Auf dieser Seite erhalten Sie eine Übersicht über die QES- und nonQES-Verfahren. Nutzen Sie als Orientierungshilfe zur ECC-Migration gerne unsere Umstellungsleitfäden: eRezept, ePA, KIM und NFDM.
Zertifikate auf HBA und SMC-B
| Kartentyp | Zertifikatstyp | Bezeichnung | Zweck | Qualifikation |
|---|---|---|---|---|
| HBA | AUT | C.HP.AUT | Authentisierung | nonQES |
| HBA | ENC | C.HP.ENC | Verschlüsselung | nonQES |
| HBA | QES | C.HP.QES | Qualifizierte Elektronische Signatur | QES |
| SMC-B | AUT | C.HCI.AUT | Authentisierung | nonQES |
| SMC-B | ENC | C.HCI.ENC | Verschlüsselung | nonQES |
| SMC-B | OSIG | C.HCI.OSIG | Organisationssignatur | nonQES |
Konnektor-Schnittstellen mit HBA/SMC-B Nutzung
| Service | Operation | Verwendetes Zertifikat | Verwendungszweck |
|---|---|---|---|
| CertificateService | ReadCardCertificate | AUT, ENC, QES (HBA) AUT, ENC, OSIG (SMC-B) | Auslesen von Kartenzertifikaten |
| CertificateService | VerifyCertificate | Alle Zertifikatstypen | Prüfung gegen TI-Vertrauensraum, Online-Sperrstatus-Prüfung, Bereitstellung technische Rolle |
| CertificateService | CheckCertificateExpiration | Alle Zertifikatstypen | Prüfung der Gültigkeit |
| SignatureService | SignDocument | QES (HBA) OSIG (SMC-B) | Elektronisches Signieren von Dokumenten (CAdES, XAdES, PAdES) |
| SignatureService | VerifyDocument | QES, OSIG | Signaturprüfung |
| SignatureService | ActivateComfortSignature | QES (HBA) | Aktivierung Komfortsignatur (mehrfache Signatur ohne PIN) |
| SignatureService | DeactivateComfortSignature | QES (HBA) | Deaktivierung Komfortsignatur |
| SignatureService | GetSignatureMode | QES (HBA) | Status der Komfortsignatur abfragen |
| AuthSignatureService | ExternalAuthenticate | AUT (HBA) AUT (SMC-B) | IDP-Challenge signieren für Authentifizierung (ePA, E-Rezept, Organspendeportal, Authenticator) |
| EncryptionService | EncryptDocument | ENC (HBA) ENC (SMC-B) | Dokumente verschlüsseln |
| EncryptionService | DecryptDocument | ENC (HBA) ENC (SMC-B) | Dokumente entschlüsseln |
TI-Anwendungsfälle mit Zertifikaten
| Use-Case | Konnektor-Operationen | HBA Zertifikate | SMC-B Zertifikate | Anmerkungen |
|---|---|---|---|---|
| 1. Registrierung am TI-VPN-Zugangsdienst | Interne Nutzung der SMC-B | - | AUT (nonQES), OSIG (nonQES) | SMC-B identifiziert Institution, Pflicht für TI-Zugang, mind. 1 SMC-B pro Einrichtung erforderlich |
| 2. KIM Versand | ReadCardCertificate, EncryptDocument, SignDocument | ENC (nonQES) [selten] | AUT (nonQES), ENC (nonQES), OSIG (nonQES) | Standard: Institutionelles Postfach mit SMC-B, Ende-zu-Ende-Verschlüsselung, OSIG für technische Signatur |
| 3. KIM Empfang | ReadCardCertificate, DecryptDocument, VerifyDocument | ENC (nonQES) [selten] | AUT (nonQES), ENC (nonQES), OSIG (nonQES) | Entschlüsselung mit eigenem ENC-Schlüssel, Signaturprüfung des Absenders |
| 4. eAU | SignDocument | QES | OSIG (nonQES) [Ausnahme Krankenhaus] | SMC-B nur in Ausnahmefällen (Krankenhaus) |
| 5. eArztbrief | SignDocument, EncryptDocument | QES | - | Vergütungsrelevant im ambulanten Sektor, QES-Signatur + Verschlüsselung für KIM-Versand |
| 6. E-Rezept Verordnung | ReadCardCertificate, ExternalAuthenticate, SignDocument, ActivateComfortSignature, DeactivateComfortSignature, GetSignatureMode | QES | AUT (nonQES) | IDP-Anmeldung mit SMC-B, Verordnung mit HBA-QES signieren, Komfortsignatur möglich (bis 250 Signaturen) |
| 7. E-Rezept Abgabe | ReadCardCertificate, ExternalAuthenticate, SignDocument, ActivateComfortSignature, DeactivateComfortSignature, GetSignatureMode | QES [Apotheker] ca 20% | AUT (nonQES) OSIG (nonQES) ca 80% | IDP-Anmeldung mit SMC-B, Dispensierdaten mit HBA-QES des Apothekers signieren, Komfortsignatur möglich (bis 250 Signaturen) Abgabedaten OSIG mit SMC-B signiert |
| 8. ePA Zugriff | ReadCardCertificate, ExternalAuthenticate | - | AUT (nonQES), | Kein QES erforderlich, IDP-Anmeldung mit SMC-B |
| 9. NFDM Anlegen | SignDocument, WriteNFD | QES | - | NFD mit HBA-QES signiert, auf eGK gespeichert, Patient mus Zustimmung geben |
| 10. NFDM Lesen | ReadNFD, VerifyDocument | QES | - | EmergencyIndicator/UpdateIndicator steuern Berechtigungen, PIN-Eingabe je nach Szenario, QES-Signatur wird geprüft aber kann ohne Karte funktionieren |
| 11. VSDM Abrufen | Interne Nutzung der SMC-B | - | AUT (nonQES) | Online-Prüfung des Versichertenstatus, Aktualisierung der eGK-Daten, Authentisierung mit SMC-B am Intermediär VSDM |