Technische Voraussetzungen für TI-Fachanwendungen

Damit TI-Fachanwendungen wie elektronische Patientenakte (ePA), E-Rezept, eAU oder das elektronische Beantragungs- und Genehmigungsverfahren (EBZ) funktionieren, müssen bestimmte technische Voraussetzungen in Ihrer Praxis erfüllt sein.

Tipp: In diesem Artikel finden Sie eine Übersicht der gemeinsam genutzten Basisvoraussetzungen. Details zu den fachanwendungsspezifischen Anforderungen finden Sie in den jeweiligen Hilfetexten.

Komponenten

Folgende Komponenten werden für Fachanwendungen in der Telematikinfrastruktur grundsätzlich benötigt:

E-Health-Konnektor
- Erforderlich für den Zugang zur Telematikinfrastruktur und zur Nutzung von Fachanwendungen (z.B. eAU, EBZ, E-Rezept, ePA, eMP, NFDM).
- Es gibt verschiedene Konnektortypen – z.B. Einbox-Konnektoren (EBK), Highspeed-Konnektoren (HSK) oder softwarebasierte TI-Gateways. Entscheidend ist, dass der eingesetzte Konnektor die jeweilige Fachanwendung unterstützt.
Elektronischer Praxisausweis (SMC-B)
- erforderlich für alle Fachanwendungen – muss ggf. in den Zahnarzt-Stammdaten hinterlegt sein
Elektronischer Heilberufsausweis (HBA)
- erforderlich für Anwendungen mit Signaturpflicht (z.B. eAU, E-Rezept, EBZ)
Stationäres E-Health-Kartenterminal
- Wird benötigt, um elektronische Gesundheitskarten (eGK), SMC-B-Karten oder HBA-Karten in der Praxis zu lesen.
KIM
- erforderlich für den Versand von KIM-Nachrichten (z.B. eAU, EBZ, Arztbriefe)
- Voraussetzungen:
  - Vertrag mit einem zugelassenen KIM-Anbieter
  - KIM-Clientmodul (Software) Ihres KIM-Anbieters
  - Eintrag als KIM-Teilnehmer im Verzeichnisdienst (VZD) der Telematikinfrastruktur

charly

Für die Nutzung von Fachanwendungen müssen bestimmte Konfigurationen in charly vorgenommen sein:

Lizenzen

Für jede Fachanwendung ist eine kostenpflichtige Lizenz der solutio GmbH & Co. KG freizuschalten. Die Freischaltung erfolgt in charly über die Menüleiste unter Hilfe > Zusätzliche Lizenzen.
TI-Anbindung

In charly-Web ist unter Administration > TI-Monitor ein Konnektor sowie mindestens ein Aufrufkontext konfiguriert.
SMC-B

In charly ist in den Stammdaten > Praxis > Zahnarzt > Reiter SMC-B (TI) die SMC-B-Karte hinterlegt.
- Gemeinschaftspraxis: Die SMC-B-Karte wird bei der Gemeinschaftspraxis hinterlegt und automatisch allen Behandlern zugeordnet.
- Einzelpraxis/Praxisgemeinschaft: Die jeweilige SMC-B-Karte muss pro Zahnarzt hinterlegt werden.
HBA

In charly-Web unter Administration > Signatur ist die HBA-Karte hinterlegt.
KIM-Konto (für Anwendungen mit KIM)

In charly-Web unter Administration > KIM-Konten muss mindestens ein Praxiskonto eingerichtet und mit der SMC-B-Karte verknüpft sein.

Unterschiede je nach Fachanwendung

Die folgende Übersicht zeigt, welche Konfigurationen für welche Fachanwendung erforderlich sind:

Fachanwendung	SMC-B in Stammdaten	KIM-Konto
eAU
EBZ
eMP
ePA
E-Rezept
NFDM

Server

Für den sicheren Zugriff auf TI-Fachanwendungen müssen auf dem charly-Server folgende technische Voraussetzungen erfüllt sein:

DNS-Voraussetzungen prüfen

Die Namensauflösung über den Praxis-DNS-Server muss korrekt eingerichtet sein, damit TI-Fachdienste erreichbar sind.

Siehe DNS-Voraussetzungen für TI-Fachdienste.
Route zum IDP-Service konfigurieren

Damit Fachanwendungen wie ePA oder E-Rezept auf den IDP-Service der TI zugreifen können, muss eine Route zum IDP eingerichtet sein.

Siehe Konfiguration der Route.
Systemzeit prüfen

Die Systemzeit des Servers muss synchron zur Referenzzeit der Telematikinfrastruktur laufen. Abweichungen von mehr als 4,5 Minuten verhindern die Nutzung vieler Fachanwendungen.

Siehe Konfiguration der Systemzeit.

DNS-Voraussetzungen für TI-Fachdienste

Damit Anwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept funktionieren, müssen die Hostnamen der zugehörigen TI-Fachdienste korrekt aufgelöst werden können. Dies geschieht über den DNS-Dienst, der typischerweise durch folgende Komponenten bereitgestellt wird:

Router oder Firewall
Domain-Controller / Active Directory
lokaler DNS-Dienst auf dem Server
oder öffentliche DNS-Resolver

Hinweis: Die TI-Grundverbindung (Konnektor ↔ TI) ist davon nicht betroffen.

DNS wirkt sich ausschließlich auf die TI-Fachdienste aus, wie:

ePA
E-Rezept
IDP-Dienst der TI (Identitäts- und Authentifizierungsdienst)
weitere offene Fachdienste der TI

Wenn TI-Fachdienste nicht funktionieren, obwohl der Konnektor „verbunden“ anzeigt, liegt die Ursache häufig in der DNS-Auflösung.

Warum ist DNS für TI-Fachdienste wichtig?

Die ePA-Aktensysteme, der IDP-Dienst (Authentifizierung), der E-Rezept-Fachdienst sowie der TSL-Downloaddienst werden über öffentliche Hostnamen angesprochen.

Kann der DNS-Dienst diese Hostnamen nicht auflösen, schlagen die Fachdienste fehl, obwohl:

die Internetverbindung funktioniert
die Route korrekt gesetzt ist
der Konnektor eine erfolgreiche TI-Verbindung anzeigt

Hostnamen der Telematikinfrastruktur

Folgende Hostnamen müssen laut gematik erreichbar und auflösbar sein:

https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration
https://epa-as-1.prod.epa4all.de
https://epa-as-2.prod.epa4all.de
https://erp.zentral.erp.splitdns.ti-dienste.de
https://download.tsl.ti-dienste.de/ECC/ECC-RSA_TSL.xml

Hinweis: In der OpenID-Konfiguration können dynamisch weitere Hostnamen enthalten sein.

Die gematik weist darauf hin, dass sich Hostnamen jederzeit ändern oder erweitert werden können.

Prüfung der DNS-Auflösung

Die folgenden Schritte helfen dabei festzustellen, ob die TI-Fachdienste durch den DNS-Dienst korrekt aufgelöst werden.

1. Verwendeten DNS-Server ermitteln

Windows
```
ipconfig /all
```
macOS
```
scutil --dns
```

Der Abschnitt „DNS-Server“ oder „nameserver“ zeigt an, welcher DNS-Dienst genutzt wird (z.B. Firewall, Router, Domain-Controller).

2. Allgemeine DNS-Auflösung prüfen

Windows und macOS identisch

nslookup epa-as-1.prod.epa4all.de
nslookup epa-as-2.prod.epa4all.de
                            

Wenn „Server failed“ oder „Non-existent domain“ zurückgegeben wird, kann der DNS die TI-Hostnamen nicht auflösen.

3. Falls vorhanden: Gezielte Abfrage über den lokalen DNS-Server

Tipp: Relevant, wenn z.B. Domain-Controller oder Firewall als DNS agieren.

Prüfen sie, ob der lokale DNS-Dienst die Hostnamen korrekt auflösen kann.

Ersetzen Sie <ip-adresse-des-dns-servers> durch die tatsächliche IP des DNS-Servers der Praxis:

Windows und macOS identisch

nslookup epa-as-1.prod.epa4all.de <ip-adresse-des-dns-servers>
nslookup epa-as-2.prod.epa4all.de <ip-adresse-des-dns-servers>
                            

Wenn keine IP-Adresse zurückgegeben wird, kann der Hostname nicht aufgelöst werden. In diesem Fall ist eine Anpassung der DNS-Konfiguration erforderlich.

Wenn externe DNS-Forwarder nicht erlaubt sind, müssen die Hostnamen manuell im DNS-Manager hinterlegt werden.

Zusammenhang mit der Routen-Konfiguration

Die Routen zu offenen Fachdiensten, aAdG und NetG-TI können laut gematik zusammengefasst werden:

100.102.0.0/15

Eine korrekt gesetzte Route und eine funktionierende DNS-Auflösung sind beide Voraussetzungen.

Wenn DNS nicht funktioniert, können die Fachdienste nicht erreicht werden, obwohl die TI-Verbindung selbst in Ordnung ist.

Konfiguration der Route

Damit Anwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept funktionieren, muss charly den IDP-Service (Identity Provider) der Telematikinfrastruktur erreichen können.

Der IDP-Service bestätigt die Identität von Praxen und medizinischem Personal – und ist damit eine zentrale Voraussetzung für den Zugriff auf viele TI-Anwendungen.

Um die Verbindung herzustellen, muss auf dem charly-Server eine Route zum IDP-Service konfiguriert werden.

IDP-Service-Erreichbarkeit prüfen

In der Perspektive Administration > Dashboard „Administration“ steht das Widget „TI-Infrastruktur-Check“ zur Verfügung. Unter dem Punkt „IDP-Route“ wird angezeigt, ob die Route korrekt gesetzt ist.

Wenn die IDP-Route mit einem grünen Haken angezeigt wird, wurde die Route korrekt gesetzt. Ein rotes Kreuz bedeutet, dass der IDP-Service nicht erreichbar ist – in diesem Fall prüfen Sie bitte die Konfiguration der Route auf dem charly-Server.

Wenn die IDP-Route mit einem grünen Haken angezeigt wird, wurde die Route korrekt gesetzt.

Ein rotes Kreuz bedeutet, dass der IDP-Service nicht erreichbar ist – prüfen Sie in diesem Fall die Konfiguration der Route auf dem charly-Server.

Tipp: Die Route zum IDP-Service wird von mehreren TI-Fachanwendungen verwendet.

Wenn die Route bereits für eine andere TI-Anwendung eingerichtet wurde, muss sie nicht erneut konfiguriert werden.

Route konfigurieren

Windows
1. Öffnen Sie die Kommandozeile als Administrator.
2. Führen Sie folgenden Befehl aus:
  route -p add 100.102.0.0 mask 255.255.0.0 <IHRE_KONNEKTOR_IP>
  Ersetzen Sie <IHRE_KONNEKTOR_IP> mit Ihren spezifischen Daten.
macOS
1. Öffnen Sie das Terminal.
2. Führen Sie folgenden Befehl mit Adminrechten aus:
  sudo networksetup -setadditionalroutes <IHR_NETZWERK_ADAPTERNAME> 100.102.0.0 255.255.0.0 <IHRE_KONNEKTOR_IP>
  Ersetzen Sie <IHRE_KONNEKTOR_IP> und <IHR_NETZWERKADAPTERNAME> mit Ihren spezifischen Daten.
charly-VM

Folgen Sie der Anleitung "Telematikinfrastruktur (TI) für charly VM"
- Anleitung für Windows
- Anleitung für macOS

Konfiguration der Systemzeit

Für den Zugriff auf Fachanwendungen wie die elektronische Patientenakte (ePA) oder das E-Rezept muss die Systemzeit des charly-Servers mit der Referenzzeit der Telematikinfrastruktur übereinstimmen.

Bereits eine Abweichung von mehr als 4,5 Minuten kann die Anmeldung verhindern.

Hintergrund: Warum ist die Systemzeit so wichtig?

Die gesamte Telematikinfrastruktur (TI) verwendet die Zeitserver der Physikalisch-Technischen Bundesanstalt (PTB) als verbindliche Zeitbasis.

Bei jedem Zugriff auf TI-Dienste erfolgt ein Abgleich zwischen:

der Systemzeit des charly-Servers
der Zeit des Identitätsproviders (IDP) der TI
den PTB-Zeitservern

Der IDP ist der zentrale TI-Dienst, der u.a. für die Anmeldung und Authentifizierung für ePA und E-Rezept zuständig ist.

Weicht die Serverzeit von der PTB-Zeit ab, ist eine Anmeldung nicht möglich.

Systemzeit in charly prüfen

In der Perspektive Administration > Dashboard „Administration“ steht das Widget „TI-Infrastruktur-Check“ zur Verfügung. Unter dem Punkt „Systemzeit“ wird angezeigt, ob die Systemzeit des Servers mit der PTB-Zeit übereinstimmt.

Eine zu große Abweichung wird als Fehler dargestellt.

Hinweis: Der Systemzeit-Check kann in den Einstellungen bei Bedarf deaktiviert werden – etwa wenn der charly-Server keine Internetverbindung hat und daher kein Abgleich mit dem IDP-Zeitserver möglich ist.

Für weitere Informationen siehe Systemzeit-Check.

Hinweis zur Zeitquelle

Die Synchronität wird anhand der offiziellen NTP-Zeitservern der Physikalisch-Technischen Bundesanstalt (PTB) überprüft:

ptbtime1.ptb.de
ptbtime2.ptb.de
ptbtime3.ptb.de
ptbtime4.ptb.de

Diese Server müssen vom charly-Server erreichbar sein.

Hinweis für Systembetreuer: Firewall-Freigaben

Damit die Zeitsynchronisation funktioniert, müssen in der Praxis-Firewall die oben genannten Hostnamen freigegeben sein.

Die Kommunikation mit den PTB-Zeitservern erfolgt über den UDP-Port 123.

Zeitsynchronisation des Servers

Achten Sie darauf, dass der charly-Server eine stabile Zeitsynchronisation über einen NTP-Dienst verwendet.

Wir empfehlen, die automatische Zeiteinstellung zu aktivieren, um Zeitabweichungen zur Referenzzeit der Telematikinfrastruktur zu vermeiden.

Zusammenhang mit dem E-Health-Gateway-Service

Wenn die Praxis einen lokalen NTP-Zeitserver verwendet (z.B. einen Domain-Controller), muss dieser zusätzlich im E-Health-Gateway-Service eingetragen werden, damit der Dienst dieselbe Zeitquelle nutzt.

Dies ist besonders wichtig, da eine fehlende oder abweichende Zeitsynchronisation die Erstellung von E-Rezepten bzw. den Zugriff auf eine ePA-Akte verhindert.

Konfiguration in der application.yml im conf2-Verzeichnis
```
de.solutio.ncjs.ehealth.infrastructure.time-sync-addresses: <IP-Adresse Zeitserver>
```
Nach der Änderung muss der E-Health-Gateway-Service neu gestartet werden.

Erreichbarkeit der PTB-Server prüfen

Windows

w32tm /stripchart /computer:ptbtime1.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime2.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime3.ptb.de /dataonly /samples:3
w32tm /stripchart /computer:ptbtime4.ptb.de /dataonly /samples:3
                                    

macOS

sntp ptbtime1.ptb.de
sntp ptbtime2.ptb.de
sntp ptbtime3.ptb.de
sntp ptbtime4.ptb.de
                                    

Wenn stabile Werte zurückgegeben werden, ist der Zeitserver erreichbar.