apraxostux

Author: Dr. med Claudia Neumann
© 2022 Dr. Claudia Neumann

Update: 19.6.2022

Die Versendung der eAU an die Krankenkassen soll ab 1.7.2022 für alle Ärzte verpflichtend werden. Ob dieser Termin gehalten werden kann, ist nicht sicher. Es sind zur Zeit keine Sanktionen bei Nichtversendung der eAU vorgesehen. Die gelben AU-Formulare können ab 1.7.2022 nicht mehr bestellt werden.

Für die Einrichtung auf Linux für apraxos sind einige Konfigurationsschritte erforderlich, die ich hier Schritt für Schritt durchgehen möchte.

Umstellungen im Konnektor

Wenn noch nicht geschehen, sollte die Verbindung zum Konnektor auf TLS mit Benutzer und Passwort, wie in der IT-Sicherheitsrichtlinie der KBV empfohlen, umgestellt werden.

Hierfür loggen Sie sich auf der Konnektor-Administrations-Webseite https://<IP-Adresse_der_KocoBox>:9443/administration/start.htm ein:

einreau1

Gehen Sie im linken Menü auf VerwaltungClientsysteme und konfigurieren Sie:

  • Verbindung nur via TLS: → ein

  • Authentisierung verpflichtend: → aktiviert

  • Authentisierungsmodus: → Benutzer / Passwort

  • Zugang für Clientsysteme: Legen Sie hier als Clientsystem apraxos an bzw. das, was Sie unter System / Einstellungen / VSDM/Konnektor / Zugangsdaten Konnektor unter Praxissoftware eingegeben haben. Sie können einen oder mehrere Benutzer mit Passwort anlegen. Benutzer und Passwort müssen entsprechend in apraxos konfiguriert werden.

Klicken Sie auf den Button Übernehmen.

In apraxos geben Sie unter System / Einstellungen / VSDM/Konnektor / Zugangsdaten Konnektor ein:

  • Verbindungsmethode Dienste-Verzeichnis 2 Port: 443

  • Verbindungsmethode Dienste 2 Port: 443

  • Benutzer: <den gerade im Konnektor angegebenen Benutzer>

  • Passwort: <das gerade im Konnektor angegebene Passwort>

Bestätigen Sie die weiteren Eintragungen. Kontrollieren Sie nun durch das Einlesen einer eGK, ob der VSDM klappt. Dann ist die Verbindung zum Konnektor auf TLS umgestellt.

Für weitere Konfigurationen müssen Client-Zertifikate im Konnektor generiert werden. Dazu kommen wir später.

Freischalten des eHBA (elektronischer Heilberufsausweis)

Nach Erhalt des eHBA müssen Sie diesen in der Regel auf der Webseite des Herstellers freischalten, damit er einsatzbereit ist.

Über apraxos können Sie die Transport-PINs des eHBAs ändern, indem Sie über System / Einstellungen / VSDM/Konnektor / SMC-B und HBA verwalten / PINs ändern gehen. Stecken Sie den eHBA in den dafür vorgesehen Kartenslot am Kartenterminal ein, beim Orga-Kartenterminal ist das der Slot an der rechten Seite. Sie haben von Ihrem Kartenhersteller zwei Blätter erhalten:

  • 1. Ein Blatt mit der Transport-PIN für den HBA-PIN.CH (allgemeine HBA-Funktionen). Dafür gibt es auch einen Entsperr-Code.

  • 2. Ein Blatt mit der Transport-PIN für den HBA-PIN.QES → Das ist die PIN für die qualifizierte Signatur. Dafür gibt es einen eigenen Entsperr-Code.

Sie dürfen beide PINs nicht durcheinander bringen!

Es ist besser, wenn am Kartenterminal das Gefauche für die PIN-Eingabe angestellt ist, damit Sie wissen, wann die PIN eingegeben werden muss.

Gehen Sie in apraxos auf System / Einstellungen / VSDM/Konnektor / SMC-B und HBA verwalten / PINs ändern / HBA-PIN.CH Transport-PIN ändern. apraxos verbindet sich zunächst mit dem Konnektor und sucht den HBA. Dann kommt die Meldung "HBA-PIN am Kartenterminal eingeben". Bestätigen Sie das mit Return. Das Kartenterminal beginnt zu rauschen. Geben Sie nun die richtige Transport-PIN am Kartenterminal ein und beenden Sie die Eingabe mit der Taste "OK". Nun müssen Sie eine neue PIN zweimal am Kartenterminal eingeben. Beenden Sie die Eingabe jeweils mit der Taste "OK".

Für die HBA-PIN.QES müssen Sie dasselbe nochmal machen.

Tipp: Sie können für den HBA-PIN.CH und den HBA-PIN.QES auch dieselbe PIN eingeben.

Damit ist der eHBA zunächst erstmal freigeschaltet. Notieren Sie die neuen PINs!

Die Konnektor-Konfiguration unter System / Einstellungen / VSDM/Konnektor / Zugangsdaten und Kartenterminal(s) zuordnen muss an jedem Client separat durchgeführt werden. Hier können unterschiedliche Einstellungen notwendig sein, z.B. wenn mehrere Ärzte in der Praxis arbeiten.

Für die Komfort-Signatur müssen Sie wieder auf dem Konnektor unter https://<IP-Adresse_der_KocoBox>:9443/administration/start.htm folgendes einstellen:

einreau2

Gehen Sie im linken Menü auf den untersten Menü-Punkt Signaturdienst. Konfigurieren Sie:

  • Einfachsignaturmodus: ein

  • Konfortsignaturmodus: aktiviert

  • Maximale Anzahl Komfortsignaturen: z.B. 200

  • Maximale Dauer Komfortsignaturen: z.B. 10 Stunden

Es können maximal 250 Signaturen für 24 Stunden gewählt werden. Danach muss die Komfortsignatur erneuert werden. Klicken Sie auf den Button Übernehmen.

Einrichtung des Formulars eAU

Die Techniker Krankenkasse hat dankenswerterweise Daten eines Testpatienten freigegeben, die zum Testen der eAU genutzt werden kann.

Legen Sie dafür manuell einen neuen Patienten mit den folgenden Daten an:

Nachname

TK-Mustermann

Vorname

Max

Geburtsdatum

01.01.1995

Straße

Bramfelder Str. 140

PLZ

22305

Ort

Hamburg

IK der TK

101575519

Versichertenstatus

1

Versicherten-Nr.

T555558879

Für die eAU müssen Sie folgende Debian-Pakete zusätzlich installieren:

  • wkhtmltopdf

  • libxml2-utils

  • xsltproc

Die eAU wird wie üblich als Blankoformular über System / Einstellungen / Formular / Standard / eAU eingerichtet. Laut KBV sollen die Formulare, auch Stylesheets genannt, auf weissem DIN A5- oder DIN A4-Papier ausgedruckt werden. Um nicht noch ein zusätzliches Fach für weisses Papier im Laserdrucker anlegen zu müssen, drucken viele Ärzte die Formulare auf das rosa DIN A5-KV-Papier aus. Dann gibt es auch keine Diskussionen mit dem Patienten, warum die AU auf einmal so anders aussieht. Für den Ausdruck muss entweder ein Laserdrucker oder ein hochwertiger Tintenstrahldrucker eingesetzt werden, da ein Stylesheet auf einem Nadeldrucker sehr lange für den Ausdruck brauchen würde.

Die eAU ist nur aufrufbar, wenn Sie für apraxos-Connect registriert sind. Melden Sie sich dafür bei Frau Dr. Neumann.

Rufen Sie nun den Patienten TK-Mustermann auf und gehen Sie auf Patient / Formulare / eAU.

einreau3

Sie füllen das Formular wie gewohnt aus:

Kästchen werden durch Klick ausgefüllt:

einreau4

Die kleinen Kästchen neben den Datumsfeldern dienen dazu, einen Kalender zu öffnen, um die Kalenderdaten zu übernehmen.

einreau5

Bei Klick auf Diagnosen in der Menü-Leiste können Diagnosen aus der Patientenkartei, aus der eigenen Diagnosen-Datenbank oder aus der ICD-10-Datenbank übernommen werden.

einreau6

Mit Klick auf Reproduktion wird die letzte eAU übernommen, mit Klick auf Vorige wird eine Liste der früheren eAUs zur Auswahl angezeigt.

Ist die eAU ausgefüllt, klickt man auf Drucken in der Menü-Leiste. Damit wird das Stylesheet des Krankenkassen-Exemplars zur Kontrolle angezeigt.

einreau7

Sie könnten die eAU so ausdrucken. Dafür klicken Sie auf Drucken in der Menü-Leiste. Damit werden die 3 Stylesheets der eAU ausgedruckt.

einreau8

Die 3 Stylesheets sollen Sie auch ausdrucken, wenn die Verbindung zur TI gestört ist oder ein sonstiger Fehler dazu führt, dass die eAU nicht versandt werden kann. Bis zum 1.7.2022 können Sie diese Stylesheets dem Patienten übergeben, der dann für die Weiterleitung des Krankenkassen-Exemplars der eAU an die Krankenkasse verantwortlich ist.

Die Signatur der eAU

Die eAU soll mit dem eHBA signiert werden, da nur damit eine qualifizierte Signatur durchgeführt werden kann. Es ist auch möglich, mit dem SMC-B die eAU zu signieren. Das sollte aber die Ausnahme bleiben, falls der eHBA nicht in Ordnung oder verloren gegangen ist, und dann nur für den Zeitraum, bis ein neuer eHBA geliefert wurde.

Der eHBA muss in einem Kartenterminal stecken, der vom Konnektor erreichbar ist. Gleichzeitig darf der eHBA nicht unbeaufsichtigt in einem Kartenterminal z.B. im Sprechzimmer stecken, um einen möglichen Mißbrauch zu verhindern. Denken Sie immer daran, dass die Signatur Ihrer Unterschrift entspricht. Der Arzt müsste bei mehreren Kartenterminals den eHBA also immer wieder von einem Sprechzimmer ins nächste mitnehmen. Die Komfort-Signatur soll hier Abhilfe schaffen. Wenn eine Komfort-Signatur eingerichtet ist, muss der eHBA in dem angemeldeten Kartenterminal stecken bleiben. Wird der eHBA gezogen oder das Kartenterminal neu gebootet, wird die Komfort-Signatur ungültig und muss erneuert werden.

Ein Problem sind zur Zeit die Einlesefehler der eGKs mit NFC-Zeichen, die zur Deaktivierung des SMC-Bs führt. Wenn dann das Kartenterminal stromlos gemacht wird, ist die Komfort-Signatur ungültig. Man kann dieses Problem umgehen, indem man nach einem Einlesefehler der eGK nur den SMC-B aus dem entsprechenden Kartenslot z.B. mit einer Büroklammer kurz herausgedrückt, dann wieder einsteckt und den SMC-B über apraxos freigeschaltet. Dann bleibt die Komfort-Signatur gültig.

Mit der Komfort-Signatur benötigen Sie zunächst kein weiteres Kartenterminal, da das Kartenterminal an der Anmeldung normalerweise immer beaufsichtigt wird. 2025 soll die TI 2.0 kommen, bei der keine Kartenterminals mehr notwendig sein sollen. Sind mehrere Ärzte in einer Praxis tätig, ist ein weiteres Kartenterminal für 2 weitere Ärzte erforderlich, um dort die eHBAs stecken zu können.

Ist keine gültige Komfort-Signatur eingerichtet, kann normal signiert werden. Dafür muss aber für jede Signatur die eHBA-PIN.QES am Kartenterminal eingegeben werden.

Sie richten eine Komfort-Signatur in apraxos ein, indem Sie System / Einstellungen / VSDM/Konnektor / SMC-B oder HBA verwalten / HBA-Komfortsignatur freischalten aufrufen:

einreau9

Legen Sie ein Passwort für die Komfort-Signatur mit dem eHBA fest und klicken Sie auf weiter. Am Kartenterminal müssen Sie nun die HBA-PIN.QES eingeben.

einreau10

Damit ist die Komfort-Signatur mit diesem Passwort eingerichtet. Das kann morgens beim Einstecken des eHBA ins Kartenterminal passieren.

einreau11

Wir haben die eAU für den Patienten TK-Mustermann ausgefüllt und haben auf Drucken geklickt. Das Stylesheet des Krankenkassen-Exemplar wird angezeigt. Wenn Alles in Ordnung ist, können Sie die Konfort-Signatur diese eAU mit Klick auf Signieren anstossen.

einreau12

Es öffnet sich ein Fenster zur Eingabe des Passworts für die Komfort-Signatur. Geben Sie das Passwort ein und klicken Sie auf weiter. Warten Sie die nächste Meldung ab.

einreau13

Die eAU ist damit signiert.

Konfiguration des Konnektor-Zugangs zum Verzeichnisdienst (VZD) über LDAPs

Für den Versand von Emails über den KIM-Dienst und den Konnektor in die Telematik Infrastruktur muss die TI-Email-Adresse des Empfängers im Verzeichnisdienst (VZD) der TI über LDAPs abgefragt werden können. D.h. die TI-Email-Adresse der Krankenkasse des Versicherten muss ermittelt werden, in der Regel über die IKNR der Krankenkasse. Die Suche der Krankenkassen-TI-Email-Adresse gestaltet sich teilweise als schwierig, denn die Einträge der Krankenkassen im VZD sind zum Teil kryptisch. Ist die eGK des Patienten eingelesen, sollte die TI-Email-Adresse der Krankenkasse gefunden werden. Sind die Daten des Patienten von Hand eingegeben worden, kann das Auffinden der Krankenkasse-TI-Email-Adresse fehlschlagen.

Ein Problem ergibt sich daraus, dass nicht wie bisher beim Wechsel der Krankenkasse des Patienten eine AU von der bisherigen Krankenkasse an die neue Krankenkasse weitergeleitet wird. In Zukunft soll es so sein, dass die alte Krankenkasse eine an sie versendete eAU einfach mit einem Fehler 101 (Patient nicht bei der Krankenkasse versichert) quittiert. Der Patient hat aber noch keine neue eGK und die TI-Email-Adresse der neuen Krankenkasse ist womöglich nicht über den VZD ermittelbar. Was dann zu tun ist, ist noch nicht klar.

Wenn die Kommunikation mit dem Konnektor auf TLS umgestellt wurde, muss sich ein Client für die LDAP-Suche über ein Client-Zertifikat gegenüber dem Konnektor authentifizieren. Das Client-Zertifikat für LDAPs wird über die Konnektor-Administrations-Webseite https://<IP-Adresse_der_KocoBox>:9443/administration/start.htm erstellt. Gehen Sie, wie schon oben beschrieben, im linken Menü auf VerwaltungClientsysteme:

einreau31

Klicken Sie auf Zugangszertifikat hinzufügen.

einreau32

Geben Sie dort ldap ein und klicken Sie auf OK. Sie können nun eine Datei ldap.zip downloaden. Speichern Sie diese Datei unter <apraxos-Hauptverzeichnis>/ti/cert ab. Falls Sie nicht nach dem Download-Ort gefragt werden, finden Sie die Datei ldap.zip typischerweise im Verzeichnis <Home-Verzeichnis>/Downloads. Kopieren Sie die Datei nach <apraxos-Hauptverzeichnis>/ti/cert und entzippen Sie die Datei in diesem Verzeichnis. Die Datei enthält eine Datei ldap.p12 und eine Datei password.txt.

Für die LDAP-Suche muss das ldap.p12-Zertifikat in ein ldap.pem-Zertifikat und eine ldap.key-Datei umgewandelt werden. Dafür wird openssl benutzt: Auf der Konsole im Verzeichnis <apraxos-Hauptverzeichnis>/ti/cert geben Sie ein:

openssl pkcs12 -in ldap.p12 -out ldap.pem -nodes

Es wird nach dem Passwort gefragt. Das Passwort finden Sie in der Datei password.txt. Sinnvoll ist, dieses Passwort in die Zwischenablage zu kopieren und dann in die Passwort-Abfrage hineinzukopieren. Die Passwort-Datei sollten Sie nicht in diesem Verzeichnis lassen. Notieren Sie das Passwort und löschen die Datei in diesem Verzeichnis. Als nächstes geben Sie ein:

openssl pkcs12 -in ldap.p12 -out ldap.key -nodes -nocerts

Es erfolgt wieder die Passwort-Abfrage.

Im Unterverzeichnis ti/cert sollte sich bereits das Server-Zertifikat konnektor.crt befinden. Dieses Zertifikat muss mit

openssl x509 -in konnektor.crt -out server.pem

in das PEM-Zertifikat umgewandelt werden. Dabei gibt es keine Passwort-Abfrage.

Nun haben Sie die Zertifikate für die LDAPs-Abfrage über TLS.

Einrichtung eines KIM-Dienstes

Es gibt zwei KIM-Dienste, die auf Linux laufen. Beide Dienste sind explizit für (K)Ubuntu eingerichtet. Mit viel Mühe könnte man die Dienste auf Debian Linux einrichten. Allerdings ist es aus Sicherheitsgründen empfehlenswert, den KIM-Dienst, sei es kv.dox oder den CGM-KIM-Client, nicht auf dem Server sondern auf einem eigenen Rechner oder in einer virtualbox auf (K)Ubuntu zu installieren.

Gründe hierfür sind:

  • der kv.dox-KIM-Client ist ein Mail-Transfer-Agent. Ein Mail-Transfer-Agent sollte nicht mit root-Rechten laufen. Der kv.dox-KIM-Client verlangt allerdings ausdrücklich root-Rechte. Damit ist dieser Dienst eine Sicherheitslücke. Der KIM-Client kostet 6,55 € zuzügl MWSt. pro Monat. Das entspricht der Erstattungspauschale von 23,40 € = 3*7,80 € = 3*6,55 Euro zuzügl. MWSt. Für 3 Monate kommt allerdings eine Administrationspauschale von 3,03 € + MWSt. hinzu, die nicht von der Erstattungspauschale abgedeckt ist. Die Bestellung des kv.dox-KIM-Client beinhaltet eine KIM-Adresse, unbegrenzten Traffik und den technischen Support. Den kv.dox-Mail-Client gibt es für Linux nicht. Das übernimmt das kim-Modul von apraxos. Weitere KIM-Adressen kosten ebenfalls 6,55 € zuzügl. MWSt. Für die Einrichtung erhalten Sie als Erstattung eine Pauschale von 100 €.

  • der CGM-KIM-Client verlangt zwar auch bei der Installation root-Rechte. Für den täglichen Betrieb kann er aber als normaler User laufen. Der KIM-Client kostet 6,55 € zuzügl. MSWt. pro Monat. Das entspricht der Erstattungspauschale von 23,40 € = 3*7,80 € = 3*6,55 Euro zuzügl. MWSt. Die Bestellung des kv.dox-KIM-Client beinhaltet eine KIM-Adresse, 2 GB Traffik, was für die Versendung von eAUs und später auch von eArztbriefen ausreichen sollte, und den technischen Support. Es könnte in Zukunft eine Bereitstellungspauschale in Höhe von 84,03 € zuzügl. MWSt. hinzukommen, was der Installationspausche entspricht. Für weitere KIM-Email-Adressen werden 0,49 € zuzügl. MWSt. pro Monat berechnet. Es kann auch ein höheres Datenvolumen bestellt werden. Diese Optionen können aber auch nachbestellt werden.

  • ein KIM-Client nimmt die verschlüsselten Mails aus der TI an. Es ist blauäugig, zu glauben, es könnten keine Viren-, Würmer- oder Trojaner-Mails über die TI versendet werden. Der KIM-Client entschlüsselt die Mails, checkt sie aber nicht auf Malware. Daher sollte der KIM-Dienst und die Mail-Verarbeitung nicht direkt auf dem Server laufen, auch wenn es ein Linux-Server ist.

  • die KIM-Clients sind monatlich kündbar. Man kann also von einem Anbieter zum nächsten Anbieter wechseln. Allerdings kann man seine KIM-Email-Adresse dann nicht mitnehmen.

Installieren Sie Kubuntu, zur Zeit 20.04.3 mit LTS (Long term support), auf einem Rechner oder in virtualbox. Der Rechner kann als normaler apraxos-Client laufen. Da der Rechner ausschließlich eine SSH-Verbindung zum Server hat, sollte das kein Risikofaktor sein.

Der kv.dox-KIM-Client

Den kv.dox-KIM-Client bestellen Sie über https://kvdox.akquinet.de/.

Wenn Sie den kv.dox-KIM-Client bestellt haben, können Sie unter https://kvdox.akquinet.de/customer/installation das Debian-Paket für Ubuntu Installation_kv.dox_KIM_Clientmodul_1.1.1-6_x64.deb herunterladen. Allerdings scheint diese Version Probleme zu haben, den SMC-B oder einen eHBA zu erkennen, sodass damit die Konfiguration nicht beendet werden kann. Die Konfiguration funktioniert allerdings mit der Version 1.1.1.5, die Sie im DVD/SON-Verzeichnis finden. Kopieren Sie das Debian-Paket Installation_kv.dox_KIM_Clientmodul_1.1.1-5_x64.deb auf den Kubuntu-Rechner und installieren Sie das Paket mit:

dpkg -i Installation_kv.dox_KIM_Clientmodul_1.1.1-5_x64.deb

evtl. muss zusätzlich das Paket net-tools installiert werden:

apt install net-tools

Damit läuft der kv.dox-KIM-Client im Hintergrund als root-Prozess und wird bei jedem Start des Rechner ebenfalls gestartet.

Zur Konfiguration des kv.dox-KIM-Client dient ein Web-Interface. Dafür starten Sie den firefox und geben in der Adresszeile ein:

https://localhost:4443
einreau14

Beim Aufruf des Web-Interfaces kommt es zunächst zu dieser Sicherheitsmeldung, da der kv.dox-KIM-Client kein offizielles Zertifikat hat. Klicken Sie auf Erweitert.

einreau15

Klicken Sie auf Risiko akzeptieren und fortfahren.

einreau16

Legen Sie hier ein Passwort für die Administration des kv.dox-KIM-Client an. Das Passwort muss mindestens 8 Zeichen mit jeweils mindestens einem Kleinbuchstaben, Großbuchstaben, Sonderzeichen und einer Ziffer enthalten. Das Passwort müssen Sie zweimal eingeben. Notieren Sie das Passwort.

einreau17

Um mit der Konfiguration beginnen zu können, geben Sie oben rechts das eben vergebene Passwort ein und klicken Sie auf Anmelden.

einreau18

Nun erhalten Sie Informationen zum Konfigurationsprozess. Lesen Sie sich den Text durch. Scrollen Sie dabei weiter nach unten.

einreau19

Erst wenn Sie ganz nach unten gescrollt sind, kommen Sie an den Button Fortfahren. Klicken Sie auf diesen Button.

einreau20

Sie könnten nun auf den Button Einrichtungsassistent starten klicken. Leider kann der Einrichtungsassistent nur eine Konnektor-Verbindung ohne TLS konfigurieren, sodass Sie dort bereits scheitern werden.

einreau21

Brechen Sie also den Einrichtungsassistenten ab oder wählen Sie direkt Einrichtung überspringen.

einreau22

Wählen Sie hier Fortfahren.

einreau23

Rechts im Fenster finden Sie Erklärungen, was nicht funktioniert hat.

einreau24

Gehen Sie oben auf den Button Navigation und wählen Sie im Drop-Down-Menü Konfiguration.

einreau25
einreau26

Wählen Sie hier zuerst TI-Konnektor, indem Sie rechts auf das Plus-Zeichen klicken.

Anstelle von https://fqdn:443/connector.sds geben Sie hier Ihre Konnektor-IP-Adresse ein: z.B. https://192.168.1.5:443/connector.sds.

einreau27

Wählen Sie bei Authentifizierungsmoethode Benutzername/Passwort.

einreau28

Sie werden zum Speichern der Konfiguration angehalten. Klicken Sie auf Fortfahren. Es kommt wieder zu der Fehlermeldung, dass der Konnektor nicht erreichbar ist. Kann auch nicht, da wir Benutzernamen und Passwort noch nicht eingegeben haben.

einreau29

Klicken Sie unter Clientsystem-ID auf den Button HINZUFÜGEN.

einreau30

Sie benötigen hier ebenfalls ein Client-Zertifikat des Konnektors für die LDAP-Suche. Kopieren Sie das oben angelegte ldap.p12-Zertifikat auf den Kubuntu-Rechner z.B. in ein neu angelegtes Verzeichnis /home/praxis/pki.

einreau33

Klicken Sie auf Durchsuchen und wählen Sie das ldap.p12-Zertifikat im Verzeichnis /home/praxis/pki aus. Geben Sie das ldap-Passwort aus der passwort.txt-Datei unter Passwort ein und klicken Sie auf SPEICHERN.

einreau34

Hier ist die Zertifikatsdatei akzeptiert worden. Klicken Sie nun auf Konfiguration TI-Konnektor speichern. Es kommt folgende Meldung:

einreau35

Diese Meldung bedeutet, dass Sie den kv.dox-KIM-Dienst neu starten sollen, damit die Konfigurationsänderungen übernommen werden. Geben Sie auf der Kommandozeile ein:

sudo systemctl restart kim.clientmodul.applicationservice.service

Damit wird der kv.dox-KIM-Dienst neu gestartet.

einreau36

Gehen Sie nun über NAVIGATION oben links auf Account Manager.

einreau37

In einem neue Tab öffnet sich der Account Manager. Sie müssen sich hier erst mit Ihrem Login-Passwort anmelden.

einreau38

Klicken Sie auf links oben Einrichtung Clientmodul

einreau39

Geben Sie Zugangsdaten zum Konnektor entsprechend der Angaben, die Sie in apraxos gemacht haben, ein. Dabei entspricht

  • Mandant-ID → BSNR-ID

  • Clientsystem-ID → Praxissoftware (apraxos)

  • Arbeitsplatz-ID → Arbeitsplatz

  • User-ID → hier ist es sinnvoll, den Namen einzugeben, der dem SMC-B zugeordnet ist. Wird aber der nächsten Auswahl aber auch korrigiert.

Klicken Sie auf Karten laden.

Falls im Kartenterminal nur der SMC-B steckt, wird automatisch der SMC-B als Verifikationsmerkmal übernommen. Sollte der SMC-B nicht freigeschaltet sein, werden Sie zur Eingabe des SMC-B-PINs am Kartenterminal aufgefordert. Ist auch ein eHBA im Kartenterminal gesteckt, könnten Sie auch den eHBA als Verifikationsmerkmal einsetzen. Das ist aber nicht sinnvoll, da Sie den KIM-Dienst dann nur mit gestecktem eHBA benutzen können. Der eHBA sollte nicht als Verifikationsmerkmal für die KIM-Dienst eingesetzt werden.

einreau40

Geben Sie nochmal das Clientmodul-Administrator-Passwort ein und klicken Sie auf ZERTIFIKAT ERSTELLEN UND IN CLIENTMODUL HOCHLADEN

Wenn das erfolgreich beendet wurde, können Sie sich rechts vom Account Manager abmelden.

Sie müssen nun nochmal den kv.dox-KIM-Dienst neu starten. Wenn Sie nun auf NAVIGATION gehen, sollte das rote Sternchen vor Clientmodul Zertifikat verschwunden sein.

einreau41

Falls das rote Sternchen immer noch da ist, schliessen Sie den Browser und öffnen Sie ihn wieder, rufen die Webseite https://localhost:4443 auf und loggen Sie sich ein.

Um aus apraxos heraus mit dem kv.dox-KIM-Dienst kommunizieren zu können, muss der Benutzernamen richtig in apraxos eingegeben werden. Gehen Sie wieder auf NAVIGATION und wählen Sie Benutzernamen Generator.

einreau42
einreau43

Geben Sie die KIM-Email-Adresse unter Benutzernamen ein. Die Zugangsdaten zum Konnektor sind meist richtig eingetragen. Klicken Sie nun auf BENUTZERNAMEN GENERIEREN. Es wird ein sehr langer Benutzernamen angezeigt, der später in apraxos eingegeben werden muss. Klicken Sie sinnvollerweise auf IN ZWISCHENABLAGE KOPIERNE und speichern Sie den Benutzernamen z.B. in einem LibreOffice-Dokument ab.

Wählen Sie nun oben unter Server-Typ auswählen → Posteingangsserver (POP3) aus. Die Felder sind schon richtig eingegeben. Die User-ID sollte frei bleiben, wenn Sie den SMC-B als Verifikationsmerkmal benutzen wollen. Klicken Sie wieder auf BENUTZERNAMEN GENERIEREN und klicken Sie auf IN ZWISCHENABLAGE KOPIEREN, um den POP3-Benutzernamen z.B. in einem LibreOffice-Dokument abzuspeichern.

Sie haben jetzt alle Daten zusammen, die Sie für die Konfiguration in apraxos benötigen. Sie können diese Daten auch über den Button DRUCKEN ausdrucken.

Der CGM-KIM-Client

Der CGM-KIM-Client ist nicht auf der CGM-Webseite downloadbar. Die mir vorliegende Version

  • kim-assist-1.0.24-linux.zip und

  • KIM_Client-Modul_10.0.2-14.zip

sind lieblos zusammengestellt und mussten von mir korrigiert werden, um den CGM-KIM-Client auf Linux einigermaßen zum Laufen zu bringen.

Es soll in der zweiten Jahreshälfte 2022 einen neuen CGM-KIM-Client geben, der Fehler beheben soll.

Den von mir modifizierten CGM-KIM-Client finden Sie nach einem apraxos-Update im DVD-Verzeichnis unter DVD/SON/cgm-kim-client.zip.

Entscheiden Sie, ob Sie den CGM-KIM-Client als User praxis laufen lassen wollen, oder ob Sie einen neuen User kim einrichten wollen und den CGM-KIM-Client dort laufen lassen wollen. Kopieren Sie diese Datei auf den Kubuntu-Rechner in das Home-Verzeichnis des Users, mit dem Sie den CGM-KIM-Client laufen lassen wollen. Dort entzippen Sie die Datei cgm-kim-client.zip.

Damit später der CGM-KIM-Client nicht als root laufen muss, muss die Route für den Fachdienst bei paralleler Installation des Konnektors vom Router über Konnektor gelegt werden. Das haben Sie bereits erledigt, wenn Sie den Impfzertifikat-Service eingerichtet haben. Ansonsten können Sie die Einrichtung der Route unter https://www.apraxos.de/tmp/Dokumente/impf/impf.htmlEinrichtung der Route nachlesen. Die Netmask hatten wir für das Impfzertifikat auf 255.255.128.0 eingestellt. Dies muss auf 255.255.0.0 erweitert werden.

Auf Kubuntu ist standardmäßig kein Java installiert. Installieren Sie daher Java und weitere Paket, die notwendig sind:

sudo apt install openjdk-11*
sudo apt install net-tools
sudo apt install dnsutils
sudo apt install traceroute
sudo apt install keepassx

Außerdem brauchen wir ein Client-Zertifikat für den Login des CGM-KIM-Client auf den Konnektor. Dafür generieren Sie über die Konnektor-Administrations-Webseite https://<IP-Adresse_der_KocoBox>:9443/administration/start.htm ein weiteres Client-Zertifikat. Gehen Sie, wie schon oben beschrieben, im linken Menü auf VerwaltungClientsysteme und legen Sie über Zugangszertifikat hinzufügen ein Zertifikat z.B. cgm-client an. Die Datei cgm-client.zip laden Sie herunter und speichern sie z.B. nach /home/praxis/pki/. Falls sich in diesem Verzeichnis bereits eine Datei password.txt befindet, benennen Sie diese um, z.B. ldappassword.txt, weil die Datei beim Entzippen der Datei cgm-client.zip überschrieben würde. Notieren Sie sich die Passworte, die mit den Zertifikaten mitgeliefert werden, sonst werden die Zertifikate nutzlos.

Sie sollten nun mit keepassx unter K-MenüDienstprogrammeKeePassX verschieden Passworte hinterlegen, die Sie später immer wieder brauchen werden. Die immer wieder von Hand einzugeben, wäre Wahnsinn. Legen Sie ein neue Datenbank an, indem Sie ein Passwort als Hauptschlüssel zweimal eingeben. In der Datenbank, die sich dann öffnet, legen Sie einen Eintrag für das Passwort des cgm-client-Zertifikats an. Einen weiteren Eintrag legen Sie für das Konnektor-Passwort an, es sei denn, es ist sehr unkompliziert. Lassen Sie KeePassX offen, während Sie den CGM-KIM-Client konfigurieren, dann können Sie den Eintrag markieren und dann auf das Icon Passwort in die Zwischenablage kopieren ebendieses ausführen und das entsprechende Passwort mit Strg-v in das gewünschte Feld hineinkopieren.

Wechseln Sie auf dem Kubuntu-Rechner auf der Konsole in das kim-Verzeichnis und starten Sie die Konfiguration mit

sudo ./start.sh

Sie werden nach Ihrem User-Passwort gefragt.

einreau44

Stellen Sie die Konnektor-Verbindung von Ungesichert auf Login um.

einreau45
einreau46

Geben Sie Ihre entsprechenden Daten in der Maske ein. Setzen Sie dort dieselben Daten ein, die Sie in apraxos unter System / Einstellungen / VSDM/Konnektor / Zugang Konnektor hinterlegt haben. Wenn Sie in das Feld Konnektor Keystore gehen, können Sie im Dateimanager das eben angelegte Zertifikat /home/praxis/pki/cgm-Client.p12 auswählen. Unter Keystore Passwort geben Sie das Passwort, das in der password.txt steht, ein bzw. kopieren Sie das Passwort aus KeePassX in die Zwischenablage und dann mit Strg-v in das Feld für das Keystore Passwort.

Wenn Sie alle Felder ausgefüllt haben, erscheint ein Button Weiter, den Sie anklicken.

einreau47

Gehen Sie auf Los geht’s.

einreau48

Klicken Sie auf Weiter.

einreau49

Klicken Sie auf Ja und Weiter. Falls Sie noch keine CGM-KIM-Email-Adresse festgelegt haben, müssen Sie das zunächst über den Webshop machen.

einreau50

Natürlich müssen Sie mit der TI verbunden sein. Klicken Sie auf Weiter.

einreau51

Hier müssen Sie die Karte (SMC-B oder HBA) auswählen, die für den KIM-Client zur Verifikation dient. Sie sollten den SMC-B auswählen.

einreau52

Klicken Sie auf Weiter. Falls der SMC-B nicht freigeschaltet ist, müssen Sie die SMC-B-PIN am Kartenterminal eingeben.

einreau53

Sie müssen den Registrierungscode zur Hand haben. Bestätigen Sie das und klicken Sie auf Weiter.

einreau54

Geben Sie die von Ihnen ausgewählte CGM-KIM-Email-Adresse und den Registrierungscode, den Sie in Ihrem Account auf der CGM-Webseite unter https://meine-ti.de finden, ein. Sie können dort den Registrierungscode auch als CSV-Datei herunterladen.

einreau55

Sie müssen nun das Passwort für Ihren Account ändern. Geben Sie das neue Passwort zweimal ein.

einreau56

Dem ist nichts hinzuzufügen. Klicken Sie auf Weiter.

einreau57

Klicken Sie auf Weiter. Wie oben beschrieben, werden Ihnen die Daten, die dem SMC-B zugeordnet sind, angezeigt. So werden Sie im TI-Verzeichnisdienst angezeigt bzw. können mit diesen Daten gefunden werden. Sie können diese Daten hier nicht ändern. Klicken Sie auf Registrieren.

einreau58

Wenn Sie hier angekommen sind, haben Sie die Hälfte schon geschafft.

einreau59

Kopieren Sie diese Einträge z.B. in eine LibreOffice-Datei, weil Sie die später brauchen werden.

einreau60

Falls während dieser ersten Konfiguration ein Fehler auftritt, muss die gesamte Konfiguration nochmal von vorne durchlaufen werden. Eventuell muss auch der Rechner neu gestartet werden, wenn die Route bereits gesetzt ist, das Konfigurations-Programm aber die Route nochmal setzen will. Falls Sie einmal einen CGM-KIM-Client auf einem Rechner eingerichtet haben, müssen Sie den CGM-KIM-Client zunächst deregistrieren, bevor Sie ihn wieder auf einem anderen Rechner neuinstallieren können. Das Passwort für den Account muss werden der Sitzung neu vergeben werden. Bereits einmal vergebene Passworte werden ebenfalls als Fehler angezeigt. Anfangen Sie dann wieder ganz von vorne an.

Bei manchen Fehlern hilft auch, das /home/praxis/kim-Verzeichnis zu löschen und nochmal neu aufzusetzen.

Auch wenn Sie die Konfiguration erfolgreich durchlaufen haben, müssen Sie die nochmal starten mit

sudo ./start-config.sh

Geben Sie die Daten, wie oben angegeben, ein. Im zweiten Bildschirm wählen Sie wieder den SMC-B aus und klicken auf Bestätigen.

einreau63

Erst jetzt können Sie die Experteneinstellungen erreichen, indem Sie auf das kleine Dreieck klicken. Klicken Sie auf Mein KIM-Zertifikat herunterladen.

einreau64

Wenn Sie auf Bitte wählen Sie Ihr Zertifkat klicken, sehen Sie eine lange Hexadezimal-Zahl. Sie brauchen das Zertifikat nicht herunterladen, sondern müssen sich von dieser Hexadezimal-Zahl die ersten 8 Ziffern bis zum Bindestrich aufschreiben/merken. Das ist das Passwort für Ihr Zertifikat, was Sie im nächsten Schritt brauchen.

Eigentlich ist die Konfiguration schon durchlaufen. Allerdings müssen die Daten jetzt nochmal in das KIM-Clientmodul eingegeben werden. Starten Sie das KIM-Clientmodul mit:

sudo ./config-cm-linux.sh
einreau61

In Konnektor-URL muss die Adresse für das Dienstverzeichnis rein, d.h.

https://<Konnektor-IP-Adresse>/connector.sds

Die übrigen Felder kennen Sie schon. Im Feld Konnektor-Certificate muss das Konnektor-Zertifikat. Sie finden es im apraxos-Hauptverzeichnis im Unterverzeichnis ti/cert und heißt konnektor.crt. Kopieren Sie diese Datei z.B. auf den Kubuntu-Rechner nach /home/praxis/pki. Dann können Sie das Zertifikat wie im nächsten Bildschirm angezeigt auffinden.

einreau62

Als TLS-Authentifizierung-Konnektor wählen Sie basic und geben das cgm-client-Zertifikat mit dem Passwort und den Konnektor-User mit Passwort ein. Klicken Sie auf Verschlüsselung einstellen. Wenn dabei keine Fehlermeldung aufgetreten ist, werden Ihnen die Karten im Kartenterminal zur Auswahl angeboten. Wählen Sie wieder den SMC-B aus.

Bevor Sie die Konfiguration speichern können, müssen Sie weiteren Daten im Reiter SMTP eintragen, den Sie erst jetzt erreichen:

einreau65

Tragen Sie hier zweimal Ihr KIM-Zertifikat ein, das sich im Unterverzeichnis /data des kim-Verzeichnisses befinden sollte. Als Passwort setzen Sie die 8 Ziffern ein, die Sie eben ausgelesen haben. Der SMTP_Trustfile_Client kann leer bleiben.

Unter POP3 gehen Sie ebenso vor.

einreau66

Unter LDAP tragen Sie ein:

ldaps://<Konnektor-IP-Adresse>:636
einreau67

Unter Erweitert brauchen Sie nichts eintragen Klicken Sie nun auf den Button Speichern.

einreau68

Hurra! Sie können das Fenster schliessen.

Damit der CGM-KIM-Client aus als normaler User läuft, muss nun das gesamte Verzeichnis auf den User praxis bzw. kim umgestellt werden:

sudo chown -R praxis.praxis *

Kontrollieren Sie, ob alle Dateien dem User praxis oder kim gehören mit

ls -al *

auch in den Unterverzeichnissen.

Versuchen Sie nun den CGM-KIM-Client zu starten mit:

./start-cm-linux.sh
einreau69

Sie müssen zunächst das Passwort des Client-Zertifikats, das Sie selbst im Konnektor generiert haben, eingeben. Hier hilft KeePassX. Auf OK klicken.

einreau70

Dann müssen Sie das Konnektor-Passwort eingeben. Hier hilft wieder KeePassX. Auch auf OK klicken. Das Fenster bleibt nun so stehen. Wenn es so stehen bleibt, können Sie sicher sein, dass der CGM-KIM-Client läuft. Sie können das Fenster noch mit dem Hacken nach unten auf die Kontrolleiste verkleinern.

Um den CGM-KIM-Client im Alltag zu starten, sollten Sie ein Start-Skript anlegen, z.B. cgm-kim-start.sh

#!/bin/bash

keepassx &

cd kim
./start-cm-linux.sh

Damit wird zuerst keepassx gestartet und dann der CGM-KIM-Client. Die Passworte können Sie mit keepassx in die Zwischenablage kopieren und bei den Abfragen in den CGM-KIM-Client eingeben. Danach kann keepassx geschlossen werden. Der CGM-KIM-Client läuft weiter.

Das Skipt können Sie mit einem Icon versehen vom Desktop aus starten.

Konfiguration von KIM in apraxos

In apraxos übernimmt die Versendung und Empfang von KIM-Mails das Unterprogramm kim. Für den sicheren Empfang von KIM-Mails kann dieses Programm auch als Stand-alone-Programm auf dem Kubuntu-Rechner installiert werden. Dann sind weitere Konfigurationen erforderlich.

Konfiguration zum Versenden der eAU aus apraxos

Sicherheitshalber sollten Sie eine Reorganisation der Praxis- und der Passwort-Datenbank durchführen, damit die Feldlängen richtig übernommen werden können. Dies geschieht unter System / Datenbanken / Reorganisieren / Eigen / Quartal / I Passworte und J Praxis.

Zum Testen muss natürlich der Konnektor errreichbar sein, der Konnektor muss die Verbindung zur Telematik Infrastruktur haben, am Kartenterminal muss der SMC-B freigeschaltet sein und der KIM-Dienst muss laufen.

Rufen Sie in apraxos unter Übertragung / KIM das kim-Unterprogramm auf.

einreau71

Klicken Sie auf Konfiguration.

einreau72

Dies ist eine Beispiel-Konfiguration. Sie müssen hier die Daten eingeben, die Sie bei der Konfiguration des KIM-Dienstes erhalten haben bzw. eingegeben haben.

Beim kv.dox-KIM-Dienst ist der SMTP-Port 465, der POP3-Port 995, das Passwort ist das Anmelde-Passwort am Account Manager.

Beim CGM-KIM-Dienst ist der SMTP-Port 8465, der POP3-Port 8995 und das Passwort das zuletzt vergebene Passwort, das Sie als KIM-Passwort bei der Konfiguration eingegeben haben.

Nun können Sie testen, ob die Konfiguration funktioniert:

Klicken Sie auf Konnektor online. Damit wird getestet, ob der Konnektor angesprochen werden kann und eine Verbindung zur Telematik Infrastruktur besteht.

Klicken Sie auf Test-Mail versenden. Damit wird eine kleine Test-Mail an Ihren Mail-Account versendet.

Klicken Sie auf Test-Mail abholen. Damit wir die eben versendete Test-Mail von Ihrem Mail-Account heruntergeladen.

Hat das geklappt, klicken Sie auf Speichern. Die Konfiguration zum Versand der eAU ist damit fertig. Sie können Mails auch mit dieser Konfiguration abholen. Allerdings landet die Mail dann direkt auf Ihrem Server. Da Sie auf die eAU-Mail lediglich Mails von den Krankenkassen erhalten werden, ist das Risiko von Malware vielleicht nicht so hoch. Aber auch ein Krankenkasse kann gehackt werden.

Test des Versands einer eAU für Testpatient TK-Mustermann

einreau73

Die eAU des Testpatienten TK-Mustermann haben Sie signiert. Klicken Sie nun auf Versenden.

einreau74

Die Email-Adresse der Krankenkasse wird über LDAP ermittelt. Die Mail ist zum Versenden bereit. Klicken Sie auf den Button Versenden

einreau75

Die Email wurde erfolgreich versendet. Klicken Sie jetzt auf Drucken.

einreau76

Sie haben das Krankenkassen-Exemplar an die Krankenkasse versendet. Also brauchen Sie das Krankenkassen-Exemplar nicht mehr ausdrucken. Zur Zeit drucke ich das Krankenkasse-Exemplar allerdings trotzdem mit aus, falls es doch noch zu Störungen in der TI kommt, und gebe es dem Patienten mit.

Beenden Sie die eAU und rufen Sie in apraxos Übertragung / KIM auf. Im KIM-Programm klicken Sie auf Mail holen. Als Antwort auf die Email der eAU des Herrn TK-Mustermann kommen postwendend 2 Mails von der Techniker Krankenkasse zurück:

einreau77

Die erste Mail bestätigt den Eingang der eAU.

einreau78

Die zweite Mail ist eine Fehlermeldung mit Fehler 101, d.h. der Patient TK-Mustermann ist nicht bei der Techniker Krankenkasse versichert, was ja auch richtig ist. Damit ist die richtige Einrichtung des eAU bewiesen.

Vorbereitete eAUs im KIM-Programm bearbeiten

Dass die MFA die eAU bei Langzeit-Krankzuschreibenden schon mal vorbereitet und ausdruckt, geht mit der eAU nicht, es sei denn, Sie wollen den eHBA der MFA anvertrauen.

Die MFA kann aber schon die eAUs vorbereiten, indem Sie die eAU aufruft, über ReproduktionFolge-AU die Daten aus der letzten AU übernimmt und das Datum für voraussichtlich arbeitsunfähig bis einträgt. Dann kann die MFA auf Drucken klicken, die Stylesheets kontrollieren und auf Abspeichern klicken.

einreau79
einreau80

Die eAU ist zunächst gespeichert.

Der Arzt kann nun an seinem Computer auf ÜbertragungKIM gehen.

einreau81

Dort geht er auf den Button eAU:

einreau82

Hier sind 3 eAUs von 3 Testpatienten angelegt, einmal der Herr TK-Mustermann und zwei Testpatienten der BARMER. Bei diesen Testpatienten ist bisher nichts gemacht. Der Arzt wählt den ersten zu bearbeitenden Patienten, den Herrn TK-Mustermann, an:

einreau83

und klickt auf Signieren

einreau84

Das Stylesheet wird zum Signieren angezeigt. Der Arzt überzeugt sich von der Richtigkeit der eAU und klickt auf Signieren.

einreau85

Der Arzt wird zur Eingabe des Passworts der Komfort-Signatur aufgefordert.

einreau86

Die Signatur war erfolgreich. In der Tabelle wechselt die eAU TK-Mustermann auf gelben Hintergrund, d.h. die eAU ist signiert. Der Arzt könnte jetzt den Versand und den Ausdruck der MFA überlassen.

Der Arzt oder die MFA wählen wieder den Patienten an und klicken auf

einreau87

Die Krankenkassen-TI-Email-Adresse wurde ermittelt und mit Klick auf Versenden wird die Email an den KIM-Dienst übergeben.

einreau88

Die Mail ist erfolgreich versendet worden. Nun kann die Mail mit Drucken ausgedruckt werden.

einreau89

Die PDF-Datei kann direkt gedruckt werden oder auch nur die 2-3 Seite ausgedruckt werden, wenn sicher ist, dass das Krankenkasse-Exemplar sicher versendet wurde.

einreau90

Die eAU des Herrn TK-Mustermann wechselt damit auf die Farbe grün, weil zunächst Alles erledigt ist. Es kann nun auch vom Server aus Email abgeholt werden. Dann klickt man einfach auf Mail abholen. Das ist aber ein mögliches Sicherheitsrisiko und wird nicht empfohlen. Der apraxos-KIM-Client, der die Emails abholt, sollte sicherheitshalber auf z.B. dem Kubuntu-Rechner laufen. Wenn dort ein Virus aufschlägt, kann er nicht an die Patientendaten ran.

Konfiguration des apraxos-KIM-Clients zum Abholen von Mails auf dem KUbuntu-Rechner

Kopieren Sie folgende Dateien aus dem apraxos-Hauptverzeichnis auf den KUbuntu-Rechner:

  • kim

  • rest/rest.ini

  • resources/*

z.V. in das Verzeichnis /home/praxis/kim.

Legen Sie ein Icon auf dem Desktop an, das das Programm im Verzeichnis /home/praxis/kim startet. Mit diesen Dateien läuft der apraxos-KIM-Client auf dem KUbuntu-Rechner und kann die Mails abholen. Zur Zeit werden nur Rückmeldungen der Krankenkasse eingehen. Wenn diese Rückmeldungen den versendeten Mails und den versendeten eAUs zugeordnet werden sollen, sollten die Dateien

  • kcr2.dbf

  • kcr2.fpt

  • kcr2.cdx

  • eau.dbf

  • eau.fpt

  • eau.cdx

mit den Daten auf dem Server synchronisiert werden. Das könnte z.B. mit einem Bash-Script erfolgen, das zunächst diese Dateien synchronisiert und danach den apraxos-KIM-Client aufruft:

#!/bin/bash

cd /home/praxis/kim
rsync -avz praxis@server:/home/praxis/a/kcr2.dbf .
rsync -avz praxis@server:/home/praxis/a/kcr2.fpt .
rsync -avz praxis@server:/home/praxis/a/kcr2.cdx .
rsync -avz praxis@server:/home/praxis/a/eau.dbf .
rsync -avz praxis@server:/home/praxis/a/eau.fpt .
rsync -avz praxis@server:/home/praxis/a/eau.cdx .

./kim

Eingehende Mails werden dann den entsprechenden eAUs zugeordnet und können bei Bedarf nochmal ausgedruckt bzw. nochmal versendet werden.