Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- dighealth:ti:kon [2023/04/18 14:05] – [Chronologie] fjh
+++ dighealth:ti:kon [2025/09/04 10:57] (aktuell) – [Konnektortausch] fjh
@@ Zeile 1: / Zeile 1: @@
 ====== Konnektor ======
-===== Konnektor-Produkttypen =====
+<note>Die Nutzung von Einbox-Konnektoren ist maximal bis 2030 möglich: https://www.gematik.de/newsroom/news-detail/aktuelles-gesellschafter-beschliessen-ende-der-nutzung-von-einbox-konnektoren</note>
-  * **Ein-Box-Konnektor**
-  * **Rechenzentrumskonnektor** (Konnektorfarming auf Basis von Hardware bspw. in Krankenhäusern aktuell genutzt, es gibt aber auch Anbieter-Angebote als TI-as-a-Service als Mischung aus Rechenzentrumskonnektor und VPN-Zugangsdienst bspw. [[https://telekonnekt.de/project/ti-konnekt/|TI-Konnekt]].)
-  * **[[https://fachportal.gematik.de/schnelleinstieg/downloadcenter/releases#c6537|Highspeed-Konnektor]]** (virtualisierter Konnektor im Rechenzentrum, Grundlage für TI-as-a-Service-Angebote, relativ neu, aktuell gibt es noch keinen zugelassenen Highspeed-Konnektor, Spec legt auch Afos an das Rechenzentrum fest, in dem ein solcher Konnektor betrieben wird, [[https://ehex.de/produkte/infinity-konnektor|Infinity]] heißt der erste Highspeed-Konnektor, den eHealth Experts bei der gematik zur Zulassung eingereicht hat; Stand: 12.01.2022)((vgl. auch https://e-health-com.de/details-news/highspeed-konnektoren-auf-der-ueberholspur/.))
+<note>PTV 6: erzwingt die Nutzung von ECC. Grundsätzlich bedarf es jedoch keines PTV-6-Konnektors, um bei korrekter Primärsystemimplementierung eine ECC-Signatur durchzuführen.</note>
+Über den Konnektor werden medizinische Einrichtungen an die TI angebunden.
+Neben der Hardware-Variante in der medizinischen Einrichtung gibt es zunehmend auch Serviceangebote, bei denen man eine TI-Anbindung quasi "abonnieren" kann, ohne einen Konnektor selbst anschaffen zu müssen. Diese Anbieter betreiben dann Einboxkonnektoren in einem Rechenzentrum und "verschalten" diese miteinander ("Konnektor-Farming"). Anbieter dieser Lösungen sind. bspw. RedMedical und Akquinet. Regulatorisch werden diese Angebote geduldet, offiziell zugelassen sind sie nicht. Mittlerweile gibt es jedoch auch spezifizierte Varianten eines "TI as a Service" als [[ti_gateway|TI-Gateway]] mittels [[hsk|Highspeedkonnektor]] (HSK) anbieten. Anbieter eines TI-Gateway sind zugelassen und nutzen den zugelassen Produkttyp HSK in ihrem Rechenzentrum. Mit ersten Angeboten wird im Herbst 2024 gerechnet.
 ===== Finanzierung =====
@@ Zeile 32: / Zeile 29: @@
 </note>
+==== Neue Vertrauenslisten BNetzA ====
+Zulassungsrelevante Firmware-Aktualisierung der Konnektoren notwendig aufgrund irgendeines Implementing Acts der EU. Wird sich voraussichtlich verzögern.
+Die Vertrauensliste der Bundesnetzagentur (BNetzA) wird zukünftig an den neuen Standard ETSI TS 119 612 Version 2.3.1 angepasst. Diese Anpassung erfolgt im Rahmen der Aktualisierung des Implementing Acts CID 2015/1505.
+Um sicherzustellen, dass Konnektoren auch weiterhin qualifizierte elektronische Signaturen (QES) erstellen und prüfen können, werden neue Firmware-Versionen bereitgestellt, die das aktualisierte Schema der Vertrauensliste unterstützen. Die Hersteller haben in Zusammenarbeit mit der gematik entsprechende Updates entwickelt, die von den Herstellern ab Mitte Mai/ Mitte Juni 2025 zur Verfügung gestellt werden.
+Was bedeutet das konkret?
+Einboxkonnektoren: Betreiber und Kunden von Einboxkonnektoren können die neuen Firmware-Versionen nach deren Verfügbarkeit installieren. Sofern der Konnektor keine Auto-Update-Funktion besitzt, kann das Update manuell durchgeführt oder über den Vertriebspartner bzw. DVO organisiert werden.
+TI-Gateway: Für Highspeedkonnektoren, die über ein TI-Gateway angebunden sind, ist kein Handeln erforderlich. Das Update wird zentral bereitgestellt und automatisch verfügbar gemacht.
+Derzeit dient die Bereitstellung der neuen Firmware-Versionen als Vorbereitung auf den Wechsel zur aktualisierten Vertrauensliste. Sobald die Einführung der neuen Vertrauensliste konkreter wird, werden wir an dieser Stelle erneut informieren und weitere Hinweise zur Umsetzung geben.((Quelle: https://fachportal.gematik.de/ti-status/wartungen-sonstige-informationen#c12, Meldung vom 16.05.2025.))
 ===== Konnektortausch =====
+<note important>Das Thema taucht immer nochmal auf: https://www.apotheke-adhoc.de/nachrichten/detail/e-health/millionenskandal-sorge-verteidigt-konnektorentausch/#</note>
+<note important>In dieser [[https://dserver.bundestag.de/btd/20/099/2009920.pdf|Kleinen Anfrage]] werden einige Hintergründe erklärt und zentrale Fragen (teils im ausweichenden Regierungsstil ;-)) beantwortet.</note>
+<note important>Mittlerweile gibt es eine [[https://www.gematik.de/telematikinfrastruktur/alles-zur-ti-anbindung/das-muessen-praxen-und-apotheken-2023-wissen|Info-Seite der gematik zum Thema Konnektortausch]].</note>
 <note important>Die gSMC-K trägt die kryptographische, angeblich logisch und physisch fest mit dem Konnektor verbundene, Identität des Konnektors. Die gSMC-Ks gehen nur an zugelassene Konnektorhersteller und werden dort in einem auditierten Staging-Prozess verbaut.</note>
@@ Zeile 82: / Zeile 101: @@
 ==== Zahlen ====
+  * Nach einer Antwort der Bundesregierung auf eine schriftliche Frage vom Abgeordneten Erwin Rüddel (CDU/CSU) wurde eine Laufzeitverlängerung bisher in 18.450 Fällen durchgeführt (Stand Juni 2024). Verglichen mit der im September 2023 geschätzten Zahl an auslaufenden Konnektoren wurde ungefähr die Hälfte der betroffenen Konnektoren verlängert.(([[https://dserver.bundestag.de/btd/20/117/2011712.pdfBT-Drs. 20/11712]], S. 102.))
   * In einer Antwort auf eine kleine Anfrage der Grünen(([[https://dserver.bundestag.de/btd/19/245/1924527.pdf|BT-Drs. 19/24527]], S. 3.)) wird folgende Verteilung der Ablaufdaten der Zertifikate auf Basis von Schätzungen der gematik angegeben:
@@ Zeile 92: / Zeile 112: @@
   * **CGM**: 2022 sollen rund 30.000 Konnektoren ausgetauscht werden. In dieser Zahl sind auch die Konnektoren inbegriffen, deren Zertifikate erst im Januar oder Februar 2023 auslaufen, die aber schon im ersten Schwung mit getauscht werden sollen. Weitere rund 30.000 Konnektoren werden in den Folgejahren getauscht.
   * **RISE**-Konnektoren müssen frühestens im Oktober 2023 getauscht werden. Dazu wie viele Konnektoren in welchen Zeiträumen getauscht werden müssen, macht RISE keine Angaben
-  * Der allererste **Secunet**-Konnektor wurde im Dezember 2018 zugelassen. Nach aktuellem Stand laufen zum Ende 2023 ca. 4000 bis 7000 Zertifikate und 2024 über das Jahr verteilt ca. 25.000 bis 34.000 Zertifikate aus, insgesamt sind ca. 80.000 Zertifikate im Einsatz.
+  * Der allererste **Secunet**-Konnektor wurde im Dezember 2018 zugelassen. Nach aktuellem Stand laufen zum Ende 2023 ca. 4.000 bis 7.000 Zertifikate und 2024 über das Jahr verteilt ca. 25.000 bis 34.000 Zertifikate aus, insgesamt sind ca. 80.000 Zertifikate im Einsatz.
 <note important>
@@ Zeile 118: / Zeile 138: @@
 ==== Literatur ====
   * Kleine Anfrage der Abgeordneten Anke Domscheit-Berg, Kathrin Vogler, Petra Pau, Nicole Gohlke, Gökay Akbulut, Clara Bünger, Ates Gürpinar, Dr. André Hahn, Susanne Hennig-Wellsow, Ina Latendorf, Cornelia Möhring, Sören Pellmann, Martina Renner, Dr. Petra Sitte und der Fraktion DIE LINKE: Konnektoren im Gesundheitswesen – Software-Update statt Hardware-Tausch, 3.11.2022, [[https://dserver.bundestag.de/btd/20/042/2004271.pdf|BT-Drs. 20/4271]] und die zugehörige [[https://dserver.bundestag.de/btd/20/047/2004745.pdf|Antwort der BReg]] (BT-Drs. 20/4745).
+  * [[https://dserver.bundestag.de/btd/20/094/2009424.pdf|Kleine Anfrage der Fraktion der CDU/CSU]]: Konnektoren im Gesundheitswesen - Verwendung von Mitteln der gesetzlichen Krankenversicherung, 17.11.2023. Antwort der Bundesregierung steht noch aus.
@@ Zeile 158: / Zeile 179: @@
 Zudem muss neben dem "einfachen" Einspielen eines Softwareupdates eine Zertifizierung des BSI eingeholt werden und auch die Zertifikatssenke bei arvato beauftragt werden, was natürlich auch bereits hätte geschehen können.
+===== Details =====
+==== SignDocument und RSA/ECC ====
+  * Seit Version 5.6.0 gibt es den Parameter ''Crypt'', über den man steuern kann, welcher private Schlüssel (RSA oder ECC) ausgewählt wird. Standardmäßig wird RSA ausgewählt, möchte man ECC wählen, muss man explizit ECC setzen über diesen Parameter.
+  * Seit der Version 5.23.0 ist der wieder abgeschafft und es wird der SChlüssel anhand der Kartengeneration ausgewählt, also wenn Karte ECC unterstützt immer ECC.