TL;DR Wenn du deine SignaturPIN vergisst, musst Du einen neuen eHBA bestellen.
Hallo zusammen,
bei der Vorbereitung auf die "neuen" TI-Anwendungen KIM, die Notfalldaten NFDM und den elektronischen Medikationsplan eMP sind meine Kolleg:innen und ich über ein Thema gestolpert, das mir in dieser Form auf den offiziellen Informationskanälen noch nicht begegnet ist: Die verschiedenen PIN und PUK des elektronischen Heilberufsausweises (kurz: eHBA).
Motivation dieses Beitrags ist, die (zukünftigen) Nutzer:innen des eHBA darauf hinzuweisen, dass sich die Signatur-PIN des eHBA anders verhält als die meisten PIN, mit denen Du und ich normalerweise zu tun haben (Handy, Praxisausweis SMC-B,..). Aber der Reihe nach:
Bei der Installation der dezentralen Komponenten der Telematikinfrastruktur in den Praxen werden die Verantwortlichen mit einem wahren Berg an neuen Passwörtern, PIN und Geheimnissen konfrontiert. Das menschliche Gehirn soll ich nicht besonders gut dazu eignen, diese immer und zuverlässig zu erinnern.
Daher kommt der ein oder andere von Zeit zu Zeit in die Situation eines dieser Passwörter zurücksetzen (lassen) zu müssen. Bei den verschiedenen Komponenten (Konnektor, stationäres Kartenlesegerät, Praxisausweis (SMC-B)) gibt es unterschiedliche Verfahren, die sich z.B. bei den Konnektoren auch je Hersteller unterscheiden.
Die PIN des Praxisausweises beispielsweise muss je nah Situation nur selten eingegeben werden. Der Konnektor "merkt sich", dass die PIN eingegeben wurde, bis die Verbindung zwischen ihm und dem Praxisausweis unterbrochen wird. Z.b. weil Konnektor/Kartenleser/Router neu gestartet werden muss oder der Strom ausfällt.
Wenn diese PIN nicht erinnert wird (und man hoffentlich den PIN-Brief des Herstellers noch im Tresor hat), kann sie mit Hilfe der PUK neu ausgedacht und bestimmt werden. Gemäß der gematik Spezifikation für SMC-B geht das maximal 10 Mal (S. 39 pukUsage 10).
Ich habe in den letzten Jahren wirklich viele Praxen dabei unterstützt, Ihren Praxisausweis zu "PUKen". Das ist nicht schlimm und passiert uns allen!
Der eHBA hat andere bzw. erweiterte Einsatzzwecke als der Praxisausweis und verfügt neben einer "Karten-PIN" (wie der Praxisausweis) über eine "Signatur-PIN" (Details: siehe FAQ der Bundesärztekammer: Funktionen des eArztausweis).
Anders als die Karten-PIN von SMC-B und eHBA kann die Signatur-PIN (PIN.QES) N I C H T unter Zuhilfenahme der PUK verändert werden. So steht es z.B. im (nicht direkt verlinkbaren) Implementierungsleitfaden für Primärsysteme ILF_PS.
Nach dreimaliger Falscheingabe der Signatur-PIN ist diese gesperrt. Die Signatur-PUK setzt lediglich den Fehlerzähler zurück und man erhält drei neue Versuche zum "Erraten" der korrekten Signatur-PIN. Laut gematik Spezifikation für HBA geht auch das maximal 10 Mal (S. 67 pukUsage 10).
Am Ende bleibt nur die Neubestellung des eHBA, wenn man die Signatur-PIN mit den maximal 33 Versuchen nicht mehr erraten hat.
Einige Praxen werden die Signatur-PIN jedoch (zumindest zu Beginn) nur selten nutzen (müssen) - da sie erst in einiger Zeit für die eAU oder das eRezept genutzt werden muss. Es ist also denkbar, dass sie einigen nicht direkt "in Fleisch und Blut" übergeht und vergessen wird.
Da das alles für die Praxen, die Patienten und die Softwareanbieter zu Ärger führen kann und wird, glaube ich, dass es wichtig ist über die Besonderheit der Signatur-PIN zu sprechen.
BEVOR sie bei der Inbetriebnahme festgelegt wird ;-)
Schönes Wochenende!
1 Mitglied findet das Top!
1 Mitglied hat sich bedankt!
der Beitrag hinsichtlich PIN_QES ist super : herzlichen Dank:-)
Der Großteil der Kollegen wird vermutlich erst jetzt so richtig in den nächsten Monaten anfangen, den EHBA nun wirklich in Nutzung zu bringen.
Und in vielen Anleitungen zur Inbetriebnahme des EHBA steht das eben wie beschrieben von Ihnen noch nicht so klar drin- das wird uns noch vermutlich nicht unerheblich um die Ohren fliegen - und ich stimme Ihnen zu, es müsste viel stärker noch kommuniziert werden auf mehreren Ebenen, dass wir Ärzte hier damit ganz anders aufpassen müssen als mit jeder anderen PIN zuvor.
DIe Routinen sind ja vielfach, dass der Arzt sowas Neues und Komplexes aus dem Bereich IT an seine Verwaltungsfachkraft verantwortlich erstmal abgibt oder der gewohnte Systembetreuer, der immer alles macht, dann die Sache in die Hand kriegt und zum Laufen bekommen soll... und eigentlich darf nur er allein seine EHBA-QES-PIN wissen- die Message muss somit sein: diese PIN ist so geheim zu halten wie die von Deiner EC-Karte;-)
Und ja, die Flutung mit der Masse an PINs, Zugangsdaten im Zusammenhang mit der Telematik ist enorm: mit Erstinstallation Konnektor war ja das wichtige noch in der Regel gut auf Datenblättern vom sDVO zusammengefasst in der Praxis hinterlassen worden- ok , meiner hat es dann zunächst im Klartext auf dem Desktop meines Rechners zusätzlich hinterlegt- na ja, da hab ich andere Meinung dazu, da gehört es auch nicht hin, aber die Doku war und ist wenigstens da und war sehr gut und vorbildlich ausführlich- die weiteren Komponenten hingegen, sei es nun KIM oder eben wie beschrieben EHBA - alle erfordern weitere Passwörter- ggf. dann von anderen Anbietern als Konnektorhersteller- die dann auch nicht in die Ausgangsroutine ergänzt werden sondern irgendwo anders wieder wenn überhaupt liegen. Hinzu kommen die spontan erzwungenen PasswortÄnderungen, die grad dann wenn man es eilig hat, als Routine anfallen nach einiger Zeit oder auch nachträgliche Änderungen der Passwörter bei korrektiven Neuinstallationen ---und wehe man notiert sich davon was dann nicht ordentlich... Hier kommt umso mehr jetzt die Frage des systematischen Passwortmanagements zum Tragen, im Besonderne eben weil hier die Zugänge eben nicht einfach zurückgesetzt werden können im Ernstfall.
Gut wäre eine ergänzende herstellerunabhängige Check-Liste zur Info: was brauche ich und was muss ich Hüten wie meinen Augapfel- und dass dieser Umstand immer und immer wieder bei jeder Installation und neuen Komponente aktiv kommuniziert wird.
Und auch, dass wir auch passende Prozessbeschreibungen für Wiederherstellung Telematikstruktur mit Hinweis auf den Aufbewahrungsort der Zugangsdaten anfertigen dann und hinterlegen, am besten auch zusammen mit Backup Konfiguration Konnektor usw., um für sämtliche denkbaren Settings dann auch bestmöglich gerüstet zu sein, z.B. "Neueinrichtung KIM erforderlich wenn Server/Client neu aufgesetzt werden müssen", "Neustart nach geplanter Abschaltung oder Stromausfall in der Anlage" usw.