TI-Dienste

[allgemeinarzt-sk]

Hallo an alle,

wir sind am verzweifeln...
Versand der eAU funktioniert seit letztem Quartalsupdate bei uns nicht mehr zuverlässig, nur noch sporadisch.
Wir nutzen als KIM Dienst KV-Dox. Erstellen und signieren der eAU funktioniert ohne Probleme (Signatur mit eHBA).
Bei versenden erscheint nacheinander: versendet - zugestellt - Fehler Kostenträger
Beim click auf die Nachricht wird Fehler 311 angezeigt. Die Signaturprüfung der KIM-Nachricht der eAU hat ergeben, dass der Nachrichteninhalt nicht mit der Signatur übereinstimmt.

TM Hotline behauptet, Problem liege bei KV-Dox. Allerdings für mich unsinnig, da der Versand ja funktioniert und wir auch eine Fehler-Nachricht per KIM erhalten. e-Arztbriefempfang funktioniert ebenfalls.
Rückfrage und Fernwartung bei KV Dox: Clientmodul hat richtige Version und funktioniert einwandfrei. Versand von Testnachrichten funktioniert ebenfalls. Fehler liegt in den übermittelten Turbomed-Datenpaket.

Hat jemand eine Idee?
Bis zum 3. Quartal hatte eAU problemlos funktioniert.

[FortiSecond]

Vorsorgliche Fragen:
Wurde irgendeiner der Ausweise (SMC-B, eHBA) in letzter Zeit getauscht?
Wurden Ausweise in diesem Jahr erneuert, obwohl die alten noch gültig waren?
Hat der Konnektor eine Laufzeitverlängerung bekommen?

Wenn ein oder mehrere "ja":
Ist die KIM-Adresse auf einen eHBA registriert und nach Tausch re-registriert worden?
Ist die KIM-Adresse auf SMC-B registriert und nach SMC-B-Tausch re-registriert worden?
Ist nach SMC-B-Tausch die VPN-Registrierung des Konnektors erneuert worden?
Ist in TM der korrekte eHBA beim Arzt hinterlegt?


Einiges ist nicht zwingend relevant für Fehler 311, aber ggf. aus anderen Gründen erforderlich.

[allgemeinarzt-sk]

Vorsorgliche Fragen:
Wurde irgendeiner der Ausweise (SMC-B, eHBA) in letzter Zeit getauscht?
Wurden Ausweise in diesem Jahr erneuert, obwohl die alten noch gültig waren?
Hat der Konnektor eine Laufzeitverlängerung bekommen?

Wenn ein oder mehrere "ja":
Ist die KIM-Adresse auf einen eHBA registriert und nach Tausch re-registriert worden?
Ist die KIM-Adresse auf SMC-B registriert und nach SMC-B-Tausch re-registriert worden?
Ist nach SMC-B-Tausch die VPN-Registrierung des Konnektors erneuert worden?
Ist in TM der korrekte eHBA beim Arzt hinterlegt?


Einiges ist nicht zwingend relevant für Fehler 311, aber ggf. aus anderen Gründen erforderlich.

Danke für die schnelle Antwort.

Tatsächlich wurde der eHBA am 24.08.25 erneuert. Wir sind nach Anleitung verfahren, Eingabe und ändern von Transport PIN, PIN und PIN QES hat problemlos funktioniert.

Ist die KIM-Adresse auf einen eHBA registriert und nach Tausch re-registriert worden?
-> Ja, ich denke das ist sie, aber re-registriert wurde wohl nichts. Wie macht man das?
Ist in TM der korrekte eHBA beim Arzt hinterlegt?
-> Ja, in den Praxisdaten bei Arzt ist der "Neue" eHBA.

Was merkwürdig ist, manchmal funktioniert es ja... Aber in 90% der Fälle nicht.

[FortiSecond]

"Die äußere Nachricht ist eine entsprechend dem S/MIME-Standard signierte und verschlüsselte E-Mail-Nachricht. Die innere Nachricht (FHIR-Bundle / UTF-8 codiert) ist die vom Clientmodul verarbeitete Client-Mail (signiert und verschlüsselt) die gemäß message/rfc822 als Anhang in die äußere Nachricht angehangen wird."

Fehler 311 beschreibt, dass
die mit S/MIME verschlüsselte E-Mail (also das, was als tatsächliche KIM-Mail rausgeht) einen Anhang (Inhalt) hat,
der eine abweichende Signatur trägt (die eAU).

Es hat den Anschein, dass die eAU mit dem aktuellen eHBA und die als Umschlag fungierende KIM-Nachricht "mit was anderem" signiert wird.
Deswegen die Frage, ob die KIM-Adresse mit einem alten oder anderen (!) eHBA angelegt ist.

Off-topic

EDIT: Ursprüngliche Absätze inzwischen nicht mehr relevant

Da war auch noch was mit Benutzerkontext bei KIM und eHBA.

Und dann frage ich mich gerade, ob dies eine passende Konstellation wäre:
- eAU direkt signiert, aber nicht verschickt (zum Versand vorbereitet)
- dann in eMuster-Center oben SMC-B gewählt beim Versand (sollte eigentlich... hmmm...).

Also: Wenn CGM meint, es liegt an KV.DOX - dann bleibt im Wesentlichen nur die Registrierung mit einem abweichenden Ausweis. Dann ist die Nachricht zwar korrekt signiert, aber:

Die Signatur entspricht nicht der Signatur bzw. dem öffentlichen Teil des Zertifikats, der im Verzeichnisdienst hinterlegt ist. Beim Wechsel des eHBA muss der Verzeichnisdienst den öffentlichen Teil des neuen Zertifikats zur Adresse kennen. Ist das nicht der Fall, kann man problemlos versenden - aber der Empfänger bemerkt, dass da was nicht stimmt bzw. findet eine vom Verzeichnis abweichende Signatur.


DAS würde eine Erklärung sein.

Lösungsansatz:
Zuerst denke ich an De- und Re-Registrierung. Bei KV.DOX ist dafür zwingend der (sehr freundliche) Support anzurufen, damit ein neuer Registrierungscode erstellt wird, den man im Portal dann findet und nutzen kann.

Aber vielleicht...
https://downloadservice.kim.akquinet.de ... tmodul.pdf
-> Identitätswechsel (Seite 30)?


Und zuletzt: Ist der neue Ausweis vielleicht nicht freigeschaltet (Zertifikat aktiviert)? Obwohl... naja... dann sollte man damit nicht signieren können, weil Prüfung der Gültigkeit scheitert.

[FortiSecond]

Anmerkung: Witzig... Ich habe die Ergänzung verfasst, und beim Absenden kam die Mitteilung, dass inzwischen ein neuer Beitrag vorliegt. Wenn ich das jetzt beides so ansehe... Gedankenübertragung.

EDIT: Am besten den Support anrufen, denn die können sicher sofort die richtige Antwort geben und bei der Lösung begleiten.

[allgemeinarzt-sk]

"Die äußere Nachricht ist eine entsprechend dem S/MIME-Standard signierte und verschlüsselte E-Mail-Nachricht. Die innere Nachricht (FHIR-Bundle / UTF-8 codiert) ist die vom Clientmodul verarbeitete Client-Mail (signiert und verschlüsselt) die gemäß message/rfc822 als Anhang in die äußere Nachricht angehangen wird."

Fehler 311 beschreibt, dass
die mit S/MIME verschlüsselte E-Mail (also das, was als tatsächliche KIM-Mail rausgeht) einen Anhang (Inhalt) hat,
der eine abweichende Signatur trägt (die eAU).

Es hat den Anschein, dass die eAU mit dem aktuellen eHBA und die als Umschlag fungierende KIM-Nachricht "mit was anderem" signiert wird.
Deswegen die Frage, ob die KIM-Adresse mit einem alten oder anderen (!) eHBA angelegt ist.

Off-topic

EDIT: Ursprüngliche Absätze inzwischen nicht mehr relevant

Da war auch noch was mit Benutzerkontext bei KIM und eHBA.

Und dann frage ich mich gerade, ob dies eine passende Konstellation wäre:
- eAU direkt signiert, aber nicht verschickt (zum Versand vorbereitet)
- dann in eMuster-Center oben SMC-B gewählt beim Versand (sollte eigentlich... hmmm...).

Also: Wenn CGM meint, es liegt an KV.DOX - dann bleibt im Wesentlichen nur die Registrierung mit einem abweichenden Ausweis. Dann ist die Nachricht zwar korrekt signiert, aber:

Die Signatur entspricht nicht der Signatur bzw. dem öffentlichen Teil des Zertifikats, der im Verzeichnisdienst hinterlegt ist. Beim Wechsel des eHBA muss der Verzeichnisdienst den öffentlichen Teil des neuen Zertifikats zur Adresse kennen. Ist das nicht der Fall, kann man problemlos versenden - aber der Empfänger bemerkt, dass da was nicht stimmt bzw. findet eine vom Verzeichnis abweichende Signatur.


DAS würde eine Erklärung sein.

Lösungsansatz:
Zuerst denke ich an De- und Re-Registrierung. Bei KV.DOX ist dafür zwingend der (sehr freundliche) Support anzurufen, damit ein neuer Registrierungscode erstellt wird, den man im Portal dann findet und nutzen kann.

Aber vielleicht...
https://downloadservice.kim.akquinet.de ... tmodul.pdf
-> Identitätswechsel (Seite 30)?


Und zuletzt: Ist der neue Ausweis vielleicht nicht freigeschaltet (Zertifikat aktiviert)? Obwohl... naja... dann sollte man damit nicht signieren können, weil Prüfung der Gültigkeit scheitert.

Ok, danke für die Erläuterung. Klingt plausibel.
Ich habe eben mal einen Kartenabruf im KV-Dox Client gemacht. Der Abruf funktioniert und zeigt die Karten an, aber bei eHBA liegt ein Fehler vor... Die Karte erfüllt nicht die Anforderungen um genutzt zu werden...

Ich wende mich morgen an den Support und berichte. Danke schonmal.

[allgemeinarzt-sk]

Kurzes Update:

Remotesupport am Freitag mit KV-Dox; Alle Einstellungen korrekt, Clientmodul aktuell.
Lt. Aussage des freundlichen Mitarbeiters ist KV-Dox "nur" für den KIM Versand verantwortlich und zum "Signieren" wird lediglich die SMC-B Karte herangezogen. Der eHBA hat für den Versand keine Bewandnis und wird vom Clientmodul nicht genutzt. Wenn eine Nachricht der Krankenkasse erhalten wird, funktioniert ja der Versand.
Er sieht hier kein Problem beim Versand sondern bei der Signatur der eAU in Turbomed.

Gleich im Anschluss Ticket bei TM L2 Support aufgemacht. Morgen Rückruf... Ich berichte weiter.

Grüße

[FortiSecond]

Lt. Aussage des freundlichen Mitarbeiters ist KV-Dox "nur" für den KIM Versand verantwortlich und zum "Signieren" wird lediglich die SMC-B Karte herangezogen. Der eHBA hat für den Versand keine Bewandnis und wird vom Clientmodul nicht genutzt. Wenn eine Nachricht der Krankenkasse erhalten wird, funktioniert ja der Versand.

Cave: KIM-Adresse ist mit dem eHBA registriert, also persönliche KIM-Adresse, die am eHBA hängt.
Wäre sie mit SMC-B registriert, könnte ich der Aussage des Supporters problemlos folgen.


Der Versand funktioniert insoweit, dass sie Nachricht auf den Weg geht und am Ende nach Empfang und aufgrund der Prüfung eine Fehlermeldung vom Zielsystem zurückgegeben wird. Für den KIM-Dienst selbst ist der alte eHBA ja auch noch eingetragen. Bis dahin passt es auch dem Zielsystem. Nur funktionieren die Daten vom alten eHBA nicht für den Inhalt der Nachricht. Dafür werden andere gebraucht, die nicht im Verzeichnisdienst hinterlegt sind.

Die reine Gültigkeitsprüfung für die Zertifikate ist hier also nicht das Problem. Da wird das neue gültig sein, und das alte Zertifikat auch noch (wenn alter Ausweis nicht abgelaufen). Okay.

Nun haben wir aber "innen" das neue, "außen" das alte Zertifikat, und beide sind gültig. Es sollen aber keine verschiedenen Zertifikate für eine Person in einer Nachricht auftauchen (Fehler 311) - eines passt nicht zu Ihrem Eintrag im Verzeichnisdienst (Legitimation unplausibel).


https://ti.kvno.de/medizinische-anwendu ... wendungen/

Neben den Basisdaten einer Betriebsstätte wird auch der Zertifikatseintrag des eHBA und des Praxisausweises (SMC-B Karte) in den TI-Verzeichnisdienst eingetragen.

An welcher Stelle erfährt denn der Verzeichnisdienst vom neuen Zertifikat auf dem neuen eHBA, damit der Empfänger prüfen kann, dass die KIM-Nachricht mit dem zur Adresse gehörenden Zertifikat (und nur mit diesem) versehen ist?

Die technische Logik gebietet, dass dies bei der Registrierung der KIM-Adresse passiert. Und zwar nur hier.
Neuer eHBA mit neuem Zertifikat = Re-Registrierung unter Nutzung des neuen eHBA.

Und mit welchem Programm erfolgt die Registrierung (und damit Hinterlegung des Zertifikats im Verzeichnisdienst?
Bei kv.dox zwingend im Clientmodul.
Bei CGM KIM zumindest nach dem Wunsch von CGM gern auch über die KIM-Verwaltung in den Praxisdaten, ist hier aber irrelevant.

Also... ohne Re-Registrierung sehe ich hier kein Land.
Insoweit vermute ich, dass der Supporter gerade nicht an diese Konstellation gedacht hat - sie kommt in der Fläche vergleichsweise selten vor.

Die Hoffnung bleibt, dass ich irre und die Lösung am Ende viel naheliegender sein wird.