangen.

Schalten Sie den Konnektor wieder online über Verwaltung Leistungsumfang ONLINE auf aktiviert. Es müssen weitere Zertifikate eingespielt werden:

und/oder

über Zertifikatsdienst CA-Import Button CA-Zertifikat hinzufügen importieren.

VPN-Zugangsdienst registrieren

Über VPN Registrierung geben Sie die oben gespeicherte Vertragsnummer für den TI-VPN-Zugang ein. Wählen Sie den SMC-B aus und klicken Sie auf Registrieren. Sie müssen am Kartenterminal die SMC-B-PIN eingeben. Nun müsste ein VSDM mit einer eGK am Kartenterminal wieder laufen. (Achtung, der SM-KT ist noch nicht getauscht!)

Einstellungen in apraxos

Das neue Konnektor-Zertifikat muss über System / Einstellungen / VDSM/Konnektor / Zugangsdaten. Mit F2 löschen Sie das alte Konnektor-Zertifikat. Anschließend wird das neue Konnektor-Zertifikat zur Absicherung der TLS-Verbindung heruntergeladen.

Das neue Konnektor-Zertifikat muss auch bei den KIM-Client-Diensten eingespielt werden. Lesen dafür die Einrichtung der KIM-Client-Dienste.

Signaturdienst

Über Signaturdienst stellen Sie den Einzelsignaturmodus ein. Die Komfortsignaturmodus stellen Sie auf aktiviert. Sie müssen jetzt die maximale Anzahl der Komfortsignaturen, z.B. 200 Stück, und die maximale Dauer der Komfortsignaturen, z.B. 10 Stunden, angeben, da das scheinbar nicht mit den Konfigurationsdaten übernommen wurde.

Die Komfortsignatur in der neuen Kocobox ist aktuell fehlerhaft. Der Fehler soll mit dem nächsten Firmware-Update behoben werden.

Die Komfortsignatur kann dennoch mit einem Trick genutzt werden:

  • Schalten Sie die Komfortsignatur zunächst wie gewohnt in apraxos über System / Einstellungen / VSDM/Konnektor / SMC-B oder HBA verwalten / HBA-Komfortsignatur freischalten ein.

  • Signieren Sie eine eAU: es wird ein Fehler 4049 angezeigt.

  • Gehen Sie wieder auf System / Einstellungen / VSDM/Konnektor / SMC-B oder HBA verwalten / HBA-Komfortsignatur freischalten. Geben Sie das Komfortsignatur-Passwort ein und deaktivieren Sie die Komfortsignatur. Danach wieder die Komfortsignatur aktivieren mit Eingabe der PIN am Kartenterminal.

  • Die Komfortsignatur funktioniert jetzt für die im Konnektor eingestellte Anzahl an Signaturen bzw. die Dauer der Komfortsignatur. Ist eines von diesen Vorgaben abgelaufen, muss die Komfortsignatur nach diesem Schema wieder freigeschaltet werden.

Tausch des gSMC-KT

Mit dem Do-it-yourself-Konnektortausch-Paket haben Sie einen Briefumschlag mit einer neuen gSMC-KT bekommen. Die gSMC-KT enthält ein Zertifikat auf einem Chip, ähnlich einem Handy-Chip, das das Kartenterminal (ich beschreibe hier den Tausch beim Orga 6141 online) gegenüber dem Konnektor authentifiziert und das ebenfalls in der ersten Jahreshälfte 2023 abläuft.

Machen Sie das Kartenterminal stromlos. Das Orga-Kartenterminal hat an der linken Seite zwei Chip-Fächer, einen für den gSMC-KT und einen für den SMC-B, der die Praxis gegenüber der Telematik Infrastruktur authentifiziert. Der gSMC-KT hat keine Beschriftung, der SMC-B hat eine Beschriftung von medisign oder der Bundesdruckerei. Sie müssen vermutlich das Sigel über dem Chip-Fach öffnen, wenn die Chip-Fächer nicht schon vorher wegen der Probleme mit den neuen eGKs und dem Leseproblem mit dem Orga geöffnet worden waren. Tauschen Sie den alten gSMC-KI gegen den neuen Chip aus. Stöpseln Sie das Kartenterminal wieder an. Das Orga-Kartenterminal startet. Allerdings bleiben die Icons für die Chips mit den Zertifikaten weiss mit gelbem Chip-Icon.

Das ganz rechte Icon mit der Anzeige für die Internet-Verbindung sollte gelb sein, also eine Verbindung zum Konnektor anzeigen.

Sie müssen das Administrator-Passwort des Kartenterminals bereithalten.

Im Konnektor gehen Sie auf Kartenterminaldienst. Dort wird das Kartenterminal als nicht aktiv angezeigt. Klicken Sie links auf den Bearbeitungsstift des Kartenterminal. Es öffnet sich ein neues Fenster. Klicken Sie unten im Fenster auf den Button Status manuell ändern. Den Status auf zugewiesen ändern.

Dann auf manuell pairen klicken. Es wird das neue Zertifikat angezeigt, mit OK bestätigen. Anschließend müssen Sie am Kartenterminal das Pairing mit dem Administrator-Passwort des Kartenterminals am Kartenterminal bestätigen.

Sollte dann der Fehler 6900 angezeigt werden, ist der Zertifikatspeicher am Kartenterminal voll. Rufen Sie am Orga-Kartenterminal das Menü auf, gehen Sie auf Einstellungen. Das Administrator-Passwort bzw. die Admin-PIN muss nun eingegeben werden. Anschließend gehen Sie auf SICCT Paramater, dann auf Pairing und dort auf Alles löschen, um den Zertifikatspeicher neu befüllen zu können. Dann sollte am Konnektor das manuelle pairen funktioneren.

Klicken Sie links unten auf den Button Übernehmen.

In apraxos weisen Sie das Orga-Kartenterminal nun nochmal unter System / Einstellungen / VDSM/Konnektor / Kartenterminal zuordnen zu. Anschließend muss der SMC-B, evtl auch der HBA freigeschaltet werden. Damit sollte das Kartenterminal mit der neuen gSMC-KT laufen.