KIM Adresse unbekannter Dienstkennung

[Molustan]

Liebe User,

wer kenn die Fehlermeldung "unbekannter Dienstkennung", die als Absender unerer KIM-Messages bei anderen Praxen erscheint ?
Wir sind somit nicht zu erkennen und die Arztbriefe und Anhänge (umständlich genug) können nicht geöffnet werden.

VG
Molustan

[FortiSecond]

Liebe User,

wer kenn die Fehlermeldung "unbekannter Dienstkennung", die als Absender unerer KIM-Messages bei anderen Praxen erscheint ?
Wir sind somit nicht zu erkennen und die Arztbriefe und Anhänge (umständlich genug) können nicht geöffnet werden.

VG
Molustan

Das ist nervig, aber kein "echter Fehler".

Ich sehe das häufig, allerdings in beide Richtungen. Das Verhalten habe ich sogar zwischen TM-Praxen mit gleicher Ausstattung gesehen.
Ich kann nicht mit Sicherheit sagen, welche Komponente problematisch ist, aber es scheint (fast) nicht aufzutreten, wenn die Konnektoren die aktuelle Software nutzen (egal ob Krokobox, Secunet oder RISE), die Client-Module aktuell sind (Bei CGM 1.0.24) und der eArztbrief korrekt signiert ist per eHBA.

Es KÖNNTE also sein, dass z.B. ein älteres KIM-Clientmodul den Fehler verursacht. In der einzigen Praxis mit TM, wo ich KIM über den offiziellen Weg installiert habe, gibt es beim TM-Update ein Problem mit dem KIM Clientmodul: Der Installer kann trotz Ausführung als Administrator nicht die NSSM.EXE überschreiben. Das ist in diesem Fall die Dienststeuerung vom Clientmodul, und der Prozess wurde vom Installer nicht beendet bzw. direkt neugestartet. Wenn also ein Clientmodul-Update per TM-Update ausbleibt aus diesem Grund, könnte ein altes CM "übrig geblieben" sein.
Daher beim nächsten Update ggf. vor der Installation den Dienst manuell beenden und schauen...

Bei CGM KIM als Stand-Alone tritt das Problem mit den Updates nicht auf -> Hier muss man dann ein Update manuell installieren. Ob die Selbstupdate-Funktion aktiv ist... keine Ahnung. Ich mach´s manuell für alle Praxen in Serie. 1.0.24 ist aber schon viele Monate am Start.

---

Hintergrund zur Dienstkennung:
In KIM 1.0 ist die Dienstkennung optional. Das bedeutet, dass sie nicht zwingend mitgeschickt wird.
Die Dienstekennung erlaubt die automatische Erkennung, um was es sich handelt.
Fehlt sie bzw. erkennt das Zielsystem sie nicht, dann muss die Nachricht vom PVS angezeigt werden, kann aber z.B. nicht automatisch in den Ablauf "Empfang eArztbrief" laufen.

In KIM 1.5 (zu erwarten ab Mitte 2023) ist die Dienstkennung dann verpflichtend. Hier werden die Hersteller also sehr sorgfältig arbeiten müssen.
Dafür ist dann aber das Größenlimit aufgehoben.

---

Drücke die Daumen

[Molustan]

Vielen Dank für die dezidierten Hintergrunderklärungen.
Der TM Service - also jeweils der an den wir verwiesen werden - konnte damit nichts anfangen.
Wir warten auf das Update 2023 und schauen dann.
Bis dahin faxen wir mit Praxen mit medatix, Medistar, albyss und andere weiter. Dort läuft KIM auch nicht rund.

[FortiSecond]

Wobei... wenn die anderen Praxen die Anhänge (PDF) nicht öffnen können, muss noch ein anderes Problem vorliegen.
Denn auch bei fehlender oder unplausibler Dienstkennung muss laut Spezifikation die Entschlüsselung und Bereitstellung im PVS grundsätzlich funktionieren.


Bei medatixx (als Empfänger) ist es aber ein Problem, und es wird auf Update 1/23 verwiesen.
https://www.engel-engel.de/2022/10/13/k ... et-werden/

Auch scheinen veraltete KIM-Client-Module ein Problem darzustellen.

Was ansonsten noch relevant sein kann:

- Adresse mit SMC-B eingerichtet, aber eArztbrief mit eHBA signiert. Sollte funktionieren, hat aber Fehlerquellen.
Das stelle ich mal gaaaanz vereinfach und ohne Gewähr für die Richtigkeit dar, allein für einen groben Überblick:

eArztbrief wird signiert und verschlüsselt (eigener privater Schlüssel + öffentlicher Schlüssel der Zieladresse aus dem Verzeichnisdienst).
Dann wird die Übertragung von PVS über KIM-Clientmodul, Konnektor, Postfach, Transport, Zielpostfach, Konnektor, KIM-Clientmodul, PVS angestoßen. PVS zu eigenem Postfach = Zertifikat zu der Karte, mit dem die KIM-Adresse registriert wurde*.
In der Zielpraxis wird dann vom eigenen Postfach abgerufen mit dem Zertifikat zur Registrierungskarte*. Das PVS beauftragt die Entschlüsselung mit dem öffentlichen Absender-Key und dem privaten Key, der zu dem vom Absender verwendeten öffentlichen Key passt.
-> Hier könnte es sein, dass wegen Ausweistausch nicht (mehr) DIE Karte steckt, die im Verzeichnisdienst zu dieser Adresse hinterlegt ist*.

* = Normalerweise sollte bei Austausch des Praxisausweises an sich alles "so weiterlaufen", weil die Telematik-ID bereits die meisten Sachen regelt. Die bleibt ja gleich.
ABER wenn zum Beispiel die KIM-Adresse nicht beim SMC-B-Tausch de- und re-registriert wird, dann kann man zwar Glück haben, dass die "alten" Zertifikate zumindest für die Entschlüsselung noch im System sind. Sie werden dann genutzt, bis sie ablaufen. Und dann? Dann befindet sich ein abgelaufenes Zertifikat im Verzeichnisdienst.
Das kann beim Absender bereits zu Fehlermeldungen führen, aber eben auch beim Entschlüsseln. Hier gibt es weitere Fallunterscheidungen, je nachdem, welche Seite kein neues Zertifikat bei KIM hinterlegt hat.

Technisch ist das zwar alles prima spezifiziert, in der Umsetzung aber sehr komplex und daher mit vielen (menschlichen) Fehlerinhärenzen auf allen Ebenen verbunden.
Wie eingangs gesagt, ist das nur eine oberflächliche Betrachtung. Würden die Spezifikation überall perfekt umgesetzt und alle technischen Bestandteile samt Clientmodule und PVS auf (gleich) aktuellem Stand sein, dürfte es nur "geht" oder "geht nicht" geben. Hier wäre eine Fehlerquelle leicht zu identifizieren, weil jede Fehlermeldung genau ein Problem identifizieren würde.

Und vor KIM 1.5 graut es mir, wenn die vergleichsweise simple 1.0 schon nicht an allen Punkten einfach und zuverlässig einzurichten ist. Allein, was die TLS-Umsetzung angeht, aber... das Thema kennen wir ja.

Fax als Notnagel kann ich nachvollziehen, aber zumindest in meinem Einflussbereich nicht dadurch legitimieren, dass die Umsetzung von KIM desaströs ist.

[Johnny]

FortiSecond schrieb:
.....Fax als Notnagel kann ich nachvollziehen,.....

Richtig!
Und immer bedenken, Email bedarf eines zentralen überwachbaren Server, ist also eine Serveranwendung, während Fax ein peer to peer Netzwerk ist.

Grüsse aus Kiel
Johnny

[FortiSecond]

FortiSecond schrieb:
.....Fax als Notnagel kann ich nachvollziehen,.....

Richtig!
Und immer bedenken, Email bedarf eines zentralen überwachbaren Server, ist also eine Serveranwendung, während Fax ein peer to peer Netzwerk ist.

Grüsse aus Kiel
Johnny

In der Theorie ja.

Die Datenschutzaufsichten sehen berechtigterweise den Standardfall, dass die Empfangsseite mit einer Fritzbox oder gar einem VoIP-Anbieter mit Fax-2-Mail arbeitet.
Ob es ebenso berechtigt ist, auch dem SENDER zu verbieten, personenbezogene Daten (besonderer Kategorien) zu senden mit dem Grund, man könne ja nicht wissen... das ist fraglich.
Sicher ist allerdings, dass schon seit Ewigkeiten der Grundsatz herrscht: Der Absender muss sicherstellen, dass "ausschließlich eine zur Kenntnisnahme berechtigte Person das Fax entgegennimmt", sprich: Parallel telefonieren und sicherstellen, dass das Fax persönlich entgegengenommen wird oder aber sich vom Empfänger zusichern lassen, dass nur dieser ans Fax rankommt.

Seltsam finde ich am Ende aber, dass Fax-over-VoIP weniger sicher sein soll als analoge Signale über Kupfer - zumal es mutmaßlich keine echten Analog-Anschlüsse mehr gibt. Spätestens im Verteilerkasten wird seit >10 Jahren in VoIP verpackt. Mit verschlüsseltem VoIP ist zumindest die Übertragung zum Provider nur schwer mitzuschneiden.

Hmmm...

[W. Steuber]

In welchem security-article war noch gleich der Massenhack von Faxen veröffentlicht ...

Faxe unverändert weiter - da ja die Kollegen bei CGM und medatixx nix mit KIM anfangen können

Ich könnte ja schon, T2M hat das brauchbar (optimal wäre gestrunzt, aber wer will das schon ) umgesetzt, aber es fehlt an willigen Empfängern und Sendern.

Wird so ja auch wahrscheinlich nix mit eArztbrief, geschweige denn ePA und eRp, bis das ganze in Version 2.0 mit KIM 2.0 in eine neue Phase geht .. und ich dann in Rente , just, wenn es beginnt zu funktionieren .