Inhaltszusammenfassung für Rise Konnektor 3.5.9
- Seite 1 Research Industrial Systems Engineering Bedienungsanleitung Research Industrial Systems Engineering (RISE) Stand: 26.07.2021 Version: 1.5.5 Diese Bedienungsanleitung gilt für den RISE Konnektor 3.5.9...
-
Seite 2: Inhaltsverzeichnis
3.3 Maßnahmen vor Inbetriebnahme des RISE Konnektors ............18 3.3.1 Schritt 7: LAN-Anbindung und erstmaliger Login auf der Management-Oberfläche ................................19 3.3.2 Schritt 8: Überprüfung der RISE Konnektor Seriennummer ........22 3.3.3 Schritt 9: Überprüfung der Gerätekarten Seriennummer/MAC-Adressen (LAN & WAN) ................................22 3.3.4 Schritt 10: Abschluss der Überprüfung & Installation des Konnektors ....23 3.4 Außerbetriebnahme des RISE Konnektors................26... - Seite 3 Research Industrial Systems Engineering (RISE) 4.6.1 Integration des RISE Konnektors in eine bestehende Infrastruktur ....43 4.6.2 Einfache Installation des RISE Konnektors ohne bestehende Infrastruktur beim Leistungserbringer ..........................45 4.7 Betriebs- und Fehlerzustände ......................46 4.7.1 Kritischer Betriebszustand......................48 4.7.2 Sonstige Fehlerzustände......................50 4.7.3 Keine aktive Verbindung ins LAN ..................52 4.7.4 Abgesicherter Modus .........................53...
- Seite 4 7.2 Entsorgung des Altgerätes .......................213 Anhang A - Signaturrichtlinien ................... 214 8.1 SignDocument............................214 8.1.1 Allgemein............................214 8.1.2 Parameterbelegung Außenschnittstelle ................214 8.1.3 Beschaffenheit von XAdES-Signaturen, welche vom RISE Konnektor erstellt wurden .................................218 8.2 VerifyDocument ...........................218 8.2.1 Allgemein............................218 8.2.2 Schnittstelle VerifyDocument....................219 8.2.3 Beschaffenheit von XAdES-Signaturen ................220 8.3 Einschränkungen für XML-Dokumente und Schemata ............222...
-
Seite 5: Einleitung
Die RISE Konnektor Bedienungsanleitung richtet sich an das Leistungserbringerinstitut generell und im Speziellen an die Administratoren des RISE Konnektors, um den hohen Sicherheitsansprüchen zu genügen. Dies gilt für sämtliche Sicherheitshinweise in diesem Dokument. Im Besonderen sind unsichere Zustände durch Fehlkonfiguration des RISE Konnektors zu vermeiden. -
Seite 6: Herunterladen Des Zertifizierungsreports
Bevor Sie den Anweisungen der vorliegenden Bedienungsanleitung folgen, überprüfen Sie bitte die Authentizität und Integrität des Dokuments. Gehen Sie dabei wie folgt vor: • Laden Sie zunächst den Zertifizierungsreports für den RISE Konnektor herunter (siehe Abschnitt 1.2). • Im Zertifizierungsreport finden Sie die Prüfsumme (SHA-256) der Bedienungsanleitung. - Seite 7 Research Industrial Systems Engineering (RISE) • Greifen Sie über die Addresse http://<IP-Adresse des RISE Konnektors>/connector.sds auf den Dienstverzeichnisdienst Ihres Konnektors zu. • Diese Anfrage liefert eine XML-Datei zurück. Ein Beispiel dafür ist in Abbildung 1 gegeben, wobei die Firmware-Version farblich hervorgehoben ist.
-
Seite 8: Frontseite Des Rise Konnektors
Research Industrial Systems Engineering (RISE) 1.5 Frontseite des RISE Konnektors Abbildung 2: RISE Konnektor Frontseite Die Frontseite des RISE Konnektors ist mit 4 LEDs ausgestattet. Über diese Anzeige- LEDs werden die unterschiedlichen Betriebszustände (siehe Tabelle 1) angezeigt: Anzeige- Zustand Bedeutung Grün... -
Seite 9: Interface Bedeutung
Research Industrial Systems Engineering (RISE) Abbildung 3: RISE Konnektor Rückseite und Abmessungen Interface Bedeutung Power Netzstecker für die Stromversorgung Anschluss des Netzwerkkabels (RJ-45) für die Anbindung an das Internet (IAG) Anschluss des Netzwerkkabels (RJ-45) für das lokale Netzwerk Tabelle 2: Rückseitige Anschlüsse des RISE Konnektors... -
Seite 10: Technische Daten Des Rise Konnektors
Es ist mit 10W Energieaufnahme zu rechnen Sicherheit Gehäusesiegel zur optischen Kontrolle zum Öffnungsschutz Umgebungsbedingungen 0° bis +50°C Betrieb Umgebungsbedingungen +20° bis +60°C Lagerung Herstellungsland, Fertiger Bundesrepublik Deutschland Umweltrichtlinien Europäische Union RoHS, WEEE Tabelle 3: Technische Daten des RISE Konnektors Seite 10 Bedienungsanleitung Version: 1.5.5... -
Seite 11: Kontaktdaten Des Rise Konnektor Herstellers
Research Industrial Systems Engineering (RISE) Kontaktdaten des RISE Konnektor Herstellers Wenden Sie sich bei Fragen zum RISE Konnektor, welche nicht von Ihrem Händler beziehungsweise Infrastrukturdienstleister beantwortet werden können, per E-Mail bzw. telefonisch an den Hersteller. Es wird empfohlen in erster Instanz immer Unterstützung von Ihrem direkten Vertragshändler und Infrastrukturdienstleister einzuholen. -
Seite 12: Sichere Produktübernahme
Diese sichere Übernahme hat den Anspruch, jegliche unerkannte Veränderung oder das Austauschen des Produktes während der Zustellung auszuschließen. Um mögliche Manipulationen feststellen zu können und somit die Echtheit eines RISE Konnektors für einen Endkunden überprüfbar zu machen, werden innerhalb der folgenden Abschnitte eine Reihe an Überprüfungsmaßnahmen vorgestellt, welche... -
Seite 13: Rise Konnektor Übernahmecheckliste
Research Industrial Systems Engineering (RISE) 3.1 RISE Konnektor Übernahmecheckliste Abbildung 4: RISE Konnektor Übernahmecheckliste Seite 13 Bedienungsanleitung Version: 1.5.5... -
Seite 14: Übernahmebestimmungen
Übernahmebestimmungen müssen vom Leistungserbringer auch in diesem Fall eigenverantwortlich durchgeführt werden. Hinweis: Eine Liste der legitimen Zusteller für den RISE Konnektor finden Sie auf der Webseite des Herstellers (siehe Abschnitt 2). Ein RISE Konnektor darf daher nur von einem Händler bezogen werden, welcher auch auf der Internetseite des Herstellers (siehe Abschnitt 2) gelistet ist. -
Seite 15: Schritt 3: Überprüfung Der Verpackung
Sicherheitshinweis: Sollte die Sendungsnummer des Paketes nicht mit den elektronisch zugestellten Lieferdaten übereinstimmen, muss der Händlersupport kontaktiert werden. Der RISE Konnektor darf in diesem Fall nicht ohne Abklärung des Sachverhalts mit dem Händlersupport in Betrieb genommen werden. 3.2.3 Schritt 3: Überprüfung der Verpackung Je nach Methode kann die äußere Erscheinungsform des Zustellpaketes variieren,... -
Seite 16: Schritt 4: Überprüfung Des Lieferumfangs
Konnektors Nach Prüfung des Lieferumfangs ist das äußere Erscheinungsbild des Konnektors auf Schäden, Manipulationen und andere offensichtliche Mängel zu untersuchen. Hierzu illustrieren Abbildung 8 und Abbildung 9 das Aussehen eines intakten RISE Konnektors, frei von jeglichen Manipulationen. Seite 16 Bedienungsanleitung... - Seite 17 Abbildung 8: RISE Konnektor Frontansicht mit Siegel Abbildung 9: RISE Konnektor Rückansicht mit Siegel Hinweis: Die seitlich angebrachten Kühlkörper sorgen für die Kühlung des RISE Konnektors und dürfen weder verbaut noch abgedeckt werden. Wenn die seitlich angebrachten Kühlkörper abgedeckt sind, kann es zur Überhitzung und zu Funktionsstörungen des RISE Konnektors kommen.
-
Seite 18: Schritt 6: Überprüfung Der Gehäusesiegel
Um eine Manipulation des RISE Konnektors erkennbar zu machen, umfasst das Gehäuse zwei getrennte Gehäusesiegel, welche sowohl an der Front-, als auch an der Rückseite des RISE Konnektors platziert sind. Durch diesen Aufbau kann der RISE Konnektor nicht geöffnet werden, ohne mindestens eines der Gehäusesiegel zu beschädigen. -
Seite 19: Schritt 7: Lan-Anbindung Und Erstmaliger Login Auf Der Management-Oberfläche
Solange die “Error”-LED orange leuchtet, ist die Management-Oberfläche des RISE Konnektors nicht erreichbar. Hinweis: Wird der RISE Konnektor zum ersten Mal in Betrieb genommen, fällt dieser in den so genannten “kritischen Betriebszustand” (siehe Abschnitt 4.7.1), weil erforderliche Installationsschritte ausständig sind. Nach erfolgreicher Fertigstellung der verbleibenden Installationsschritte ist der “kritische Betriebszustand”... - Seite 20 RISE Konnektor Kurzanleitung) verglichen werden. Stimmen diese nicht überein, muss der Händlersupport kontaktiert werden (siehe Abschnitt 2). • Als nächsten Schritt werden Sie unmittelbar nach dem Aufruf der RISE Konnektor Management-Oberfläche zur Wahl eines Benutzernamens und eines Passworts für einen Benutzer der Benutzerrolle “Super-Administrator” aufgefordert.
- Seite 21 Abschnitt 4.1 zu berücksichtigen. Sicherheitshinweis: Erfolgt beim erstmaligen Login keine Aufforderung, einen initialen Benutzernamen und Passwort zu setzen, befindet sich der RISE Konnektor nicht im Auslieferungszustand! Dies könnte darauf hinweisen, dass dieses Gerät bereits im Einsatz war. Bitte wenden Sie sich in diesem Fall an den Händlersupport (siehe Abschnitt 2).
-
Seite 22: Schritt 8: Überprüfung Der Rise Konnektor Seriennummer
Abbildung 31) mit den Seriennummern der gSMC-K Gerätekarten, die in den elektronisch zugestellten Bestelldetails zu finden sind. Vergleichen Sie des Weiteren die über die Management-Oberfläche des RISE Konnektors bereitgestellten MAC-Adressen des LAN- & WAN-Interfaces (siehe Abschnitt 6.1.1) mit den MAC-Adressen, die in den elektronisch zugestellten Bestelldetails zu finden sind. -
Seite 23: Schritt 10: Abschluss Der Überprüfung & Installation Des Konnektors
Mindestschwere-Parameter der Protokollierung initial festzulegen, siehe dazu Abschnitt 6.1.2.8. 3.3.4.1 Schritt 10a: Arbeitsplatz, Mandant, Clientsystem Der RISE Konnektor kann für eine Vielzahl an Konfigurationen von Arbeitsumgebungen verwendet werden. Im Regelfall müssen für den RISE Konnektor zumindest ein Arbeitsplatz, ein Mandant und ein Clientsystem eingerichtet werden. - Seite 24 3.3.4.4 Schritt 10d: Institutionsidentität durch die SMC-B definieren In einem gepairten Kartenterminal muss die ausgestellte SMC-B Karte eingesteckt sein, um in der Management-Oberfläche des RISE Konnektors angezeigt zu werden. Wählen Sie dazu die gewünschte SMC-B aus, um diese Institutsidentität festzulegen (siehe Abschnitt 6.2.6.4).
- Seite 25 Research Industrial Systems Engineering (RISE) 3.3.4.6 Schritt 10f: Grundeinstellungen des RISE Konnektors vornehmen Abbildung 12: Grundeinstellungen des RISE Konnektors Hinweis: Der Hostname des RISE Konnektors muss einen eindeutigen Namen im Netzwerk des Leistungserbringers aufweisen. Eine detaillierte Beschreibung der einzelnen Einstellungsmöglichkeiten des Menüs “Leistungsumfang und Grundeinstellungen”...
-
Seite 26: Außerbetriebnahme Des Rise Konnektors
3.3.4.8 Schritt 10h: Abschluss der Überprüfung & Installation Nach erfolgreichem Durchlaufen der zuvor genannten Schritte kann die Konfiguration des RISE Konnektors durch den Administrator über eine Reihe von Konfigurationsparametern an die Aufgaben und die Betriebsumgebung angepasst werden. Die hierfür erforderlichen Informationen sind in Abschnitt 4, Abschnitt 5 und Abschnitt 6 beschrieben. -
Seite 27: Durchführung Eines Werksresets
Abschnitt 3.4.2). Warnung: Bei Weiterverkauf/Verschenkung des RISE Konnektors ist die Einhaltung der sicheren Lieferkette nicht mehr gewährleistet. Der RISE Konnektor verliert seine Zertifizierung und kann somit nicht mehr zertifikatskonform betrieben werden! Anmerkung: Entsorgen Sie das RISE Konnektor Altgerät niemals über den Hausmüll, sondern beachten Sie die Entsorgungsvorschriften (siehe Abschnitt 7). - Seite 28 Abbildung 13: Import und Export von Konfigurationsdaten und Werksreset durch einen berechtigten Administrator Hinweis: Es wird empfohlen, die Konfiguration des RISE Konnektors auf einem lokalen Computer zu sichern, um diese bei Bedarf wieder importieren zu können (siehe Abschnitt 6.1.7). Der abgespeicherte Konfigurationszustand des RISE Konnektors kann somit zu jeder Zeit wiederhergestellt werden.
-
Seite 29: Durchführung Eines Werksresets Mittels Sicherheitstoken
Research Industrial Systems Engineering (RISE) 3.4.1.2 Durchführung eines Werksresets mittels Sicherheitstoken In der Herstellerverpackung des RISE Konnektors befindet sich eine Kurzanleitung, auf der sich auf der Rückseite ein aufgedruckter Sicherheitstoken für die Durchführung eines Werksresets befindet. Um einen Werksreset ohne eine erfolgreiche Anmeldung eines Administrators auf der Management-Oberfläche des RISE Konnektors durchzuführen, wählen Sie das... -
Seite 30: Außerbetriebnahme Des Rise Konnektors Ohne Werksreset
Research Industrial Systems Engineering (RISE) Abbildung 15: Werksreset mittels Sicherheitstoken Anschließend wird der RISE Konnektor neu gestartet und Sie können mit Abschnitt 3.3.1.2 fortfahren. Hinweis: Dieser Sicherheitstoken wird NICHT für die Installation des RISE Konnektors benötigt. Der Sicherheitstoken dient der Herstellung der Werkskonfiguration des RISE Konnektors im Zuge einer gesicherten Außerbetriebnahme falls das Benutzerkonto... -
Seite 31: Diebstahl Eines Rise Konnektors
Auslesen von sensitiven Daten am RISE Konnektor verhindert. 3.4.3 Diebstahl eines RISE Konnektors Wird ein RISE Konnektor gestohlen, muss dies dem Händler bzw. dem Hersteller unmittelbar gemeldet werden. Dieser wird aus Sicherheitsgründen im Zuge dieser Meldung eine De-Registrierung und Sperrung des RISE Konnektors in der Telematikinfrastruktur veranlassen. -
Seite 32: Der Rise Konnektor
Research Industrial Systems Engineering (RISE) Der RISE Konnektor Der RISE Konnektor ist für den Betrieb in Arztpraxen, Krankenhäusern und Apotheken ausgelegt. Der Konnektor kann entweder an der Wand befestigt oder auf dem Tisch stehend betrieben werden. Um eine sichere Installation des RISE Konnektors durchführen zu können, ist die Errichtung einer sicheren... -
Seite 33: Sichere Verbindung Zum Rise Konnektor
Research Industrial Systems Engineering (RISE) • Bei der Eingabe wird das Passwort nicht im Klartext auf dem Bildschirm angezeigt. • Der RISE Konnektor initiiert nach einem durch den Super-Administrator konfigurierbaren Zeitraum einen Passwortwechsel beim nächsten Login (siehe Abschnitt 6.1.5). •... -
Seite 34: Übernahme Von Einstellungen
Vorgänge beträgt 300 Sekunden. 4.4 Erstellung einer sicheren Betriebsumgebung Der RISE Konnektor ist Teil einer Einbox-Lösung, welche aus einem selbständigen Gerät besteht und in der Einsatzumgebung der sogenannten “Leistungserbringer” verwendet wird. Hierbei verbindet das Gerät die lokale Einsatzumgebung, beispielweise in Arztpraxen, mit der zentralen Telematikinfrastruktur und ermöglicht so einen sicheren Datenaustausch zwischen den beiden Netzwerken. -
Seite 35: Funktionelle Anforderungen An Die Betriebsumgebung
Konnektors sowie über den Systeminformationsdienst gemeldete kritische Betriebszustände korrekt, sofort und verständlich dar. 4.4.1.2 Bereitstellung von eHealth-Kartenterminals Um den Leistungsumfang der Funktionen des RISE Konnektors voll ausnützen zu können, muss der Leistungserbringer innerhalb seines lokalen Netzwerkes von der gematik zugelassene Kartenterminals zur Verfügung stellen. -
Seite 36: Bereitstellung Von Chipkarten
Beim Leistungserbringer sind in der bestehenden Netzwerkinfrastruktur mit Firewall bei der Integration des RISE Konnektor Freischaltungen entsprechend Tabelle 4 und ggf. Tabelle 5 vorzusehen. Verbindungen, die der RISE Konnektor in das Internet aufbauen muss, sind in Tabelle 5 separat zusammengefasst. - Seite 37 Anbindungsmodus “InReihe”) und dem Internet (IAG) freischalten müssen. “Eingehend” bedeutet Zugriffe in Richtung RISE Konnektor, “Ausgehend” bedeutet, dass der RISE Konnektor Pakete versendet. “Ja” bedeutet, dass der angegebene Port für einen Verbindungsaufbau in der angegebenen Richtung freigeschaltet sein muss. “N/A” bedeutet, dass die Firewall-Einstellung nicht relevant ist, d.h. sie kann von einer Firewall auch verboten werden.
- Seite 38 Research Industrial Systems Engineering (RISE) ein- aus- Service Port Protokoll Kommentar gehend gehend SOAP Services 80, 443 TCP/ SOAP-Endpunkte HTTP(S) über welche das Clientsystem die einzelnen Dienstoperationen des RISE Konnektors erreicht. Event Service dynamisc TCP/CETP Das Port XX entspricht dem...
- Seite 39 Kommentar gehend gehend Werkzeug für die Erreichbarkeits- prüfung von Komponenten im Clientsystem bzw. des RISE Konnektors. Tabelle 4: Übersicht über verwendete Ports des RISE Konnektors im Netzwerk des Leistungserbringers Proto- ein- aus- Ziel- bzw. Service Port koll Kommentar gehend gehend...
-
Seite 40: Sicherheitsziele Der Betriebsumgebung
Erreichbarkeits- prüfung von Konzentratoren im Internet. Tabelle 5: Übersicht über verwendete Ports des RISE Konnektors Richtung Internet Hinweis: Stellen Sie sicher, dass die eingesetzte Firewall Richtung Internet Connection Tracking unterstützt. 4.4.3 Sicherheitsziele der Betriebsumgebung Zusätzlich zu den beschriebenen funktionalen Anforderungen muss auch die Sicherheit der Betriebsumgebung des RISE Konnektors eingehalten werden. -
Seite 41: Betriebsmodi
Clientsysteme den Konnektor in spezifizierter Art und Weise, also insbesondere die spezifizierten Schnittstellen, nutzen. • Physischer Schutz des RISE Konnektors: Es müssen während des Betriebs des Konnektors geeignete Maßnahmen durch den Betreiber getroffen werden, sodass ein Schutz vor physischem Zugriff unbefugter Personen gegeben ist. Als befugt gelten in diesem Kontext nur durch den Betreiber namentlich autorisierte Personen (Leistungserbringer, medizinisches Personal, etc.). -
Seite 42: Offline-Modus
Telematikinfrastruktur abfragen. Somit ist im Offlinemodus der Funktionsumfang des Konnektors eingeschränkt. 4.6 RISE Konnektor Anbindungs-Szenarien im dezentralen Umfeld Im Folgenden werden zwei Szenarien für die Anbindung des RISE Konnektors an die Zentrale Telematikinfrastruktur bei den Leistungserbringerinstituten beschrieben: Integration in eine beim Leistungserbringer bestehende Infrastruktur Seite 42 Bedienungsanleitung Version: 1.5.5... -
Seite 43: Integration Des Rise Konnektors In Eine Bestehende Infrastruktur
Hinweis: Beschreibungen zu weiteren Einsatzszenarien des RISE Konnektors stehen auf dem gematik-Fachportal zum Download zur Verfügung. Ein aktueller Downloadlink ist auf der Website des RISE Konnektors zu finden (siehe Abschnitt 2). Abschnitt 4.6.1 und Abschnitt 4.6.2 beschreiben die zwei angeführten Einsatzszenarien. - Seite 44 Gateway (IAG) vorschlagen. Alternativ können die für die Clients erforderlichen Routing-Informationen manuell oder mittels DHCP konfiguriert werden. Eine Firewall im lokalen Netz, die beispielsweise vor dem LAN-Interface des RISE Konnektors in dem vor physischen Zugriffen geschützten Bereich eingesetzt wird, müssen Ports anhand Abschnitt 4.4.2 freigegeben werden.
-
Seite 45: Einfache Installation Des Rise Konnektors Ohne Bestehende Infrastruktur Beim Leistungserbringer
Für Clients kann je nach individuellen Anforderungsprofil der sichere Internetzugang über den Konnektor genutzt werden, oder der direkte Internetzugang über den bestehenden IAG Hinweis: In diesem Szenario kommt die WAN-Schnittstelle des RISE Konnektors nicht zum Einsatz, weil der bestehende Kommunikationsweg über das IAG weiterhin genutzt wird. -
Seite 46: Betriebs- Und Fehlerzustände
Die Clientsysteme können über den RISE Konnektor Anwendungsfälle der Telematikinfrastruktur initiieren. • Die Clientsysteme können über den RISE Konnektor auf das Internet und Bestandsnetze zugreifen. Hinweis: In diesem Szenario kommt die WAN-Schnittstelle des RISE Konnektors zum Einsatz und wird direkt mit dem IAG verbunden. - Seite 47 Abbildung 21: Betriebs- und Fehlerzustände Wenn sich der RISE Konnektor in einem sicherheitskritischen Fehlerzustand (Fatal) befindet, wird dies durch die rote Error-Statusleuchte auf der Frontseite des RISE Konnektors angezeigt (siehe Abbildung 2). Des Weiteren können über die Management-Oberfläche zusätzliche Informationen zum Fehlerzustand entnommen werden.
-
Seite 48: Kritischer Betriebszustand
Hierbei können einige unterschiedliche Fehler zu einem sicherheitskritischen Fehlerzustand führen. Eine Liste dieser Zustände ist durch Abschnitt 4.7.1.1. Der kritische Betriebszustand deaktiviert einen Großteil der Funktionen des RISE Konnektors. Unabhängig vom verursachten Fehler, zeichnet sich dieser Betriebszustand durch einen stark eingeschränkten Funktionsumfang aus. Tabelle 6 stellt dar, welche Funktionen unter den angeführten Fehlern nicht mehr zur... -
Seite 49: Aufhebung Des Kritischen Betriebszustandes
Research Industrial Systems Engineering (RISE) 4.7.1.1 Aufhebung des kritischen Betriebszustandes Folgende Lösungsansätze sind bei den jeweilen Zuständen durchzuführen. Die Auflistung folgt dabei dem Format “Bezeichnung Betriebszustand (Typ, Schweregrad): Beschreibung. Lösung.” • EC_CRL_Out_Of_Date (Security, Fatal): Die Systemzeit liegt über der geplanten Zeit für das nächste Update der CRL –... -
Seite 50: Auswirkungen Von Sicherheitskritischen Fehlerzuständen
X X X X X X X X Werksreset X X X X X X X X Tabelle 6: Auswirkungen von sicherheitskritischen Fehlerzuständen auf den RISE Konnektor 4.7.2 Sonstige Fehlerzustände Die in in Folge angegebenen Fehlerzustände werden allgemein als “nicht-kritische Fehlerzustände”... - Seite 51 • EC_Connector_Software_Out_Of_Date (Op, Info): Es ist ein Software-Update des RISE Konnektors vorhanden, deren Priorität als “kritisch” eingestuft wurde. LÖSUNG: Ein Update der RISE Konnektor Software kann vom Administrator auf der Management- Oberfläche durchgeführt werden (siehe Abschnitt 6.1.3). • EC_Time_Sync_Not_Successful (Op, Info): Der letzte Synchronisationsversuch der Systemzeit war nicht erfolgreich.
-
Seite 52: Keine Aktive Verbindung Ins Lan
(Button “Zurücksetzen” bei der Fehlermeldung). 4.7.3 Keine aktive Verbindung ins LAN Der RISE Konnektor benötigt für den regulären Betrieb eine aktive Verbindung in das LAN der Leistungserbringer-Institution. Zeigt die Signalisierung das in Tabelle 7 beschriebene Muster, prüfen Sie, ob es über das LAN-Kabel eine aktive Verbindung zum lokalen Netz des Leistungserbringers gibt. -
Seite 53: Abgesicherter Modus
Orange Orange Keine aktive Verbindung in das LAN des Leistungserbringers Tabelle 7: LED-Signalisierung des RISE Konnektors, wenn keine aktive Verbindung ins LAN besteht 4.7.4 Abgesicherter Modus Der RISE Konnektor führt beim Starten und auf Anfrage Integritätsprüfungen (siehe Abschnitt 6.1.1.3) und während des Betriebs Prüfungen der Firewall-Regeln durch. -
Seite 54: Gebrauch Der Jobnummer
Research Industrial Systems Engineering (RISE) 4.8.1 Gebrauch der Jobnummer Beim Signieren von Dokumenten ist die Eingabe einer PIN erforderlich. Warnung: Die PIN darf über die Tastatur des eHealth-Kartenterminals nur dann eingeben werden, wenn am Signaturproxy bzw. am Primärsystem und am Display des Kartenterminals die gleiche Jobnummer angezeigt wird. -
Seite 55: Deaktivierung
Research Industrial Systems Engineering (RISE) Abbildung 22: Hinweis beim Aktivieren der Komfortsignatur 4.8.2.2 Deaktivierung Um die Komfortsignatur zu deaktivieren gibt es mehrere Möglichkeiten: • Der Parameter SAK_COMFORT_SIGNATURE kann direkt deaktiviert und diese Änderung gespeichert werden, was eine Deaktivierung der Komfortsignaturfunktion für alle HBA bewirkt, für die diese Funktion aktiviert wurde. -
Seite 56: Signaturerstellung
Warnung: Das Signaturformat PKCS#1 darf nur zu Authentisierungszwecken mit dem Authentisierungsschlüssel des HBAx und des SM-B verwendet werden. 4.8.4 Signaturrichtlinien Der RISE Konnektor setzt zur Erstellung und Verifikation von Signaturen Signaturrichtlinien um. Diese sind in Abschnitt 8 detailliert ausgeführt. Sicherheitshinweis: Der Administrator muss Anwender umgehend informieren und sich um das Aufspielen einer neuen Firmware kümmern, sobald bekannt wird, dass... -
Seite 57: Signaturprüfungsergebnis
Signaturverifikationsergebnisse korrekt und integer darzustellen. 4.9 Ver- und Entschlüsselung von Dokumenten Bei der Ver- und Entschlüsselung von Dokumenten führt der RISE Konnektor keine Dokumentvalidierung durch. Der Aufrufer ist daher selbst dafür verantwortlich, erforderliche Validierungen vor oder nach der Operation durchzuführen. -
Seite 58: Benutzerrollen
Research Industrial Systems Engineering (RISE) Benutzerrollen 5.1 Benutzerrollenübersicht Der RISE Konnektor umfasst die folgenden drei Benutzerrollen. Im Rahmen dieses Dokumentes werden die lokalen Benutzerrollen “Leistungserbringer”, “Administrator” und “Super-Administrator” betrachtet. • Leistungserbringer: Unter dieser Benutzerrolle werden sämtliche Clientsysteme innerhalb des lokalen Netzwerkes des Leistungserbringers verstanden, welche auf die Funktionen des Konnektors zugreifen. -
Seite 59: Benutzerrolle "Leistungserbringer
Im Gegensatz zu der in Abschnitt 5.2 besprochenen Benutzerrolle des Leistungserbringers, greift der Administrator nicht primär über Clientsysteme auf die Funktionen des RISE Konnektors zu, sondern nutzt die RISE Konnektor Management-Oberfläche, um die unterschiedlichen Konfigurationsparameter einzustellen. Um Zugriff auf die Konfigurationsoptionen zu erhalten, muss sich der Administrator an der Management-Oberfläche des Managementdienstes... -
Seite 60: Benutzerrechte
Die Benutzerrolle des Administrators umfasst sicherheitskritische Konfigurationen, welche zum Erhalt eines sicheren Betriebes des Konnektors administriert und kontrolliert werden müssen. So lassen sich im Rahmen der Konfigurierbarkeit des RISE Konnektors die folgenden Komponenten identifizieren (sofern vom Super- Administrator die entsprechenden Berechtigungen gewährt bzw. nicht entfernt wurden): •... -
Seite 61: Benutzerrechte
Darüber hinaus hat ein Super-Administrator noch folgende Berechtigungen: • Zeitraum für Passwortwechsel setzen: Der Super-Administrator hat die Möglichkeit, einen Zeitraum zu setzen (Voreinstellung: 120 Tage), nach dem der RISE Konnektor einen Passwortwechsel beim Login des Benutzers initiiert. (Menüpunkt “Benutzerverwaltung” – Reiter “Konfiguration” – siehe Abschnitt 6.1.5.1) •... -
Seite 62: Konfiguration Der Komponenten Des Rise Konnektors
Research Industrial Systems Engineering (RISE) Konfiguration der Komponenten des RISE Konnektors Der RISE Konnektor wird über die Management-Oberfläche administriert. Die unterschiedlichen RISE Konnektor-Benutzermasken, Konfigurationsparameter und Statusanzeigen werden durch das dieses Kapitel beschrieben. Es dient den Administratoren des Leistungserbringerinstitutes als Hilfestellung bei der Konfiguration des RISE Konnektors. -
Seite 63: Konfigurationsmenü Des Rise Konnektors
RISE Konnektoren mit entsprechend unterschiedlichen Einstellungen zu verwenden. 6.1 Konfigurationsmenü des RISE Konnektors Das Konfigurationsmenü des RISE Konnektors setzt sich aus mehreren Unterpunkten zusammen, die in Abschnitt 6.1.1 bis Abschnitt 6.1.8 im Detail erläutert werden: •... -
Seite 64: Rise Konnektor Neu Starten Oder Herunterfahren
6.1.1.2 RISE Konnektor neu starten oder herunterfahren Um den RISE Konnektor neu zu starten oder herunterzufahren, wählen Sie die entsprechende Funktion. Bevor der Neustart bzw. das Herunterfahren tatsächlich durchgeführt werden, muss die in Abbildung 25 bzw. Abbildung 26 abgebildete Sicherheitsabfrage bestätigt werden. -
Seite 65: Rise Konnektor Protokolle
Research Industrial Systems Engineering (RISE) Abbildung 26: RISE Konnektor herunterfahren Warnung: Während der RISE Konnektor neu startet bzw. heruntergefahren wird/ist, stehen dem Leistungserbringer sämtliche Funktionen nicht mehr zur Verfügung. Informieren Sie daher das Personal des Leistungserbringers rechtzeitig, wenn Sie planen, den RISE Konnektor neu zu starten bzw. herunterzufahren. - Seite 66 Typen von Protokoll-Kategorien. Protokollart Bedeutung Sicherheitsprotokoll In diesem Protokoll werden all jene Ereignisse eingetragen, welche Auswirkungen auf die Sicherheitsmerkmale des RISE Konnektors haben könnten, beispielsweise Änderungen der Firewall-Konfiguration. Im Sicherheitsprotokoll werden alle Fehlercodes vom Typ ‚Security’ (Sec) gespeichert. Performanceprotokoll In diesem Protokoll werden Ereignisse im Kontext der Performancemessung innerhalb des RISE Konnektors festgehalten.
-
Seite 67: Anzeigen Der Protokolle
Research Industrial Systems Engineering (RISE) Abbildung 27: Aufbau und Struktur der Protokolldateien für Plattform und Fachmodule 6.1.2.2 Anzeigen der Protokolle Der Administrator kann die protokollierten Ereignisse über die Management- Oberfläche einsehen. Hierbei kann mit Hilfe der Reiter “Sicherheit”, “Performance” und “System” zwischen den einzelnen Protokollarten gewechselt werden. Außerdem kann bei “Performance”... - Seite 68 Research Industrial Systems Engineering (RISE) Abbildung 28: RISE Konnektor Protokoll “System” Hinweis: Damit die Änderung der Anzahl der Protokoll-Einträge pro Seite, des Filters, des Zeitpunktes oder der Schwere wirksam wird, muss dies mit Klick auf den Button “Filter anwenden” bestätigt werden.
-
Seite 69: Analyse Der Einträge
Spalte. So kann z.B. durch Auswahl der Überschrift “Zeitpunkt” eine zeitlich aufsteigende / absteigende Sortierung gewählt werden. 6.1.2.3 Analyse der Einträge Der RISE Konnektor legt Protokolleinträge so an, dass eine Analyse der Einträge in der Management-Oberfläche unterstützt wird: •... -
Seite 70: Fehlercodes Der Protokollierungsfunktion
Research Industrial Systems Engineering (RISE) 6.1.2.5 Hinweis auf neue Sicherheitsprotokolleinträge Nachdem sich der Administrator an der Management-Oberfläche eingeloggt hat, weist der RISE Konnektor automatisch auf Sicherheitsprotokolleinträge hin, die seit dem letzten Ausloggen dieses Administrators hinzugekommen sind. 6.1.2.6 Fehlercodes der Protokollierungsfunktion Im Rahmen der Protokollierungsfunktion können Fehlercodes, wie in Tabelle 12... -
Seite 71: Konfiguration
Research Industrial Systems Engineering (RISE) • JSON • text/plain Für manuelle Analyse der Protokolle ist das Format text/plain empfohlen; für maschinelle Auswertungen das JSON Format. • Die aktuell gesetzten Filtereinstellungen wirken sich auf den Export aus. Bei den Fachmodul-Performanceprotokollen ist als zusätzliches Exportformat “Report”... - Seite 72 Research Industrial Systems Engineering (RISE) Abbildung 30: RISE Konnektor Protokoll-Einstellungen ReferenzID Belegung Bedeutung Speicherdauer Sicherheitsprotokoll X Tage; Standard- Der Administrator kann (SECURITY_LOG_DAYS) Wert: 180 festlegen, für wie viele Tage das Sicherheitsprotokoll gespeichert werden soll. Dabei darf der eingestellte Wert nicht unter der Mindestgröße von 10 Tagen...
- Seite 73 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung Systemprotokoll (LOG_DAYS) Wert: 180 festlegen, für wie viele Tage das Systemprotokoll und das Konnektor- Performanceprotokoll gespeichert werden soll. Dabei darf der eingestellte Wert nicht unter der Mindestgröße von 10 Tagen oder über der Maximalgröße von einem...
-
Seite 74: Rise Konnektor Updates
Neue Protokolleinträge überschreiben alte Protokolleinträge mit gleichem oder niedrigerem Schweregrad, wenn das Überlastkriterium eintritt. 6.1.3 RISE Konnektor Updates Dieser Abschnitt behandelt die Aktualisierung der RISE Konnektor Software und der eHealth-Kartenterminal-Software. Die Aktualisierung der Bestandsnetze ist in Abschnitt 6.2.1.2 beschrieben. Seite 74 Bedienungsanleitung Version: 1.5.5... -
Seite 75: Information Zur Aktuell Installierten Softwareversion Erhalten
Research Industrial Systems Engineering (RISE) 6.1.3.1 Information zur aktuell installierten Softwareversion erhalten Der Reiter “Info” gibt eine Übersicht über die aktuell installierte Firmware-Version (Software-Version) auf dem RISE Konnektor bzw. über die verwendete Hardware. Folgende Daten werden unter “Info” dargestellt: •... - Seite 76 Falls nicht, wie in Abschnitt 6.1.3.4.2 beschrieben, der automatische Download aktiviert wurde, hat der Administrator die Möglichkeit, die Aktualisierung der Liste aller zur Verfügung stehenden Updates manuell anzustoßen. Abbildung 32 listet beispielhaft Updatepakete, die für den RISE Konnektor und für Kartenterminals verfügbar sind. Seite 76 Bedienungsanleitung Version: 1.5.5...
-
Seite 77: Verfügbare Firmware Aktualisieren
Installation geplant bzw. durchgeführt werden (siehe Abschnitt 6.1.3.3). 6.1.3.2.1 Verfügbare Firmware aktualisieren Wenn der RISE Konnektor online ist und die Option “Aktualisierungen automatisch suchen” (siehe Abbildung 36) eingeschaltet ist, wird in regelmäßigen Abständen automatisch nach Updates gesucht. Sie können jedoch jederzeit manuell eine Abfrage auf neue Versionen durchführen, indem Sie das Menü... -
Seite 78: Firmware Hochladen
RISE Konnektor Updatepaket oder ein Update für Kartenterminals auf den RISE Konnektor laden. • Für ein lokal verfügbares RISE Konnektor Firmware-Update sind immer eine .zip und eine .sig-Datei auf einem lokal verfügbaren Laufwerk anzugeben. Nach Überprüfung der Authentizität des Update-Pakets steht es zur Freischaltung bereit. - Seite 79 Research Industrial Systems Engineering (RISE) Abbildung 34: RISE Konnektor Updates - Verfügbare Updates - Details/Firmwareinstallation planen Folgende Informationen stehen zur Verfügung: • Aktuelle Firmware: Informationen über die aktuell installierte Firmwareversion • Firmware auswählen: eine Liste über alle zur Verfügung stehenden Versionen bzw.
- Seite 80 Hardwareversion: Hardware, für die das Update geeignet ist. • Erstellungsdatum: Datum, an dem das Updatepaket erstellt wurde. – Reiter “Zusammenfassung” (verfügbar nur für RISE Konnektor-Updates): • Gültigkeitsbereich: Enthält u.a. Information für den Administrator bezüglich der Installation; beispielsweise wann das Update frühestens oder spätestens durchgeführt werden sollte.
- Seite 81 Konnte das Kartenterminal nicht erreicht werden, bleibt das gesetzte Update für eine spätere Anwendung erhalten und wird ereignisgesteuert neu ausgelöst. Sofern die Konnektor-Update-Abhängigkeit von Kartenterminal-Updates nicht gesetzt wurde oder wenn alle vorgesehenen Kartenterminal-Updates durchgeführt wurden, wird das Update des RISE Konnektors (in Abhängigkeit des Seite 81 Bedienungsanleitung Version: 1.5.5...
- Seite 82 Research Industrial Systems Engineering (RISE) Ausführungszeitpunktes) durchgeführt: Wurde kein Ausführungszeitpunkt gesetzt, wird das Update des RISE Konnektors sofort durchgeführt. Wurde ein Ausführungszeitpunkt gesetzt, wird das Update durchgeführt, sobald dieser erreicht ist, oder, sofern der Konnektor zum Ausführungszeitpunkt nicht in Betrieb war, überschritten wurde.
- Seite 83 Research Industrial Systems Engineering (RISE) Abbildung 36: RISE Konnektor Updates “Konfiguration” ReferenzID Belegung Bedeutung Adresse zur Aktualisierung der SOAP-Endpunkt des Firmware Konfigurationsdienstes zum (MGM_KSR_FIRMWARE_URL) Download der Firmware Adresse zur Aktualisierung der SOAP-Endpunkt des Netzwerkkonfiguration Konfigurationsdienstes zum (Bestandsnetze) Download von (MGM_KSR_KONFIG_URL)
-
Seite 84: Aktualisierung Der Bestandsnetze
6.1.3.4.2 Aktualisierung automatisch herunterladen Wenn die Konfiguration “Aktualisierungen automatisch herunterladen” ausgewählt wurde, wird auch der Download der aktuellsten Software-Versionen sowohl für den RISE Konnektor als auch für Kartenterminals automatisch durchgeführt. 6.1.3.5 Aktualisierungen automatisch installieren Wenn die Konfiguration “Aktualisierungen automatisch installieren” ausgewählt wurde, wird nach erfolgreichem Download und Prüfung der Integrität der... -
Seite 85: Rise Konnektor Arbeitsumgebung
Sicherheitshinweis: Beim Aktivieren der automatischen Installation ist eine Registrierung des Clientsystems auf die KSR/UPDATE-Ereignisse verpflichtend. Hinweis: Software-Updates werden nur durchgeführt, wenn der RISE Konnektor zur angegeben Uhrzeit eingeschaltet ist. Es ist daher sicherzustellen, dass ein Software- Update zur eingestellten Uhrzeit möglich ist. Beachten Sie dabei auch die Hinweise und Warnungen aus Abschnitt 6.1.3.2.4 und Abschnitt 6.1.3.3. - Seite 86 Research Industrial Systems Engineering (RISE) Hinweis: Vergewissern Sie sich, dass eine SMC-B Karte im Kartenterminal steckt, da der Assistent ansonsten wieder abgebrochen werden muss (siehe Abbildung 39). Abbildung 37: Konfiguration - Einrichtungsassistent Führen Sie den Assistenten nur aus, wenn Sie keine bereits vorhandene Konfiguration überschreiben wollen, wie in Abbildung 38 dargestellt.
- Seite 87 Research Industrial Systems Engineering (RISE) Abbildung 39: Konfiguration - Einrichtungsassistent mit gesteckter SMC-B starten Abbildung 40 zeigt eine mögliche initiale Konfiguration mit Hilfe des Einrichtungsassistenten und gesteckter SMC-B Karte. Es können damit nur einfache Beziehungen eingerichtet werden, im Anschluss daran können anhand der Beschreibung in Abschnitt 6.1.4.2 komplexere Beziehungen abgebildet werden, wo...
-
Seite 88: Arbeitsumgebung - Basiskonfiguration An Hand Eines Beispiels
Research Industrial Systems Engineering (RISE) Abbildung 40: Konfiguration - Einrichtungsassistent finalisieren. 6.1.4.2 Arbeitsumgebung – Basiskonfiguration an Hand eines Beispiels Annahme: In einer Ordination arbeitet ein Arzt/eine Ärztin zusammen mit einer Sprechstundenhilfe. Es müssen daher im System ein Mandant (für den Arzt/die Ärztin), zwei Clientsysteme und zwei Arbeitsplätze angelegt werden (jeweils einer... - Seite 89 Research Industrial Systems Engineering (RISE) Abbildung 41: Konfiguration - Mandanten, Arbeitsplätze, Clientsysteme Im ersten Schritt können jetzt über den Button “Hinzufügen…” jeweils ein Mandant, zwei Arbeitsplätze und zwei Clientsysteme hinzugefügt werden (vgl. Abbildung 42). Abbildung 42: Beispiel: 1 Mandant, 2 Arbeitsplätze, 2 Clientsysteme Als nächstes können darunter Verknüpfungen zwischen Mandanten, Arbeitsplätzen...
- Seite 90 Research Industrial Systems Engineering (RISE) Abbildung 43: Konfiguration – Zuweisung zwischen Mandanten und Arbeitsplätzen Da beide konfigurierten Arbeitsplätze der Ordination von Dr. Mayer angehören, werden auch beide mittels “Arbeitsplatz hinzufügen…” diesem zugeordnet (siehe Abbildung 44). Anmerkung: Jedem Mandanten muss mindestens ein Arbeitsplatz zugewiesen werden.
- Seite 91 Research Industrial Systems Engineering (RISE) Abbildung 45: Weiterführendes Beispiel – 2 Mandanten, geteilter Arbeitsplatz Wichtig: Nach dem Hinzufügen von Arbeitsplätzen (mittels “Arbeitsplatz hinzufügen…) muss der”Speichern" Button am Ende der Seite geklickt werden, damit die Änderungen auch tatsächlich übernommen werden. Erst ab diesem Zeitpunkt sind die Details (Stift-Symbol) des jeweiligen Arbeitsplatzes einzusehen und auch zu konfigurieren.
- Seite 92 Research Industrial Systems Engineering (RISE) Abbildung 47: Beispiel – Detailseite für Mandant und Arbeitsplatz Hierbei können mittels “Clientsystem hinzufügen…” generell Clientsysteme einem Mandanten zugewiesen werden (siehe Abbildung 48). Abbildung 48: Beispiel – Clientsysteme einem Mandanten zuordnen In einem nächsten Schritt kann dann auch entschieden werden, welche dieser Clientsysteme jetzt dem konkret ausgewählten Arbeitsplatz zugewiesen werden...
-
Seite 93: Zuweisung Kartenterminals Zu Arbeitsplätzen
6.1.4.2.2 Zuweisung Kartenterminals zu Arbeitsplätzen Um die nachfolgenden Schritte durchführen zu können, ist es einerseits erforderlich, dass die zu konfigurierenden Kartenterminals bereits mit dem RISE Konnektor gepaired wurden (siehe Abschnitt 6.3.4.1.1) und andererseits eine SMC-B Karte (Erklärung zu den verschiedenen Kartentypen - siehe Abschnitt 6.3.3) im System bekannt ist. - Seite 94 Research Industrial Systems Engineering (RISE) • Remote Kartenterminals: Ein Remote-Kartenterminal befindet sich nicht lokal an einem Arbeitsplatz, kann aber von diesem Arbeitsplatz aus (mit Hilfe eines Remote-PIN- Kartenterminals) verwendet werden. • Remote-PIN-Kartenterminals: Ist ein lokales Kartenterminal (d.h. ein Kartenterminal, welches lokal auf einem Arbeitsplatz steht), das verwendet wird, um ein Remote- Kartenterminal (in dem z.b.
- Seite 95 Research Industrial Systems Engineering (RISE) Abbildung 52: Beispiel – Zusätzliches lokales Kartenterminal im Vorzimmer Damit aber das lokale Vorzimmer-Kartenterminal als Remote-PIN-Kartenterminal das Kartenterminal in der Ordination ansteuern kann, muss dies in der Detailansicht des Vorzimmer-Arbeitsplatzes konfiguriert werden (siehe Abbildung 53 und Abbildung 54).
-
Seite 96: Zuweisung Smc-B Zu Mandanten
Research Industrial Systems Engineering (RISE) Abbildung 54: Beispiel – Auswahl des lokalen Kartenterminals, das als Remote-PIN-Kartenterminal dienen soll um das Remote-Kartenterminal anzusteuern Die Konfiguration der Kartenterminals für das beschriebene Szenario ist somit abgeschlossen. Anmerkung: Pro Arbeitsplatz können auch mehrere lokale Kartenterminals sowie Remote-Kartenterminals konfiguriert werden. -
Seite 97: Arbeitsumgebung - Konfiguration
Remote Kartenterminals und Remote-PIN-Kartenterminals sind in Abschnitt 6.1.4.2.2 zu finden. Um eine SMC-B Karte einem Mandanten zuweisen zu können, muss diese ebenfalls dem RISE Konnektor bekannt sein (Erklärung zu den verschiedenen Kartentypen - siehe Abschnitt 6.3.3). Hinweis: Der Konnektor kann nur mit einer vollständigen, in sich stimmigen Definition im vollen Umfang in Betrieb genommen werden. -
Seite 98: Arbeitsumgebung - Status
Research Industrial Systems Engineering (RISE) Sie auch alle Beziehungen und Definitionen korrekt vorgenommen haben. Hierbei kann auch die Status-Ansicht behilflich sein (siehe Abschnitt 6.1.4.4). Sicherheitshinweis: Der Administrator ist jederzeit für die korrekte Zuordnung von Kartenterminals und Clientsystemen verantwortlich. 6.1.4.4 Arbeitsumgebung – Status Der Reiter “Status”... -
Seite 99: Rise Konnektor Benutzerverwaltung
Abbildung 58: Arbeitsumgebung – Status – Details eines Arbeitsplatzes 6.1.5 RISE Konnektor Benutzerverwaltung Im Menü “Benutzerverwaltung” kann die Administration der Benutzer des RISE Konnektors durchgeführt werden. Wie bereits in Abschnitt 5.4 beschrieben, ist diese Möglichkeit einem Super-Administrator vorbehalten. Wie in Abbildung 59 ersichtlich werden in einer Liste zunächst alle bereits konfigurierten Benutzer... - Seite 100 Research Industrial Systems Engineering (RISE) Abbildung 59: RISE Konnektor Benutzerverwaltung Über den Button “Benutzer hinzufügen” können weitere Benutzer hinzugefügt werden (Abbildung 61). 6.1.5.1 Konfiguration Über den Reiter “Konfiguration” im Menü “Benutzerverwaltung” können Sie die Gültigkeit von Passwörtern von Benutzern einstellen, wie in Abbildung 60 dargestellt ist.
-
Seite 101: Benutzer Hinzufügen
Research Industrial Systems Engineering (RISE) Abbildung 60: Gültigkeitsdauer von Benutzerpasswörtern 6.1.5.2 Benutzer hinzufügen Durch Klick auf den Button “Benutzer hinzufügen” können Sie einen neuen Benutzer anlegen. Vergeben Sie hier die geforderten Daten, wie Benutzername, Rolle, Passwort, Kontaktdaten und Berechtigungen. Der angeführte Benutzername muss eindeutig im System sein (Unterscheidung auch auf Groß- und Kleinschreibung). -
Seite 102: Berechtigungsverwaltung Eines Benutzers
Research Industrial Systems Engineering (RISE) Abbildung 61: Benutzer hinzufügen Im Reiter “Berechtigungen” werden abhängig von der gewählten Rolle die Standard- Berechtigungen der jeweiligen Rolle angezeigt (siehe hierzu auch Abschnitt 5 bzw. Abschnitt 6.1.5.3). 6.1.5.3 Berechtigungsverwaltung eines Benutzers Die Benutzerrechte können in der Benutzerverwaltung bei jedem Benutzer im Reiter “Berechtigungen”... - Seite 103 Research Industrial Systems Engineering (RISE) Abbildung 62: Berechtigungen eines Super-Administrators Seite 103 Bedienungsanleitung Version: 1.5.5...
- Seite 104 Research Industrial Systems Engineering (RISE) Abbildung 63: Standard-Berechtigungen eines Administrators Hinweis: Es können nur jene Rechte vergeben werden, die eine entsprechende Rolle auch ausüben darf. Andernfalls ist ein Häkchen in der Rechteverwaltung ausgegraut und nicht anwählbar. Hinweis: Grundsätzlich hat ein neu angelegter lokaler Administrator alle Rechte, die standardmäßig für ihn vorgesehen sind.
-
Seite 105: Passwort Zurücksetzen
Research Industrial Systems Engineering (RISE) Entfernung der entsprechenden Menüpunkte – kann aber auch Einfluss auf andere Funktionen haben. Daher sollen, um unbeabsichtigten Funktionseinschränkungen vorzubeugen, nur im Ausnahmefall die Berechtigungen eingeschränkt werden. Der Super-Administrator muss nach Anpassung einzelner Rechte prüfen, ob noch alle Funktionalitäten, wie von ihm gewünscht, vorhanden sind. -
Seite 106: Rise Konnektor Betriebszustand
Rolle “Super-Administrator” existieren, wird das Löschen unterbunden. Wenn Sie auch diesen Benutzer löschen möchten, führen Sie einen Werksreset durch (siehe Abschnitt 3.4.1). 6.1.6 RISE Konnektor Betriebszustand Im Menüpunkt “Betriebszustand” sind Betriebs- und Fehlerzustände des RISE Konnektors tabellarisch dargestellt. Eine Übersicht zu allen, potentiell auftretenden Seite 106 Bedienungsanleitung... - Seite 107 (z.B. Fehler mit dem Status “fatal”). Warnung: Das Zurücksetzen eines Fehlerzustandes zieht unter Umständen einen automatischen Neustart des RISE Konnektors nach sich. Sollte dies der Fall sein, wird ein entsprechender Hinweis in der Management-Oberfläche angezeigt. Während der RISE Konnektor neu startet, stehen dem Leistungserbringer sämtliche Funktionen...
-
Seite 108: Rise Konnektor Konfigurationsdaten Und Werksreset
Research Industrial Systems Engineering (RISE) Abbildung 67: Fehlerzustand zurücksetzen 6.1.7 RISE Konnektor Konfigurationsdaten und Werksreset Unter dem Menüpunkt “Konfigurationsdaten und Werksreset” befinden sich die Funktionalitäten, die gesamtheitlich auf die gesetzten Einstellungen Ihres RISE Konnektors wirken: • Export von Konfigurationsdaten •... - Seite 109 Research Industrial Systems Engineering (RISE) Abbildung 68: Export von Konfigurationsdaten: Schritt 1 - Automatische Auswahl einer SMC-B Abbildung 69: Export von Konfigurationsdaten: Schritt 1 - Manuelle Auswahl einer SMC-B Seite 109 Bedienungsanleitung Version: 1.5.5...
- Seite 110 Sie im Dialogfeld für den Export (siehe Abbildung 68) das Feld SMC-B Automatisch auswählen aus. Der RISE Konnektor prüft dann für die vorhandenen SMC-Bs aller Mandanten in jedem möglichen Kontext, ob die PIN verifiziert ist. Wird auf diese Weise eine passende SMC-B gefunden, so wird diese für die Signatur des Exports verwendet.
- Seite 111 Zugriff auf Einstellungen erhält, die auf Grund seiner Berechtigungseinstellung gem. Abschnitt 6.1.5.3 für ihn über die Administrationsoberfläche nicht direkt einsehbar sind. Hinweis: Nach Abschluss der Konfiguration des RISE Konnektors wird ein Export sämtlicher Konfigurationen empfohlen, um diesen Betriebszustand jederzeit wiederherstellen zu können.
- Seite 112 Research Industrial Systems Engineering (RISE) Abbildung 71: Import von Konfigurationsdaten: Schritt 1 Nach erfolgreichem Upload wird dem Super-Administrator der Zeitpunkt der Erstellung der exportierten Konfigurationsdaten, das Zertifikat, das Ergebnis der Validierung der Signatur, Informationen zum Benutzer, der den Export durchgeführt hat, und eine Kartenterminalliste angezeigt.
- Seite 113 Research Industrial Systems Engineering (RISE) Abbildung 72: Import von Konfigurationsdaten: Signatur-, Herkunfts- und Kartenterminalprüfung Sicherheitshinweis: Der Administrator ist verantwortlich, dass ein Import nach expliziter Bestätigung nur dann durchgeführt wird, wenn die Herkunft, der Erstellungszeitpunkt und das Zertifikat des Archivs korrekt sind.
-
Seite 114: Rise Konnektor Leistungsumfang Und Grundeinstellungen
Warnung: Ein Import von Konfigurationsdaten überschreibt die bisherige Konfiguration Ihres RISE Konnektors. Etwaige nach einem Export getroffene Einstellungen gehen dabei verloren. Dies kann den Betrieb Ihres RISE Konnektors beeinträchtigen. Führen Sie einen Import nur durch, wenn Sie sich den Folgen der... - Seite 115 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung (MGM_LU_ONLINE) Disabled; “Leistungsumfang Online” Standard-Wert: aktivieren und deaktivieren (siehe Enabled auch Abschnitt 4.5.1 und Abschnitt 4.5.2). Leistungsumfang Signatur Enabled / Der Administrator kann den (MGM_LU_SAK) Disabled; “Leistungsumfang Standard-Wert: Signaturanwendungskomponente” Enabled aktivieren und deaktivieren.
- Seite 116 Sicherheit der Komfortsignatur, indem es die sichere Nutzer-Authentisierung des HBA-Inhabers vornimmt und dabei durch Prüfung auf Länge und Format eine starke UserID sicherzustellen hat. Der RISE Konnektor geht davon aus, dass das Primärsystem UserIDs mit entsprechend hoher Entropie verwendet, sodass ein Angreifer diese nicht in praktikabler Zeit erraten kann.
-
Seite 117: Rise Konnektor Benutzereinstellungen
Research Industrial Systems Engineering (RISE) Hinweis: Wird der “Leistungsumfang Online” wieder aktiviert, bleibt der Internetmodus “Keiner” bestehen. Passen Sie danach die Einstellung wieder wie gewünscht an (siehe Abschnitt 6.2.1.2). 6.1.9 RISE Konnektor Benutzereinstellungen Nach Klick auf den Benutzernamen in der rechten oberen Ecke können die Einstellungen des aktuell eingeloggten Benutzers eingesehen bzw. - Seite 118 Research Industrial Systems Engineering (RISE) 6.1.9.2 Berechtigungen Im Reiter “Berechtigungen” können die Berechtigungen des aktuellen Benutzers eingesehen werden (siehe Abbildung 75). Diese Berechtigungen wurden zuvor durch einen Super-Administrator vergeben und können nur durch einen Super- Administrator im Menüpunkt “Benutzerverwaltung” (siehe Abschnitt 6.1.5) geändert werden.
-
Seite 119: Netzwerk
Research Industrial Systems Engineering (RISE) Abbildung 76: Passwort 6.2 Netzwerk Das Netzwerk-Hauptmenü setzt sich aus den Unterpunkten zusammen, die in Abschnitt 6.2.1 bis Abschnitt 6.2.6 im Detail erläutert werden: • LAN/WAN Anbindung (Abschnitt 6.2.1) • Datum & Uhrzeit (Abschnitt 6.2.2) •... - Seite 120 Research Industrial Systems Engineering (RISE) • WAN Anbindung an Bestandsnetze der zentralen Telematikinfrastruktur: Im Rahmen der Anbindung der Bestandsnetze und der zentralen Telematikinfrastruktur Plattform besitzt der Administrator keinerlei Konfigurationsrechte. Diese Konfiguration kann lediglich durch Hersteller-Updates verändert werden. • WAN Anbindung an den Sicheren Internet Service der Telematikinfrastruktur: Für die Konfiguration der WAN-Anbindung des Sicheren Internet Service sind dem Administrator nur eingeschränkte Konfigurationsoptionen zugänglich.
- Seite 121 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung Anbindungsmodus InReihe Der Konnektor ist in Reihe zu dem (ANLW_ANBINDUNGS_MODUS) IAG der Einsatzumgebung geschaltet. Wenn der WAN- Adapter aktiviert ist (ANLW_WAN_ADAPTER_MODUS = Enabled) befindet sich der Konnektor in diesem Anbindungsmodus. Der Administrator kann diesen Parameter lediglich einsehen, aber nicht verändern.
-
Seite 122: Anbindungsmodus Bedeutung
6.2.1.1.1 Anbindungsmodus Der Anbindungsmodus kann vom Administrator in der Management-Oberfläche nur eingesehen werden. Eine Änderung ist möglich, indem der RISE Konnektor im Netz des Leistungserbringers entsprechend angeschlossen wird und die Einstellungen für die Internetanbindung (siehe Abschnitt 6.2.1.2), den WAN-Adapter (siehe Abschnitt 6.2.1.3) und den Leistungsumfang Online (siehe Abschnitt 6.1.8) - Seite 123 Research Industrial Systems Engineering (RISE) WAN- Leistungsumfang Anbindungsmodus Bedeutung Adapter Online Internetanbindung parallel (zu allen bestehenden Systemen) in das Netzwerk der Einsatzumgebung angebunden. Tabelle 17: Anbindungsmodus 6.2.1.2 LAN/WAN-Netzwerkanbindung Abbildung 78 zeigt die Benutzermaske und Konfigurationsmöglichkeiten der Netzwerkanbindungen des RISE Konnektors: •...
- Seite 124 Research Industrial Systems Engineering (RISE) Abbildung 78: LAN/WAN-Netzwerkanbindung Tabelle 18 beschreibt Konfigurationsparameter der LAN/WAN Netzwerkanbindung. ReferenzID Belegung Bedeutung Internetmodus Dieser Konfigurationsparameter (ANLW_INTERNET_MODUS) bestimmt den Modus des Umgangs mit Zugriffen aus dem LAN des Leistungserbringers zum Internet. Bei Konfiguration als “SIS”-Modus...
- Seite 125 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung Bei Konfiguration als “IAG”-Modus wird der Aufrufer bei Internet- Anfragen per ICMP-Redirect (Type 5) auf die Route zum IAG verwiesen. Wenn (ANLW_ANBINDUNGS_MODUS = InReihe) kann ein Administrator diesen Wert nicht auswählen –...
- Seite 126 Queuing nach dem “Hierarchical Token Bucket” (HTB) Algorithmus verwendet. Tabelle 18: LAN/WAN-Netzwerkanbindung Hinweis: Falls der RISE Konnektor für den Parallel-Betrieb konfiguriert wurde (ANLW_ANBINDUNGS_MODUS=Parallel bzw. ANLW_WAN_ADAPTER_MODUS=DISABLED) ist im Unterschied zum InReihe-Betrieb (ANLW_ANBINDUNGS_MODUS=InReihe bzw. ANLW_WAN_ADAPTER_MODUS=ENABLED) die Verwendung des Internets über den SIS optional.
- Seite 127 Research Industrial Systems Engineering (RISE) den sicheren Internetzugang über den Konnektor nutzt oder alternativ auch den direkten Internetzugang über ein bereits bestehendes Internet Access Gateway. Hinweis: Wenn Einstellungen in der LAN/WAN Anbindung geändert werden und VPN aktiviert ist, kann der Fehler 4001 auftreten, da die VPN-Verbindung nach den Änderungen nicht mehr aufgebaut werden kann.
- Seite 128 Hinweis: Nach dem Ändern der IP-Adresse im LAN (ANLW_LAN_IP_ADDRESS) bzw. beim Aktivieren des DHCP-Clients (DHCP_CLIENT_LAN_STATE=Enabled), ist der RISE Konnektor möglicherweise unter der im Browser eingegebenen IP-Adresse nicht mehr erreichbar. Ändern Sie daher in der Adresszeile die IP-Adresse auf den manuell gesetzten bzw.
- Seite 129 Research Industrial Systems Engineering (RISE) Die Konfiguration der WAN-Anbindung kann, ähnlich der LAN-Anbindung, unter nachfolgend beschriebenen Bedingungen mittels der hier beschriebenen Parameter verändert werden. Tabelle 20 beschreibt die WAN Konfigurationsparameter: • Ist der DHCP-Client aktiviert (DHCP_CLIENT_WAN_STATE=Enabled) sind die Konfigurationsparameter nur einsehbar.
- Seite 130 Tabelle 21). ReferenzID Belegung Bedeutung Internet Access Gateway IP-Adresse Das IAG ist das Standardgateway des RISE (ANLW_IAG_ADDRESS) Konnektors. Sämtliche erlaubte Datenpakete, die nicht über andere Routen abgedeckt sind, werden an das Standardgateway gesendet. Die Einstellung kann je nach Anbindungsmodus im WAN oder LAN Segment liegen.
-
Seite 131: Fehlermeldungen
Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung (DHCP_CLIENT_LAN_STATE=DISABLED) oder die WAN-Schnittstelle aktiviert und statisch konfiguriert ist. Tabelle 21: Weitere LAN/WAN Konfigurationsparameter 6.2.1.4 Fehlermeldungen Im Zuge der Einstellungen der LAN/WAN-Anbindung können Fehler gem. Tabelle 22 auftreten. Fehlercode Fehlertyp Severity Fehlertext... -
Seite 132: Datum & Uhrzeit
Zeitdienstes zu konfigurieren bzw. einzusehen. Mittels des Buttons “Zeit setzen” kann die Zeit auch manuell durch einen Administrator festgelegt werden. Warnung: Beim Setzen der Zeit wird ein Neustart des RISE Konnektors durchgeführt. Bitte beachten Sie dabei die Hinweise in Abschnitt 6.1.1. - Seite 133 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung Zeit (CET/MEZ) Konnektors einstellen. Uhrzeit – Zeit Zeit Der Administrator kann manuell setzen die Zeit des Konnektors (NTP_TIME) über die Management-Oberfläche manuell einstellen. Tabelle 23: Konfigurationsparameter des Zeitdienstes Tabelle 24 beschreibt die einsehbaren Parameter des Zeitdienstes.
-
Seite 134: Dhcp-Server
Sicherheitshinweis: Wenn Sie den RISE Konnektor offline betreiben, muss ein manueller Abgleich der Uhrzeit mindestens einmal jährlich durchgeführt werden. Sicherheitshinweis: Sollten Sie den RISE Konnektor zwei Monate oder länger ohne Stromversorgung gelagert haben, ist ebenfalls ein manuelles Setzen der korrekten Uhrzeit empfohlen. -
Seite 135: Dhcp-Server Aktivierung
Research Industrial Systems Engineering (RISE) 6.2.3.1 DHCP-Server Aktivierung Abbildung 81 zeigt die Benutzermaske für die DHCP-Server Aktivierung. Abbildung 81: DHCP-Server Status Tabelle 26 beschreibt den DHCP-Server Aktivierungs- bzw. Deaktivierungs- Konfigurationsparameter. ReferenzID Belegung Bedeutung DHCP Server aktivieren Enabled / Disabled; Dieser Konfigurationsparameter... - Seite 136 Research Industrial Systems Engineering (RISE) Hinweis: Bei aktiviertem DHCP-Server erhalten Komponenten, welche als Netzwerkkomponenten auf der LAN-Schnittstelle des RISE Konnektors auftreten, ihre Adressen per Zuweisung. 6.2.3.2 DHCP-Server Die Konfiguration des DHCP-Servers setzt sich aus unterschiedlichen Konfigurationsparametern zusammen und kann in zwei unterschiedliche Kategorien unterteilt werden: •...
- Seite 137 Research Industrial Systems Engineering (RISE) Abbildung 82: DHCP-Server Einstellungen Tabelle 27 beschreibt jene DHCP-Server Einstellungsparameter, welche für die Basiskonfiguration für den Betrieb eines DHCP-Servers gelten. ReferenzID Belegung Bedeutung Netzadresse (DHCP_SERVER_NETWORK) IP-Adresse Dieser Konfigurationsparameter enthält das IP-Netzwerk der Einsatzumgebung. Seite 137 Bedienungsanleitung Version: 1.5.5...
- Seite 138 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung Dieser Parameter kann jederzeit durch den Administrator gesetzt werden. Broadcast-Adresse IP-Adresse Dieser (DHCP_SERVER_BROADCAST) Konfigurationsparameter enthält die Broadcast- Adresse des Konnektors am LAN-Interface. Dieser Parameter kann jederzeit durch den Administrator gesetzt werden. Adressbereich von –...
- Seite 139 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung und MAC- eine Liste von Clients Adresse konfigurieren (Einträge einfügen, ändern, löschen). IP-Adresse und MAC-Adresse der Clients Liste von Tupel Der Administrator kann einer Clientgruppe (DHCP_STATIC_LEASE) aus IP- und über diesen Parameter MAC-Adresse für jede MAC-Adresse...
- Seite 140 Research Industrial Systems Engineering (RISE) Abbildung 84: Client Group Routing Tabelle 28 beschreibt die gruppenspezifischen Konfigurationsparameter des DHCP- Servers, welche für jede Clientgruppe spezifisch zusammengefasst sind. ReferenzID Belegung Bedeutung Subnetzmaske (DHCP_IP_NETMASK) Netzmaske Der Administrator kann über diesen Parameter die Netzmaske des Clients konfigurieren.
- Seite 141 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung übergeben – Liste von DNS-Servern DNS-Server DNS-Server nicht übergeben (DHCP_DNS_ADDR) werden soll, müssen die Adressen externer aus dem Netz der Einsatzumgebung erreichbaren DNS-Server als Parameter übergeben werden. Der Administrator kann diese Adressen konfigurieren: Wenn “Benutzerdefinierte DNS-Server...
-
Seite 142: Routing - Neue Zusätzliche Route Einrichten
Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung diesen Parameter den Domainnamen des Clients konfigurieren. Lease TTL (DHCP_LEASE_TTL) X Minuten Der Administrator kann über diesen Parameter die Lease- Dauer der dynamischen Adressen konfigurieren. Bestandsnetze Liste von Tupel: Der Administrator kann über... -
Seite 143: Dns
Research Industrial Systems Engineering (RISE) Abbildung 85: Neue zusätzliche Route einrichten 6.2.4 DNS Das Domain Name System (DNS) (siehe Abbildung 86) erfüllt im lokalen Netzwerk des Leistungserbringers die Aufgaben der Namensauflösung durch die Auflösung von Records (siehe Abbildung 88). Er führt Validierungen mit dem DNS- Vertrauensanker (siehe Abbildung 89) durch. - Seite 144 Research Industrial Systems Engineering (RISE) Abbildung 86: DNS-Server Tabelle 29 beschreibt die Statusparameter der DNS-Serverkonfiguration. ReferenzID Belegung Bedeutung DNS-Server (TI) Liste von IP-Adressen Liste von DNS-Servern, die (DNS_SERVERS_TI) der DNS-Server zur Namensauflösung des Namensraums der Telematikinfrastruktur verwendet werden. Hinweis: Die Telematikinfrastruktur...
-
Seite 145: Bedeutung
Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung Namensraums Internet bei Nutzung des SIS verwendet werden. Hinweis: Die SIS DNS-Server Liste wird erst nach erfolgreichem Aufbau eines VPN-Kanals zum Sicheren Internet Service bereitgestellt. DNS-Server (Bestandsnetze) Liste von IP-Adressen Liste von DNS-Servern je... - Seite 146 Research Industrial Systems Engineering (RISE) Abbildung 87: Hinzufügen eines neuen DNS-Servers 6.2.4.2 DNS-Records Abbildung 88 zeigt die Benutzermaske und die Konfigurationsparameter der DNS- Records. • Statische Records • Weitere Records Seite 146 Bedienungsanleitung Version: 1.5.5...
- Seite 147 Research Industrial Systems Engineering (RISE) Abbildung 88: DNS-Records Tabelle 30 beschreibt die Status- und Konfigurationsparameter des DNS- Namensdienstes. ReferenzID Belegung Bedeutung Weitere Records Liste von DNS Der Administrator kann die einzelnen (DNS_KONLAN_RR) Resource Resource Records (RR) der Domain “konlan.” Records der bearbeiten (erzeugen, lesen, löschen).
- Seite 148 Research Industrial Systems Engineering (RISE) Abbildung 89: DNS Trust-Anchors Hinweis: Sollte eine DNS-Auflösung bzw. die DNSSEC-Validierung nicht funktionieren, dann kann mit “RFC5011-Aktualisierungen zurücksetzen” die automatische DNSSEC- Vertrauensanker-Aktualisierung zurückgesetzt werden. Die automatische Aktualisierung wird mit den aktuell konfigurierten und aus der TSL übernommenen Vertrauensankern neu gestartet.
-
Seite 149: Trust-Anchor-Aktualisierung
DNSSEC korrekt handhabt. Tabelle 32: Fehlermeldungen DNS 6.2.5 RISE Konnektor Umgebung Abbildung 90 zeigt die Benutzermaske und die Konfigurationsparameter der RISE Konnektor Netzwerkumgebung, in der die Subnetze der Zonen für zentrale Dienste TI, offene Fachdienste TI und gesicherte Fachdienste TI definiert werden. - Seite 150 Research Industrial Systems Engineering (RISE) Abbildung 90: RISE Konnektor Netzwerkumgebung ReferenzID Belegung Bedeutung DNS TLD Adresse des DNS-Servers Dieser Wert ist für den (DNS_TOP_LEVEL_DOMAIN_TI) Administrator über die Telematikinfrastruktur Management-Oberfläche einsehbar, kann aber nicht verändert werden. Zentrale Dienste TI IPv4 Adressbereich für (NET_TI_ZENTRAL) Zentrale Dienste der TI.
-
Seite 151: Vpn
(ECC-TSL) Management-Oberfläche einsehbar, kann aber nicht verändert werden. Tabelle 33: Parameter der RISE Konnektor Netzwerkumgebung 6.2.6 VPN Der VPN-Client dient zur Erstellung und Verwaltung ausgehender VPN- Kommunikationskanäle. Dabei kann sowohl der Status der Verbindung zur Telematikinfrastruktur als auch zum Sicheren Internet Service eingesehen und verändert als auch die Einstellungen der VPN-Verbindung angepasst werden (siehe... -
Seite 152: Belegung Bedeutung
Research Industrial Systems Engineering (RISE) Hinweis: Den Spezifikationen der gematik folgend unterstützt der RISE Konnektor für die VPN-Kanäle den Mechanismus Traffic Flow Confidentiality nicht. Hinweis: Aus technischen Gründen kommt es beim An- und Abstecken der Netzwerkkabel sowohl am LAN- als auch am WAN-Interface automatisch zu einem Ab- und Aufbau der zuvor bestehenden VPN-Verbindungen. - Seite 153 IPSec-Kanäle mit den VPN- Konzentratoren des Sicheren Internet Service. Tabelle 34: Einsehbare Parameter des VPN-Clients 6.2.6.2 VPN-Konfiguration Der VPN-Client dient zur Absicherung der Verbindung des RISE Konnektors zur Telematikinfrastruktur. Abbildung 92 zeigt die Benutzermaske und die Konfigurationsparameter der VPN- Konfiguration. •...
- Seite 154 Research Industrial Systems Engineering (RISE) Abbildung 92: VPN-Konfiguration Abbildung 92 beschreibt die Status- und die Konfigurationsparameter des VPN- Dienstes. ReferenzID Belegung Bedeutung MTU in die Paketgröß Der Administrator kann die MTU für ESP-Pakete Telematikinfrastruktur e in Byte; zur Telematikinfrastruktur (exkl. ESP-Header-...
- Seite 155 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung Timeout Wenn “VPN-Verbindung bei Inaktivität (VPN_IDLE_TIMEOUT) Sekunden; automatisch abbauen” aktiviert ist, dann kann Standard- der Administrator die Zeit in Sekunden angeben, Wert: 600 nach der eine inaktive VPN-Verbindung abgebaut wird. VPN-Verbindungen durch...
- Seite 156 Sicherheitswarnung: Eine Änderung des Anti Replay Services wird nicht empfohlen und darf nur in begründeten Fällen (z.B. zur Fehleranalyse) vorübergehend durchgeführt werden, da der RISE Konnektor in dieser Konfiguration nicht mehr den Sicherheitsanforderungen der Telematikinfrastruktur entspricht. 6.2.6.3 VPN-Firewall Der RISE Konnektor verfügt über eine Firewall. Der Administrator hat über die Management-Oberfläche die Möglichkeit, einschränkende Firewall-Regeln...
- Seite 157 Research Industrial Systems Engineering (RISE) Abbildung 93: Firewall-Konfiguration für SIS Um eine neue einschränkende Firewall-Regel zu erstellen, klicken Sie auf das “Plus”- Symbol. Sie können nun eine neue Regel erstellen (siehe Abbildung 94). Abbildung 94: Erstellen einer neuen Firewall-Regel ReferenzID...
-
Seite 158: Vpn-Freischaltung
Leistungserbringer-Organisation ab. Hinweis: Es können nur ausgehende Firewall-Regeln gesetzt werden. 6.2.6.4 VPN-Freischaltung Im Reiter “Freischaltung” zeigt die Benutzermaske Einstellungen der RISE Konnektor Registrierung beim Zugangsdienstprovider. Der Anbieter des VPN- Zugangsdienstes stellt dem Leistungserbringerinstitut die erforderliche Vertragsnummer (Contract-ID) für die Registrierung zur Verfügung. - Seite 159 Research Industrial Systems Engineering (RISE) Abbildung 95: VPN-Freischaltung der Zugangsdienstbetreiber ReferenzID Belegung Bedeutung Vertragsnummer Für die Admin-Rollen (Super- Dieser (MGM_ZGDP_CONTRACTID) & lokaler Admin) Konfigurationsparameter einsehbar/veränderbar enthält die vom Wertebereich: Contract-ID - Zugangsdienst erhaltene gültiger String Contract-ID, welche von einem Administrator zur...
-
Seite 160: Rise Konnektor Dienste
Research Industrial Systems Engineering (RISE) 6.3 RISE Konnektor Dienste Das Dienste-Hauptmenü setzt sich aus den Unterpunkten zusammen, die in Abschnitt 6.3.1 bis Abschnitt 6.3.5 im Detail erläutert werden: • Anbindung der Clientsysteme (Abschnitt 6.3.1) • Ereignisdienst (Abschnitt 6.3.2) • Karten (Abschnitt 6.3.3) •... - Seite 161 Konnektor zu konfigurieren, kann das Konnektor-Zertifikat manuell heruntergeladen werden: • Rufen Sie dazu die Addresse https://<IP-Adresse des RISE Konnektors>/connector.sds • Laden Sie das Zertifikat, beispielsweise durch Anzeigen der Seiteninformationen im Browser, herunter. Dies ist abhängig vom genutzten Browser, daher ist ggf. in der entsprechenden Browser-Anleitung nachzusehen, wie Zertifikate (.pem-Datei) von einer...
- Seite 162 Research Industrial Systems Engineering (RISE) Abbildung 96: Clientsystem Konfiguration ReferenzID Belegung Bedeutung Verpflichtend TLS Enabled / Disabled; Standard- Der Administrator kann die verwenden Wert: Enabled verpflichtende Verwendung (ANCL_TLS_MANDATORY) eines mittels TLS gesicherten Übertragungskanals an- oder abschalten. Wenn ANLW_ANBINDUNGS_MOD US =Parallel konfiguriert...
- Seite 163 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung Dienstverzeichnisdienst Wert: Enabled konfigurieren, ob der trotzdem ohne TLS Zugriff auf den zugänglich machen Dienstverzeichnisdienst (ANCL_DVD_OPEN) auch dann über einen ungesicherten HTTP-Kanal erfolgen kann, wenn TLS verpflichtend verwendet werden muss. Verpflichtende Enabled / Disabled; Standard-...
-
Seite 164: Clientsystem-Zertifikate
Research Industrial Systems Engineering (RISE) Abbildung 97: Passwörter des Clientsystems ReferenzID Belegung Bedeutung Passwort-basierte Liste von Liste an Anmeldeinformationen und Authentisierung von Benutzer/Passwort- dazugehörenden Client-system IDs. Clientsystemen Kombinationen, Der Administrator kann eine Liste von (ANCL_CUP_LIST) zugeordnet zu ClientID Anmeldeinformationen und zugehörendem Clientsystem... - Seite 165 Research Industrial Systems Engineering (RISE) werden) sowie einem “Mülleimer”-Symbol (damit kann der Eintrag gelöscht werden – siehe auch Abschnitt 6.3.1.4.1). Mittels des Buttons “Neues Zertifikat hinzufügen” können weitere Zertifikate für Clientsysteme hinzugefügt/generiert werden (siehe auch Abschnitt 6.3.1.4.2) bzw. können auch bereits bestehende Zertifikate importiert werden (siehe auch Abschnitt 6.3.1.4.3).
-
Seite 166: Zertifikate Löschen
Research Industrial Systems Engineering (RISE) Sicherheitshinweis: Der RISE Konnektor führt eine vollständige Prüfung Clientsystem-Zertifikats beim Importieren durch. Diesem Zertifikat wird solange vertraut, bis das Zertifikat abläuft oder der Administrator das Zertifikat wieder entfernt oder ersetzt. Sicherheitshinweis: Der Administrator ist dafür verantwortlich, dass abgelaufene Clientsystem-Zertifikate ersetzt werden. -
Seite 167: Client-Zertifikat Importieren
Research Industrial Systems Engineering (RISE) Abbildung 100: Hinzufügen eines Zertifikats – Auswahl Clientsystem Nach Drücken auf “Weiter” wird das Zertifikat generiert und kann über den angezeigten Link heruntergeladen werden. Des Weiteren wird noch das dazugehörige Passwort angezeigt (siehe Abbildung 101). -
Seite 168: Ereignisdienst
Research Industrial Systems Engineering (RISE) 6.3.2 Ereignisdienst Mit Hilfe des Ereignisdienstes können einerseits Einstellungen bzgl. Zustellungen von Ereignissen an Clientsysteme und andererseits bzgl. der Überwachung kryptographischer Operationen vorgenommen werden. 6.3.2.1 Ereignisdienst – Konfiguration Im Reiter “Konfiguration” kann der Administrator Einstellungen zu der Benachrichtigung von Clientsystemen vornehmen. -
Seite 169: Karten
Research Industrial Systems Engineering (RISE) Abbildung 104: Ereignisdienst - Monitoring 6.3.3 Karten Grundsätzlich kann der RISE Konnektor verschiedene Kartentypen verwalten: • eGK (G1+ und G2): Die elektronische Gesundheitskarte. • HBA-qSig: HBA-Vorläuferkarte. • HBA: Der elektronische Heilberufsausweis (HBA). • SMC-B: Die Institutionskarte Typ B. - Seite 170 Schulen Sie das Personal beim Leistungserbringer diesbezüglich. 6.3.3.1 Kartenverwaltung Das Menü “Karten” gibt im Reiter “Status” eine Übersicht über alle durch den RISE Konnektor verwalteten Karten (siehe Abbildung 105). In dieser ersten Übersicht sind Informationen zum Kartentyp, der ICCSN der Karte und dem Karteninhaber gegeben.
- Seite 171 Research Industrial Systems Engineering (RISE) Abbildung 105: Übersicht über verwaltete Chipkarten ReferenzID Belegung Bedeutung Verwaltete Karten Liste von Eine Liste von Repräsentanzen (CardObjects) (CM_CARD_LIST) Card- der dem Konnektor bekannten Karten. Die Objekten Attribute der Card-Objekte sind im Folgenden gelistet. Tabelle 43: Übersicht über verwaltete Karten In der Detailseite zur Karte (siehe Abbildung 106) sind im Reiter “Karte”...
- Seite 172 Research Industrial Systems Engineering (RISE) Im Reiter “Sessions” befindet sich eine Auflistung der aktuellen Sitzungen einer Karte, welche neben Informationen zur Art der Authentisierung auch die Parameter Mandant-ID, Clientsystem-ID und User-ID des entsprechenden Kartenkontexts enthält. Da die User-ID ein schützenswertes Datum ist, wird dieser Wert allerdings ausgeblendet und durch den Platzhalter "***"...
- Seite 173 Research Industrial Systems Engineering (RISE) • PIN ändern • PIN entsperren Sicherheitshinweis: Die SMC-B darf nur freigeschaltet sein, so lange sich die Karte und der Konnektor unter der Kontrolle des Karteninhabers befinden. Wenn der Karteninhaber keine Kontrolle mehr über den Konnektor oder die SMC-B hat, muss die Freischaltung der SMC-B zurückgesetzt werden (z.B.
- Seite 174 Research Industrial Systems Engineering (RISE) • Durch Auswahl der Aktion “PIN-Status liefern” können Sie nach der Auswahl eines Aufrufkontexts (Mandant, Clientsystem und Arbeitsplatz) den Status der Karte und die Anzahl der verbleibenden Eingabe-Versuche der PIN anzeigen (siehe Abbildung 108). •...
- Seite 175 Research Industrial Systems Engineering (RISE) Abbildung 109: PIN-Management - PIN verifizieren Sie bekommen die erfolgreiche PIN-Aktion als Ergebnis angezeigt. Bitte beachten Sie, dass die Rückmeldung unterschiedliche Status haben kann und abhängig von der jeweiligen Karte ist. Abbildung 110: PIN-Management - Ergebnisdialog PIN-Verifikation 6.3.3.2 Kartendienstkonfiguration...
-
Seite 176: Fehlercodes
Aufruf abgebrochen wird. Tabelle 44: Konfigurationsparameter Karten 6.3.3.3 Fehlercodes Im Rahmen der Administration von Karten, die der RISE Konnektor verwaltet, können Fehlercodes, wie in Tabelle 45 dargestellt, auftreten. Fehlercode Fehlertyp Severity Fehlertext 4043 Technical Warning Timeout bei der PIN-Eingabe Tabelle 45: Fehlercodes im Zusammenhang mit der Administration von Karten 6.3.4 Kartenterminals... - Seite 177 Hinweis: Bei Frage- oder Problemstellungen in Verbindung mit Kartenterminals lesen Sie bitte auch die Bedienungsanleitung(en) Ihrer eingesetzten Kartenterminals. 6.3.4.1 Kartenterminals - Status Der Reiter “Status” gibt eine Übersicht über alle durch den RISE Konnektor verwalteten Kartenterminals (siehe Abbildung 112). Abbildung 112: Übersicht über verwaltete Kartenterminals...
-
Seite 178: Pairing / Inbetriebnahme Von Kartenterminals
Research Industrial Systems Engineering (RISE) Hinweis: Wenn Sie den RISE Konnektor LAN-seitig als DHCP-Client betreiben und trotz korrekt zugewiesener IP-Konfiguration die Kartenterminalsuche erfolglos ist, führen Sie bitte erneut eine manuelle Aktualisierung der DHCP-Konfiguration durch (siehe Abschnitt 6.2.1.3, Funktion “DHCP-Konfiguration erneut beziehen”). -
Seite 179: Kartenterminals - Statusänderung
Kartenterminal auf und erhält das Komponentenzertifikat der gSMC-KT. Ist das Zertifikat gültig, wird dem Administrator der Fingerprint des Zertifikates angezeigt. Im Fehlerfall bricht der RISE Konnektor den Verbindungsaufbau ab. Stimmt der Fingerprint mit jenem aus Schritt 1 überein, bestätigt dies der Administrator, wodurch ein Austausch eines Shared Secret erfolgt. - Seite 180 Research Industrial Systems Engineering (RISE) Sicherheitshinweis: Sobald ein Kartenterminal in den Status “AKTIV” wechselt, muss das Kartenterminal regelmäßig auf Auffälligkeiten (gebrochene Siegel, etc.) überprüft werden, um jederzeit mögliche Manipulationsversuche zu erkennen. Sicherheitshinweis: Ein nicht vertrauenswürdiges/unerwünschtes Kartenterminal muss nach erfolgter Aufhebung des Pairings aus der Liste der Kartenterminals entfernt werden.
- Seite 181 Research Industrial Systems Engineering (RISE) Abbildung 114: Statusinformationen des Kartenterminals Im Bereich “Statusinformationen” – “Status” befindet sich wieder (abhängig vom Status, in dem sich das Kartenterminal aktuell befindet) ein Button für die Statusänderung analog zu Abschnitt 6.3.4.1.2 (“Plus”-Symbol mit “Kartenterminal zuweisen”, “Ketten”-Symbol mit “Pairen”...
- Seite 182 Versuchen und -Intervall bzw. TLS-Handshake Timeout auch Service Discovery Timeout, Zyklus und Port an dieser Stelle administriert werden. Kartenterminals, die für den Betrieb mit dem RISE Konnektor vorgesehen sind, müssen mit diesem gepaired werden, um eine sichere Kommunikation zwischen RISE Konnektor und Kartenterminal zu ermöglichen (siehe Abschnitt 6.3.4.1.1).
- Seite 183 Research Industrial Systems Engineering (RISE) Abbildung 116: Konfiguration von Kartenterminals ReferenzID Belegung Bedeutung Keep-Alive-Interval X Sekunden; Intervall in Sekunden in (CTM_KEEP_ALIVE_INTERVAL) Standard-Wert: dem Keep-Alive 10 Sek. Nachrichten an das Kartenterminal gesendet werden. Der Administrator kann diesen Wert im vorgegebenen Bereich anpassen (1-10).
- Seite 184 Kartenterminal wartet (Handshake-Timeout). Der eingegebene Wert muss zwischen 1 und 60 liegen. Tabelle 47: Konfigurationswerte der Kartenterminals 6.3.4.3 Fehlercodes Im Rahmen der Verbindung des RISE Konnektors mit Kartenterminals können Fehlercodes wie in Tabelle 48 dargestellt auftreten. Seite 184 Bedienungsanleitung Version: 1.5.5...
-
Seite 185: Zertifikatsdienst
Research Industrial Systems Engineering (RISE) Fehlercode Fehlertyp Severity Fehlertext 4028 Technical Error Fehler beim Versuch eines Verbindungsaufbaus zum Kartenterminal. 4029 Security Error Fehler bei der Kartenterminal-Authentisierung. Prüfen Sie die Kartenterminal-Konfiguration, insb. die TSL. 4030 Security Error Admin-Werte für Kartenterminal fehlerhaft. -
Seite 186: Zertifikatsdienst Status
Research Industrial Systems Engineering (RISE) gematik unterstützt, indem diese Informationen über CA-Betreiber veröffentlicht, die den Sicherheitsanforderungen der gematik entsprechen. 6.3.5.1 Zertifikatsdienst Status Der Reiter “Status” des Zertifikatsdienstes in Abbildung 117 zeigt die CRL Downloadadressen, den TSL Vertrauensraumstatus und den Status der Bundesnetzagentur-Vertrauensliste (BNetzA-VL). - Seite 187 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung ausgelesen. Sequenznummer der TSL Nummer Eindeutige Nummer der TSL. StatusStartingTime des Datum Startdatum des Vertrauensankers Gültigkeitszeitraums des aktuellen Vertrauensankers (TSL- Signer-CA-Zertifkates). Nächstes Update Datum Datum, an dem das nächste TSL- Update durchgeführt wird.
-
Seite 188: Ablaufdaten Ermitteln
Research Industrial Systems Engineering (RISE) 6.3.5.1.1 OCSP Abfrage - OCSP Test starten Abbildung 118: Zertifikatsdienst – OCSP Test Ergebnis Mit Klick auf den Button “OCSP Test starten…” kann der Administrator überprüfen ob, ein in der TSL enthaltener OCSP Server erreichbar ist. Das Ergebnis eines erfolgreichen OCSP Tests ist in Abbildung 118 ersichtlich. -
Seite 189: Zertifikatsdienst Konfiguration
Research Industrial Systems Engineering (RISE) 6.3.5.2 Zertifikatsdienst Konfiguration Abbildung 120 zeigt die Benutzermaske zur Konfiguration des Zertifikatsdienstes, mit dem CRL- und TSL-Zertifikate und die BNetzA-Vl manuell importiert werden können. Wie viele Tage vor Ablauf eines Zertifikates eine Warnung erscheint kann ebenso konfiguriert werden wie die Grace Periods für TSL und OCSP. - Seite 190 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung und 365 liegen (0=kein Check). Warnung X Tage vor Zertifikatsablauf X Tag(e); Warnung X Tage vor (CERT_EXPIRATION_WARN_DAYS) Standard- Ablauf von Zertifikaten Wert: 90 in der Management- Tage Oberfläche und per Ereignis. Der Wert muss...
- Seite 191 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung ein (beliebiger) OCSP- Request zu einer erhaltenen OCSP- Antwort führt (siehe Abbildung 117). Forwarder Port TCP-Port TCP-Port des OCSP- (CERT_OCSP_FORWARDER_PORT) Forwarders (HTTPS- Proxy) beim Zugangsdienstprovider Timeout für OCSP Abfragen bei Prüfung von non- Timeout für OCSP-...
-
Seite 192: Zertifikatsdienst Importierte Cas - Ca Hinzufügen
Research Industrial Systems Engineering (RISE) Abbildung 121: Zertifikatsdienst - ECC-Migration Kommt es bei einem Vertrauensraumwechsel zu einem Fehler und in weiterer Folge zu einem inkonsistenten Systemzustand, in dem keine zuverlässigen Zertifikatsprüfungen mehr möglich sind, so wird der Konnektor in den abgesicherten Modus versetzt (siehe Abschnitt 4.7.4). - Seite 193 Research Industrial Systems Engineering (RISE) Abbildung 122: Zertifikate – Importierte CAs Durch die Auswahl des Menüs “Hinzufügen” können Sie Zertifikate importieren. Beim Starten des Zertifikatsdienstes wird automatisch eine interne Bereinigung der bestehenden Liste importierter CAs (siehe Tabelle 50) durchgeführt. Hierbei werden etwaig vorhandene QES-Zertifikate entfernt, da CA-Zertifikate zur Ableitung von QES-Zertifikaten nicht importiert werden können.
- Seite 194 Research Industrial Systems Engineering (RISE) Abbildung 123: Zertifikate – Importierte CAs – Zertifikat anzeigen/löschen ReferenzID Belegung Bedeutung Liste importierter CAs Liste von manuell Der Administrator (CERT_IMPORTED_CA_LIST) importierten Zertifikaten; kann Zertifikate Standard-Wert: leere Liste importieren, anzeigen und löschen. Tabelle 50: Konfigurationsparameter Zertifikatsdienst – Importierte CAs 6.3.5.4 Fehlercodes...
- Seite 195 Research Industrial Systems Engineering (RISE) Fehler- code Fehlertyp Severity Fehlertext 1004 Technical Error TSL-Signer-CA lässt sich nicht extrahieren. 1005 Technical Error Element “PointersToOtherTSL” nicht vorhanden. 1006 Technical Error TSL-Downloadadressen wiederholt nicht erreichbar. 1007 Security Error Vergleich der ID und SequenceNumber entspricht nicht der Vergleichsvariante 6a.
- Seite 196 Research Industrial Systems Engineering (RISE) Fehler- code Fehlertyp Severity Fehlertext 1032 Technical Error OCSP-Responder nicht verfügbar. 1033 Security Error Kein Element PolicyInformation vorhanden. 1036 Security Error Das Zertifikat ist ungültig. Es wurde nach der Sperrung der ausgebenden CA ausgestellt. 1039...
-
Seite 197: Rise Konnektor Fachanwendungen
Error Zertifikat nicht vorhanden in TSL Tabelle 51: Fehlercodes des Zertifikatsdienstes 6.4 RISE Konnektor Fachanwendungen Mit dem RISE Konnektor kann auch auf Fachanwendungen zugegriffen werden. Der RISE Konnektor ist so konzipiert, dass er Fachanwendungen als gesamte Module Seite 197 Bedienungsanleitung... -
Seite 198: Allgemeine Merkmale
Research Industrial Systems Engineering (RISE) unterstützt. Diese können je nach Firmwarestand variieren. Aktuell sind die folgenden Fachanwendungen verfügbar: • Versichertenstammdaten-Dienst (VSD) • Arzneimitteltherapiesicherheit (AMTS) • Notfalldatenmanagement (NFDM) • Elektronische Patientenakte (ePA) Diese Anwendungen und das von ihnen verwendete einheitliche Protokollformat werden in den folgenden Kapiteln beschrieben. -
Seite 199: Lizenzierung
Research Industrial Systems Engineering (RISE) 6.4.2 Lizenzierung Um die Fachmodule AMTS, NFDM und ePA nutzen zu können ist es notwendig, dass der Konnektor über gültige Lizenzen für diese verfügt. Dies wird beim Start eines der Fachmodule überprüft und nur wenn die Lizenz zum Startzeitpunkt gültig ist, startet das entsprechende Fachmodul vollständig und kann genutzt werden. -
Seite 200: Versichertenstammdaten-Dienst (Vsd)
Zur sicheren Kommunikation des Versichertenstammdaten-Dienst sind Konfigurationen vorzunehmen. Diese betreffen einerseits Einstellungen zur Auslesezeit und Aktualisierung der Versichertendaten, andererseits die Kommunikation des RISE Konnektors zu VSDM-Fachdiensten in der zentralen Telematikinfrastruktur. Abbildung 126 zeigt die Benutzermaske und die Konfigurationsparameter des VSDM Fachmodules des RISE Konnektors. - Seite 201 Research Industrial Systems Engineering (RISE) Abbildung 126: Konfiguration des Versichertenstammdaten-Dienst Die Konfigurations-Parameter zum Versichertenstammdaten-Dienst sind in Tabelle 53 angeführt. ReferenzID Belegung Bedeutung Maximale Bearbeitungszeit Sekunden; Standard-Wert: Der Wert gibt an, wie lange für die Operation ReadVSD 30 Sek. die Operation ReadVSD (MAXTIME_VSDM) maximal dauern darf.
-
Seite 202: Vsd - Verschlüsselter Prüfungsnachweis
Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung maximalen Offline-Zeitraums müssen zwischen den Vertragspartnern vereinbart werden. Online Aktualisierung Boolean; Standard-Wert: Gibt an, ob beim Stecken gesteckter Gesundheitskarte False einer eGK der automatisch starten Anwendungsfall (EGK_ALWAYS) “Automatische Onlineprüfung VSD” gestartet werden soll. - Seite 203 Research Industrial Systems Engineering (RISE) Abbildung 127: Verschlüsselter Prüfungsnachweis Um den Schlüssel des Prüfungsnachweises (PNW-Key) zu ändern, klicken Sie auf das Aktionssymbol. Es erscheint eine Eingabemaske (siehe Abbildung 128). Abbildung 128: Prüfungsnachweis Schlüssel bearbeiten ReferenzID Belegung Bedeutung Schlüssel 16 Zeichen lange Eingabe zur Generierung der Schlüssel...
-
Seite 204: Arzneimitteltherapiesicherheit (Amts)
Tabelle 55: Versichertenstammdaten-Dienst – Fehlercodes 6.4.4 Arzneimitteltherapiesicherheit (AMTS) Mit dem Fachmodul eMP/AMTS wird das sichere Auslesen und Schreiben des elektronischen Medikationsplans auf der Gesundheitskarte durch den RISE Konnektor unterstützt. Sicherheitshinweis: Die Umgebung beim Leistungserbringer muss sicherstellen, dass nur spezifikationskonforme Zugriffe auf die Dienstschnittstellen des Fachmoduls erfolgen. - Seite 205 Research Industrial Systems Engineering (RISE) Schutzprofils PP-0098, Kapitel 3 erfüllen, u.a. den physischer Schutz und ein vertrauenswürdiges Clientsystem. 6.4.4.1 AMTS-Konfiguration Für das Fachmodul AMTS ist keine separate Konfiguration notwendig. Im Zuge der Konfiguration der Protokollierung Abschnitt 6.1.2.8 können aber Einstellungen speziell für AMTS vorgenommen werden.
-
Seite 206: Notfalldatenmanagement (Nfdm)
Research Industrial Systems Engineering (RISE) Fehler- code Fehlertyp Severity Fehlertext 6064 Business Error Fachanwendungen verborgen. 6065 Business Error Löschung der eMP/AMTS-Daten nicht zugestimmt. 6068 Business Error Es sind keine eMP/AMTS-Daten auf der eGK gespeichert. Tabelle 56: Arzneimitteltherapiesicherheit – Fehlercodes 6.4.5 Notfalldatenmanagement (NFDM) Mit dem Fachmodul NFDM wird das sichere Auslesen, Schreiben und Löschen von... - Seite 207 Research Industrial Systems Engineering (RISE) Fehler- code Fehlertyp Severity Fehlertext 5004 Technical Fatal Unbekannte Version der Speicherstruktur für den Notfalldatensatz auf der eGK. 5006 Technical Error Dekomprimierung des Notfalldatensatzes gescheitert. 5007 Technical Error Decodierung des Notfalldatensatzes gescheitert. 5008 Security Error Die Versicherten-ID des Notfalldatensatzes stimmt nicht mit der Versicherten-ID der eGK überein.
-
Seite 208: Elektronische Patientenakte (Epa)
Research Industrial Systems Engineering (RISE) Fehler- code Fehlertyp Severity Fehlertext 5106 Technical Error Dekomprimierung des Datensatz „Persönliche Erklärungen“ gescheitert. 5107 Technical Error Decodierung des Datensatz „Persönliche Erklärungen“ gescheitert. 5108 Security Error Die Versicherten-ID des Datensatz „Persönliche Erklärungen“ stimmt nicht mit der Versicherten-ID der eGK überein. - Seite 209 Nutzer, also eine Institution über das Fachmodul ePA authentisieren. 6.4.6.1 ePA-Konfiguration Zur sicheren Kommunikation mit der ePA-Fachanwendung sind Konfigurationen vorzunehmen. Diese betreffen die Kommunikation des RISE Konnektors zur ePA- Fachanwendung in der zentralen Telematikinfrastruktur mittels TLS und TCP. Abbildung 129 zeigt die Benutzermaske und die Konfigurationsparameter des ePA Fachmoduls des RISE Konnektors.
- Seite 210 Research Industrial Systems Engineering (RISE) ReferenzID Belegung Bedeutung zum Aktensystem/SGD Standard- Konnektor maximal auf den (EPA_SERVER_TIMEOUT) Wert: 10 Sek. TCP-Verbindungsaufbau zum Aktensystem/SGD wartet. Tabelle 58: Fachmodul elektronische Patientenakte – Parameter zur Konfiguration 6.4.6.2 Fehlercodes Die in Tabelle 59 ersichtlichen Fehlercodes können im Rahmen des Fachmoduls elektronische Patientenakte auftreten.
-
Seite 211: Nutzung Des Default-Aufrufkontexts
Research Industrial Systems Engineering (RISE) Fehler- code Fehlertyp Severity Fehlertext 7221 Security Error Zertifikat auf SMC-B ungültig. 7400 Technical Error Fehler - Die Operation konnte nicht durchgeführt werden. 7402 Technical Warning Das Aktenkonto ist bereits eingerichtet. 7403 Technical Error Das Aktenkonto kann noch nicht verwendet werden. - Seite 212 Research Industrial Systems Engineering (RISE) Referenz Belegung Clientsystem Clientsystem_ePA_Default Arbeitsplatz Workplace_ePA_Default Tabelle 60: Fachmodul elektronische Patientenakte - Belegung des Default-Aufrufkontextes 6.4.6.3.1 Fehlerfälle Ist der Default-Aufrufkontext nicht oder nicht korrekt eingerichtet, so resultiert ein Aufruf der IHE-Schnittstelle ohne übergebene SOAP-Header in einem Syntaxfehler mit dem Fehlertext “epaFM Default-Aufrufkontext ist nicht korrekt konfiguriert in...
-
Seite 213: Entsorgung Des Rise Konnektors
Altgeräte dürfen nicht über den Hausmüll entsorgt werden! Batterien und Akkus gehören nicht in den Hausmüll! Sollte der RISE Konnektor einmal nicht mehr benutzt werden können, ist jeder Verbraucher gesetzlich verpflichtet, Altgeräte getrennt vom Hausmüll zu entsorgen. Der RISE Konnektor Hersteller bietet eine fachgerechte Entsorgung, welche durch den Verbraucher genutzt werden soll. -
Seite 214: Anhang A - Signaturrichtlinien
Research Industrial Systems Engineering (RISE) Anhang A - Signaturrichtlinien 8.1 SignDocument 8.1.1 Allgemein • Max. Größe eines einzelnen SignDocument-Requests: 250 MB. • Max. Anzahl SignRequests je SignDocument-Request: 50. Sind mehr als 50 SignRequests vorhanden wird die Operation mit Fehler 4000 “Syntaxfehler” abgebrochen. - Seite 215 Research Industrial Systems Engineering (RISE) Parameter Wert SignRequest.Document.ShortText $ShortText$ (für QES verpflichtend) Tabelle 61: Parameterbelegung an der Außenschnittstelle 8.1.2.1 PAdES Parameter Wert SignRequest.OptionalInputs.SignatureType http://uri.etsi.org/02778/3 SignRequest.Document.Base64Data base64-kodiertes PDF/A Dokument (max. 26 MB) SignRequest.Document.Base64Data.MimeType application/pdf-a SignRequest.IncludeRevocationInfo false Tabelle 62: Parameterbelegung für PAdES Wird gegen die Parameterbelegung verstoßen, wird die Operation mit Fehler 4000...
- Seite 216 Research Industrial Systems Engineering (RISE) Parameter Wert übergeben (kein XML) wird dieser Parameter ignoriert. Wird ein XML Dokument (Base64XML) übergeben, so werden die übergebenen Schemata gemäß TUC_KON_155 in die Signatur eingebettet. Es gelten die Vorgaben zu XML-Dokumenten gemäß Abschnitt “Einschränkungen für XML-Dokumente und Schemata”...
- Seite 217 Research Industrial Systems Engineering (RISE) Wird gegen die Parameterbelegung verstoßen, wird die Operation mit Fehler 4000 “Syntaxfehler” abgebrochen. Weitere Parameter werden nicht berücksichtigt. 8.1.2.3 XAdES QES NFDM Parameter Wert SignRequest.Document.RefURI Der Wert muss übereinstimmen mit dem Wert des Attributs ID des Elements NFD:Notfalldaten.
-
Seite 218: Beschaffenheit Von Xades-Signaturen, Welche Vom Rise Konnektor Erstellt Wurden
Research Industrial Systems Engineering (RISE) 8.1.3 Beschaffenheit von XAdES-Signaturen, welche vom RISE Konnektor erstellt wurden XAdES-Signaturen beinhalten drei Reference-Elemente, welche folgende Inhalte durch die Signatur schützen : • das Dokument • die SignedProperties • das Manifest Es wird Canonical XML 1.1 (http://www.w3.org/2006/12/xml-c14n11) zur Kanonikalisierung eingesetzt. -
Seite 219: Schnittstelle Verifydocument
Research Industrial Systems Engineering (RISE) Signaturverfahren QES/nonQES Signaturalgorithmus Schlüssellänge Hashalgorithmus XAdES RSASSA-PKCS1- 1976 - 4096 SHA-256, SHA- v1_5 384, SHA-512 XAdES RSASSA-PSS 1976 - 4096 SHA-256, SHA- 384, SHA-512 XAdES ECDSA auf der 256 Bit SHA-256 Kurve brainpoolP256r1 CAdES und PAdES QES... -
Seite 220: Beschaffenheit Von Xades-Signaturen
Research Industrial Systems Engineering (RISE) Parameter Wert OptionalInputs.UseVerificationTime Referenzzeitpunkt für Signaturprüfung. OptionalInputs.ReturnVerificationReport Anfordern eines ausführlichen Prüfberichts. Document bei der Prüfung von detached oder enveloped Signaturen (siehe Abschnitt 8.3). SignatureObject Zu prüfende Signatur, sofern diese nicht im Dokument enthalten ist (nicht für PAdES). - Seite 221 TI kein qualifizierter Zeitstempel erzeugt werden kann. • Zusätzlich zu obigen Einschränkungen werden nur Signaturen, die nach [gemSpec_Kon] erstellt wurden, akzeptiert. Sofern nicht anders angegeben reagiert der RISE Konnektor auf Verstöße gegen diese Einschränkungen mit Fehler 4124 “Dokument nicht konform zu Regeln für QES”. Seite 221 Bedienungsanleitung Version: 1.5.5...
-
Seite 222: Einschränkungen Für Xml-Dokumente Und Schemata
Research Industrial Systems Engineering (RISE) 8.3 Einschränkungen für XML-Dokumente und Schemata • Max. Größe eines Dokuments: 26 MB. Größere Dokumente werden mit Fehler 4000 “Syntaxfehler” abgelehnt. • Max. Größe eines Schemas: 1 MB. Größere Schemata werden mit Fehler 4000 “Syntaxfehler” abgelehnt. -
Seite 223: Beschaffenheit Von Pades Signaturen
Research Industrial Systems Engineering (RISE) 8.4 Beschaffenheit von PAdES Signaturen Das Attribut signing-time darf in der Signatur enthalten sein, wird vom RISE Konnektor jedoch nicht verarbeitet. 8.5 Beschaffenheit von CAdES Signaturen Folgende CAdES Attribute dürfen in Signaturen enthalten sein, werden jedoch vom RISE Konnektor nicht verarbeitet: •... - Seite 224 Research Industrial Systems Engineering (RISE) © Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojektberatung GmbH Concorde BusinessPark F 2320 Schwechat Austria, Europe https://www.rise-world.com welcome@rise-world.com Seite 224 Bedienungsanleitung Version: 1.5.5...