Seit dem Jahresanfang 2023 gibt es ein Problem bei qualifizierten elektronischen Signaturen (QES), die bei einigen Heilberufsausweisen (HBA) zum Signieren verwendet werden müssen. Es kann dazu führen, dass kein QES-Signaturen erzeugt oder geprüft werden können. Die Inhaber von Heilberufsausweisen (HBA) können dann beispielsweise keine elektronische Arbeitsunfähigkeitsbescheinigung (eAU) oder eRezepte ausstellen. Betroffen sind TI-Konnektoren von CoCo (KoCoBox) mit Heilberufsausweisen der Trusted Service Provider D-Trust sowie T-Systems. Sieht wie ein Jahr 2023-Problem bei Zertifikaten aus.
Anzeige
QES-Signaturen: Worum geht es?
Arztpraxen, Apotheken, Therapeuten sollen ja zunehmend auf elektronischem Wege über die Telematikinfrastruktur im Medizinwesen kommunizieren. Zum 1.1.2023 ist in dem Sinne die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) online gegangen. Rezepte sollen als eRezept ebenfalls auf elektronischem Wege ausgestellt werden können.
Um diese Dokumente rechtssicher vom Arzt oder Therapeuten unterschreiben zu können, wird eine qualifizierte elektronische Signatur (QES) benötigt. Die qualifizierte elektronische Signatur (QES) ermöglicht die rechtssichere elektronische Unterschrift für medizinische Dokumente und Datensätze und ersetzt damit die handschriftliche Unterschrift auf Papier (ausführlicherer Erklärungen siehe).
Die QES ist in dem Sinne keine Anwendung der Telematikinfrastruktur, aber eine zentrale Funktion des TI-Konnektors. Die QES ist ausschließlich mithilfe des personengebundenen elektronischen Heilberufsausweises (eHBA) und der Eingabe der zugehörigen Signatur-PIN am eHealth-Kartenterminal möglich.
Störung bei der QES-Signatur
Blog-Leser V. A. hat mich eben in einer privaten Meldung auf Facebook darüber informiert (danke dafür), dass es seit Neujahr (1.1.2023) wohl gravierende Probleme mit elektronischen Heilberufsausweisen (eHBAs) in Verbindung mit der KoCoBox (TI-Konnector von CGM) gebe.
Hallo Herr Born, es gibt seit dem Neujahr Probleme mit den eHBA's und kocobox….
Seit Tagen tut sich nichts
Der Leser berichtete hat mir, dass es bisher keine Information im Internet gäbe und hat mir dann noch nachfolgenden Screenshot der Statusseite zur Störung geschickt – die Meldung wurde am 4.1.2023 um 11:30 Uhr im Fachportal wiederholt:
Erstmals gab es am 2. Januar 2023 einen Eintrag mit dem Eingeständnis, dass Störungsmeldungen bei den qualifizierten elektronischen Signaturen (QES-Signaturen) vorlägen. Dadurch kann es dazu kommen, dass keine QES-Signaturen erzeugt bzw. geprüft werden können. Sprich: Die Ärzte oder Therapeuten können wegen der fehlenden qualifizierten elektronischen Signatur (QES) keine eRezepte oder eAU (Arbeitsunfähigkeitsbescheinigungen) ausstellen.
KoCoBox MED+, Quelle: CompuGroup Medical (CGM)
Anzeige
Das Problem dauerte am 3. Januar 2023 noch an, wie man aus obigem Screenshot erkennen kann. Zumindest kann der Betreiber das eingrenzen. Die Störung betrifft nur Benutzer der KoCoBox-Konnektoren (TI-Konnektoren von CGM) in Kombination mit Heilberufsausweisen (HBAs) der Trust Service Provider (TSP) D-Trust und T-Systems.
Laut meiner Quelle erhalten die aktuell (4.1.2023) reihenweise Anrufe von betroffenen Kunden, ohne dass es bisher offizielle Informationen im Internet gibt. Ich habe daher die obige Störungsmeldung mal hier im Blog eingestellt, da das unmittelbare Auswirkungen auf die Nutzung der Anwendungen elektronische Arbeitsunfähigkeitsbescheinigung (eAU) und E- Rezept hat. Sofern hier Probleme auftreten, kann für das Ausstellen von eAU alternativ eine Security Module Card Typ B (SMC-B) genutzt werden. Für das E-Rezept gilt als Ausweichlösung die Verwendung des Muster 16, schreibt der Betreiber.
Sieht mir nach einem Jahr 2023-Problem aus, welches seit dem 1.1.2023 mit den betreffenden Zertifikaten der betroffenen Heilberufsausweise oder der TI-Konnektoren der KoCoBox von Med+ (CGM) besteht. Das lässt bei mir die Gehirnwindungen auf Hochtouren laufen – war CGM nicht der Hersteller von TI-Konnektoren, die wegen auslaufender Zertifikate die Geräte tauschen mussten (siehe nachfolgende Artikellinks am Beitragsende)? Jemand aus der Leserschaft von der Thematik betroffen? Gibt es weitere Informationen dazu.
Ergänzungen: Inzwischen gibt es von der Kassenärztlichen Vereinigung (KV) Hamburg diese Meldung (gelöscht), die sich auf eine Mitteilung der gematik bezieht. Zudem habe ich nun diesen Beitrag in der TI-Community gefunden:
Konnektor Fehler 1031: QES + HBA geht nicht mehr seit dem Jahresbeginn
Guten Tag zusammen,
nachdem ich nun versucht habe diverse Hotlines anzurufen, diese jedoch besetzt sind und somit ein Durchkommen nicht möglich ist, versuche ich es nun auf diesem Wege.
2 von X Kunden haben nun heute Vormittag das gleiche Problem: Das Signieren der eAUs mit Hilfe von QES geht nicht mehr.
Fehlermeldung(en):
Fehler 1031 ist aufgetreten.
Algorithmen seit 2023 als unsicher eingestuft.
Signatur der Response ist nicht gültig.
OCSPSignerCert ist nicht für QES zugelassen.
Algorithmen seit 2023 als unsicher eingestuft.
Signaturalorithmus des OCSP-Signer Zertifikats war nur bis [Datum + Uhrzeit vom letzten Tag des Jahres 2022] zugelassen.Beide Kunden haben eine Koco-Box, Konnektor + Karten sind noch nicht abgelaufen. Konnektor und Kartenterminal haben die aktuellste FW-Version.
Konnektor wurde bereits neu gestartet sowie ein erfolgreicher Prüflauf im Zertifikatsdienst in der Management-Schnittstelle durchgeführt.
Die Praxen signieren jetzt erst mal mit Hilfe der SMC-B und nonQES, jedoch hätten wir natürlich gerne eine Lösung. Ist einer von Ihnen in diesem Jahr oder generell schon mal auf das Problem gestoßen?
Interessant ist im Hinblick auf die oben skizzierte Ausweichlösung die nachfolgende Rückmeldung
wir haben das jetzt getestet und können eine eAU signieren ohne eHBA. Dann wird eine Nicht-Qualifizierte Signatur verwendet. Das wäre die Alternative, die auch von der Gematik vorgeschlagen wird.
Lt. meinen Unterlagen "möchte" die KV das aber nicht. Keine Ahnung was da jetzt für ein "Rattenschwanz" noch dran hängt.
Update 03.01.2023 16:32 Uhr: Signieren ging, versenden schlägt fehl. Wir wissen aber noch nicht warum.
Sieht irgendwie nach Problemen aus. Ergänzung 2: Von der Bundesdruckerei wurde ich per E-Mail (Betreff Bundesdruckerei-Gruppe zur Ihrem Blogbeitrag "Problem bei QES-Signaturen für Heilberufsausweise") um Berücksichtigung des Status-Updates vom 4.1.2023, 11:30 Uhr gebeten.
Der Bundesdruckerrei ist es wohl wichtig, dass der Trust Service Provider D-Trust nach weiteren Analysen nicht betroffen sei. Ein Patch zur Behebung des Fehlers wird durch den Trust Service Provider T-Systems aktuell in der Testumgebung verifiziert. Nach erfolgreichem Test soll der Patch zur Behebung des Fehlers auch in der Produktionsumgebung durchgeführt werden.
Ähnliche Artikel:
TI-Konnectoren im Gesundheitswesen – der "400 Millionen Euro"-Hack des Chaos Computer Clubs
gematik erlaubt Laufzeitverlängerung per Software-Update für TI-Konnektoren
TI-Konnektorentausch: Ärzteverbände erstatten Anzeige wegen Korruptionsverdacht
2015
Hier noch eine aktuelle Störungsmeldung von der KV in HH:
Störungsmeldungen beim Signieren mit dem eHBA
GB: War wohl Parallel-Arbeit, hatte den Link auch gerade nachgetragen.
Deutschland digitalisiert – sich zwar kaputt aber immerhin dann wenigstens digital! Wie macht das denn Estland? Hat da jemand Erfahrungen aus der Praxis?
Das ist eine gute Frage. Bei Deutschland habe ich den Eindruck man digitalisiert des Digitalisierens wegen. Ohne Ziele, Vorteile etc. zu bennenen.
Heute ging es auch im Radio wieder um die Digitalisierung der Schulen….
Warum und was digitalisiert werden soll wurden nicht erwähnt, nur dass man drüber spricht.
Weil es kein Konzept in Deutschland gibt. Man nimmt hier ein paar iPads, da ein paar Whiteboards und fertig ist man mit der Digitalisierung. Das ist Deutschland. Dass es dazu je nach Schulgröße min. 1 Stelle IT geben muss, die sich um nichts anderes kümmert oder dass man Schulungen und Co. für Lehrkräfte aufsetzt und, und, und … nein, man streitet sich lieber um M365 oder nicht. Der heilige Gral Datenschutz und das böse Microsoft … aber es musste erst der CCC wieder beweisen, dass es auch OpenSource gut geht und man nicht Microsoft braucht. Warum? Der CCC hatte ein Gesamtkonzept, dass überzeugte und keine 5 Insellöungen: https://www.golem.de/news/big-blue-button-wie-ccc-urgesteine-gegen-teams-und-zoom-kaempfen-2005-148560.html Olaf Scholz hatte auf dem Digitalgipfel gesagt, dass Deutschland einen anderen Umgang, ein anderes Gefühl für Daten bräuchte. Sehr richtig. Aber leider hilft das hier auch nicht.
Tipp am Rande: Scholz meinte damit die Komplettaufgabe jedes Datenschutzes…
Die Tage noch einen Beitrag überflogen (Quelle ist mir aktuell entfallen). Estland und die baltischen Staaten haben dort zwei Vorteile: Die haben nur eine geringe Bevölkerungszahl (1,14 Mio. in Estland), so dass viele Projekte einfacher skalieren. Und gleichzeitig konnten die nach der Loslösung von der Soviet Union das Gesundheitswesen neu und sofort digitalisiert neu aufsetzen. Andererseits gibt es auch dort Datenskandale und Leaks, die an die Substanz der Leute gehen.
Danke Günter! Gut, dass digital nichts zu 100% mehr sicher ist, ist heute ja klar. Die ganzen Skandale sind nicht schön und man fragt sich ab und zu, wer da welche Daten wie administriert aber damit muss man mehr oder weniger Leben. Das ist der Preis, den Digitalisierung fordert. Aber vom Gefühl her, läuft da doch einiges sehr richtig und wie Peter sagt, digitalisieren wir Deutschen wild drauf los, weil Papier ganz böse ist aber oftmals vergisst man hier nach meinem Gefühl, dass allein digitale Daten auch keine Lösung sind, wenn man damit wie mit analogen Daten umgeht. Ab 01.01. ist das beSt für Steuerberater online und wenn ich mir das 30min Video der Kammer anschaue, wird mir tatsächlich schlecht. Da wird so ein Bohei drum gemacht, dass man nun endlich digital mit Finanzgerichten kommunizieren kann, wo WhatsApps Verschlüsselung doch technisch sehr gut ist.
Zum "damit muss man mehr oder weniger Leben" – der Fatalismus hat mich jetzt erschüttert. Ich möchte nicht damit leben müssen und schieße da kräftig dagegen – weil ich auch den Dilletantismus in der Umsetzung sehe.
In den USA reicht die Sozialversicherungsnummer, um massiv Missbrauch zu treiben. In Estland legt die ID-Karte den Zugang zu elektronischen Diensten fest. Spätestens wenn dann ein Bankkonto, ein Online-Zugang etc. nach Identitätsklau unter fremder Flagge angelegt wurden, fangen die echten Schwierigkeiten doch an. Wenn die Inkasso-Firmen anklopfen, plötzlich Schufa-Scoring in den Keller geht oder die Polizei/Staatsanwaltschaft vor einem Opfer steht, welches wegen angeblicher Straftaten aus allen Wolken fällt. Es ist eine Büchse der Pandora, die da geöffnet wird, und den Leuten ist das noch nicht klar.
Gerade hier im Blog über das Postbank-Desaster bei der App-/Kontenumstellung berichtet. Lies mal die Kommentare der Betroffen – ich meine die Stimmen "weiblich", ggf. etwas älter und nun total aufgeschmissen ("nur noch 20 Euro Bargeld, Girokarte geht nicht mehr …"). Ist zwar eine andere Baustelle, aber für die Betroffenen geht es auf dystopische Verhältnisse zu. Und da schwabulieren hier im Blog (zu anderen Beiträgen über den Ausfall der Zahlungsterminals) Leute, dass Bargeld abgeschafft gehört …
Digitalisierung ja, aber mit Augenmaß, Fachkompetenz, Sinn und Verstand. Aber das sind schon vier Randbedingungen zu viel, schätze ich.
Mit "mehr oder weniger Leben" meinte ich eher: Es gibt keine 100%-ige Sicherheit. Egal, wer die Systeme schützt, Hacker finden immer einen Weg rein. Dass man dennoch die Systeme bestmöglich schützen muss, um es den Hackern nicht all zu einfach zu machen, ist klar. Aber man ist nie zu 100% geschützt. Und wenn Du dann doch sagst: mit Papier und auf analoge Art und Weise passiert das nicht: nope. Auch nicht. Was man von Mitarbeitern aus Pflegediensten und Co. hört, wie dort mit personenbezogenen Daten auf Papier umgegangen wird – besser ist das nicht. Die Ausmaße sind tatsächlich dort geringer. Ich war neulich beim Amt und ich konnte laut Mithören, wie eine andere Kundin einen Termin buchte: Name, Vorname, Geburtstag = Alter, E-Mail Adresse … hat sie alles schön laut gesagt, dass Fremde im Wartebereich Stift & Zettel hätten nehmen können …
Achso und: Es wäre schon transparenter, wenn man mitbekommen würde, welches Unternehmen bei der SCHUFA anfragt. Bei Otto für 35 Euro auf Rechnung bestellt, vergessen zu zahlen und bei der SCHUFA Auskunft zum Mietvertrag: ach guck an, Otto hat bei denen mal nachgefragt … stand bestimmt irgendwo in den AGBs oder anderen Checkboxen …
Wir haben natürlich ein Grundproblem:
Föderalismus und Digitalisierung widersprechen sich.
Digitalisierung funktioniert dann besonders gut, wenn möglichst viel vereinheitlicht/zentralisiert ist. Zweck des Föderalismus ist, dass es genau keine(!) Vereinheitlichung gibt.
Das ganze Konstrukt des Föderalismus stammt aus einer Zeit, wo Niemand den Begriff Digitalisierung kannte. Letztlich muss man daher erst mal verstehen, dass der Föderalismus in einer digitalen Welt überholt ist.
Dann kann man Anfangen Basisstrukturen zu schaffen. Bedeutet digitaler Personalausweis sofort auch für jedes Neugeborene und einen digitalen Aufenthaltsausweis für jene die keinen deutschen Personalausweis haben. Wenn dann also jeder überhaupt erst mal "Digital" erfasst ist, dann kann man darauf aufbauen. Angefangen mit vier oder fünf Rechenzentren quer über Deutschland verteilt, in denen dann sämtliche staatliche IT läuft, egal ob Bund, Land, Stand, Kommune, Gemeinde.
Das einzig Föderative kann dann noch sein, wer welches Fachverfahren benutzt und wie das konfiguriert ist? Die Datengrundlage muss aber dem selben Datenstamm, der selben Datenbank entstammen.
Eine Schule, Ordnungsamt, Zulassungsstelle, usw. hat doch gar kein Interesse daran auch noch für die Hardware, Betriebssysteme, Datenbanken zuständig zu sein – die wollen und sollen NUR ihre Fachverfahren verwenden – und zwar per Browser im Staats-VPN aus in der Staatscloud aus Staatsrechenzentren mit keinem oder gesondertem Zugang/Übergang ins restliche Internet…
Naja, in Teilbereichen funktioniert es doch trotz Föderalismus.
Beispielsweise bei der KFZ-Zulassung.
Früher war das alles dezentral, Halteranfragen der Polizei mussten bei der entsprechenden Zulassungsstelle, die das Kennzeichen ausgegeben hat, erfolgen.
Man bekam wegen der dezentralen Struktur auch bei Umzug zwingend ein neues Kennzeichen für das Auto.
Seit ein paar Jahren ist das zentralisiert beim KBA.
Wenn man z.B. von Hamburg nach München umzieht, kann man sein Autokennzeichen aus Hamburg behalten.
Und die Polizei macht die Halteranfrage zentral beim KBA und nicht mehr bei der jeweiligen Zulassungsstelle.
etc.
man hat den Föderalismus auch aus Datenschutz Gründen gewählt.
Ich erinnere ausdrücklich an die braune Vergangenheit in der die Kriminellen die an der Macht waren von der Firma IBM Holerith Lochkarteb Maschinen gekauft haben um möglichst schnell alle Opfer finden zu kum sie leichter ermorden zu können?
DAS war unseren Altvorderen noch Gewähr¡
Darum haben sie verboten, das es eine gesetzliche zentrale, allumfassende Personen Kennzahl gab.
Darum wurden die Daten der Bürger in dezentrale Einwohner melde Ämtern gespeichert.
Das ist in zwischen alles vergessen?
wer früher Geld von jemandem bekam, und der sich einfach nicht umgemeldet hat, sah sein Geld nie wieder.
Und selbst wenn er sich umgemeldet hatte, mußte der Gläubiger 120 Ordnungsämter abklappern..
Das ist heute alles vorbei.
Früher konnte man sein Auto nur in seinem Kreis anmelden. Nur dort hatte man Zugriff auf die Daten.
Inzwischen kann man jedes Nummernschild bei jeder Zulassungsstelle bekommen, weil alle auf eine Zentrale Datenbank zugreifen können und jedes einzelne Siegel einen eineindeutigen QR Code trägt?
Auch jede Briefmarke hat inzwischen einen eineindeutigen QR Code, warum?
dann kommen die zentralmeldenden Smartmeter dazu, die letztlich auch Wasser eingebaut werden.
Die Stasi wäre glücklich gewesen über eine soumfasende Uberwachungs Möglichkeit eines jeden Bürgers.
wer stellt sicher das eines Tages es nicht doch eine Stasi 3.0 geben wird?
Und das in Deutschland, einem bereits mehrfachbgebrantem Kind…
Ich glaube das noch nicht alle Vergessen haben und deshalb die Digitalisierung soweit sie mit Zentralisierung zu tun hat ausbremsen.
Alle faschistischen Systeme der Geschichte benötigten den Zentralismus.
Und man kann Digitalisierung auch ohne Zentralisierung ausbauen.
Parade Beispiel:
Die Cornona App.
Gab es da schon Datenreichtum?
Vgl. dazu die tote Luka App..?
"man hat den Föderalismus auch aus Datenschutz Gründen gewählt." Nein, hat da nichts mit zu tun. Das war eine Idee der alliierten Siegermächte (sog. Frankfurter Dokumente)
Eine geringe Bevölkerungszahl ist nicht der Grund, dass es in den baltischen Staaten (und auch anderen Staaten) funktioniert. Hier in Deutschland scheitert es an der schier unüberschauberen Bürokratie von x Behörden und 16 Bundesländern, die förderalistisch "nebeneinander" und nicht miteinander agieren. Wir sind schlicht überbürokratisiert und stehen eigentlich vor einem System-Kollaps. Die TI im Medizinwesen ist einfach nur ein schlechter Witz und nervt die Betroffenen schon Jahre, mal ganz davon abgesehen, wieviele Milliarden dort schon sinnlos verballert wurden. In meiner 40 jährigen IT-Tätigkeit habe ich noch keinen so großen Murks erlebt, wie die TI im Medizinwesen.
Auf meine Frage an eine gesetzliche Ersatz-Krankenkasse nach deren
öffentlichem PGP Key bekam ich die unglaubliche Antwort, das kein(!) öffentlich-rechtliches Unternehmen verschlüsselte E-Mails annehmen *darf*.
Das hinge mit den Servern zusammen, die man mit Siemens teile…
und die Verschlüsselung bei GMX würde schon garnicht akzeptiert werden…
Wo gibt es denn so ein Gesetz?
Könnte es sein das die Paranoia gepaart mit Unwissen (Woodoo-Glauben an Schlangenöl) dazu führt, das man jede Email lesen können möchte um sie auf Böses Untersuchen zu können? Oder das halt die Schlapphütte mitlesen wollen? Vgl. de-mail, bea etc. bei denen ja auch keine Ende zu Ende Verschlüsselung stattfindet sondern "nur kurzmal" die E-Mails entschlüsselt werden um die auf Viren scannen zu können?
Auch wurden "kurzmal" die Regeln für die Korrespondenz abgeschwächt, damit de-mail kompatibel?
Und ursprünglich sollte jede elektronische Rechnung mit einer Qualifizierten Signatur, halt so einer QES unterschrieben werden.
und wie war das noch mit EVA? Damals sollten die Arbeitgeber Arbeitszeiten Entgelte, Religionszugehörigkeit an eine zentrale Stelle melden? Damit sollte es den Beamten leichter gemacht werden, Bescheinigungen auszustellen, weil ja für jeden Bürger schon alle Daten aktuell Vorlagen, auch wenn bundesweit nur ein paar Dutzend solcher Bescheinigungen anfielen.
Zum Glück wurde dieser Wahnsinn kurz vor der Einführung verboten?
oder Atlas. ein elektronisches Zollsystem, an dessen Schnittstelle täglich rumgebastelt wurde. Jahrelang. Und als es per OrderdeMufti eingeführt wurde, der deutsche Export eine Woche auf Null fiel, weil man noch eine letzte Schnittstellen Änderung machte und die Consultants auch nur 2x24h pro Tag arbeiten könnten..
Wer wundert sich noch?
Die Unternehmen haben
wie sagten die Ami damals:
Deutschland muß ein Kartoffelacker bleiben.
sie haben Recht behalten
man hat den Föderalismus auch aus Datenschutz Gründen gewählt.
Ich erinnere ausdrücklich an die braune Vergangenheit in der die Kriminellen die an der Macht waren von der Firma IBM Holerith Lochkarteb Maschinen gekauft haben um möglichst schnell alle Opfer finden zu kum sie leichter ermorden zu können?
DAS war unseren Altvorderen noch Gewähr¡
Darum haben sie verboten, das es eine gesetzliche zentrale, allumfassende Personen Kennzahl gab.
Darum wurden die Daten der Bürger in dezentrale Einwohner melde Ämtern gespeichert.
Das ist in zwischen alles vergessen?
wer früher Geld von jemandem bekam, und der sich einfach nicht umgemeldet hat, sah sein Geld nie wieder.
Und selbst wenn er sich umgemeldet hatte, mußte der Gläubiger 120 Ordnungsämter abklappern..
Das ist heute alles vorbei.
Früher konnte man sein Auto nur in seinem Kreis anmelden. Nur dort hatte man Zugriff auf die Daten.
Inzwischen kann man jedes Nummernschild bei jeder Zulassungsstelle bekommen, weil alle auf eine Zentrale Datenbank zugreifen können und jedes einzelne Siegel einen eineindeutigen QR Code trägt?
Auch jede Briefmarke hat inzwischen einen eineindeutigen QR Code, warum?
dann kommen die zentralmeldenden Smartmeter dazu, die letztlich auch Wasser eingebaut werden.
Die Stasi wäre glücklich gewesen über eine soumfasende Uberwachungs Möglichkeit eines jeden Bürgers.
wer stellt sicher das eines Tages es nicht doch eine Stasi 3.0 geben wird?
Und das in Deutschland, einem bereits mehrfachbgebrantem Kind…
Ich glaube das noch nicht alle Vergessen haben und deshalb die Digitalisierung soweit sie mit Zentralisierung zu tun hat ausbremsen.
Alle faschistischen Systeme der Geschichte benötigten den Zentralismus.
Und man kann Digitalisierung auch ohne Zentralisierung ausbauen.
Parade Beispiel:
Die Cornona App.
Gab es da schon Datenreichtum?
Vgl. dazu die tote Luka App..?