bereits mehrfach hat mich irritiert, dass diverse TIHilfsapplikationen (z.B. EHealthEditor, Kokobox-Servicetool) sich nicht über das Bestands-VPN aktualisieren, was ja technisch durchaus möglich wäre, sondern dass die alle über klassisch http/https rauswollen.
Nehme ich mal an, ich habe einen Konnektor im Reihenbetrieb ohne SIS- soll ja vorkommen- dann steht das ja schon im grundsätzlicheN Widerspruch zum geschlossenen System und erfordert mindestens, dass SIS zugebucht wird und dieses dann so wenig restriktiv verfasst ist, dass das, was laufen soll von sich aus läuft (bis heute hab ich keine näheren Angaben zur genauen default- Konfiguration/Sicherheitseinstellungen zu SIS bekommen können)
Alternativ, wenn ich , wie ich hier in der PRaxis einen Konnektor parallel eingebunden habe, und das gesamte Praxisnetzwerk wie dann vorgschrieben hinter einer Hardwarefirewall mit Proxy noch laufen habe, dann kann ich bei solchen Apps regelhaft nicht eine Proxykonfiguration auswählen, so wie es z.B. bei Teamviewer oder anderen klassischen Applikationen sowie den Browsern etc. möglich ist.
Es bleibt dann nur Fleißarbeit nach Feierabend zu machen und sich rausloggen per Hand, wo hin denn sich die Apps denn mal alle schön verbinden wollen grad und das dann händisch auf der eigenen Firewall freischalten... macht einmal Spaß, danach nervt es nur noch... - Hersteller hat das mit Achselzucken so hingenommen frei nach: Sie sind die Einzige, die das stört - das mag sein, dass einige viele Praxis-UTMs, wenn sie denn überhaupt vorhanden sind schon, eher auf Any Regeln laufen und daher alles "funktioniert" oder fleißige Admins halt hier alles freischalten- aberANy möchte ich nicht, ein All-in-Admin/Fullservice für so einen Pipelkram zu verbrennen bei einem Problem, das eigentlich herstellerseitig vermeidbar wäre bereits, das ist finanziell für eine normale Versorgungsarztpraxis kleinerem Umfang praktisch und wirtschaftlich nicht darstellbar - m.E. muss sowas so konfiguiert sein, dass es eben gleich Proxyfähig ist und gut oder eben dass es PortableVersionen gibt, die man aus weniger gesicherten Zonen kontrolliert runterladen kann in der jeweils aktuellsten Version bei Bedarf...
Frage an den Spezialisten:
Was gibt es hier eigentlich für Vorgaben seitens der Gematik: ist wirklich gewollt, dass solche Service-Apps alle nur sauber laufen, wenn sie sich reglemäßig auf klassischem Weg http/https updaten können?
Ist hier wirlich eine Regelunsfreiheit gelassen worden, mag sie noch so unsinnig und eigentlich kontraproduktiv sein? Oder spielen mir da die Hersteller was vor?
Gibt es ggf. nicht doch Vorgaben, wo Sie mal einen LInk schicken könnten, wo das steht, dass das nicht gewollt ist?
Tatsächlich gibt es hierzu weder von Seiten des Gesetzgebers noch von Seiten der gematik Vorgabe - und ich gehe auch nicht davon aus, dass diese kommen werden. Hier greift wieder der schöne Spruch vom "Markt, der das regelt".
Das die zentralen Gegenstellen der Serviceapps selbst nicht in der TI stehen ist an sich OK und kann auch von Vorteil sein, da diese Dienste dann wirklich immer erreichbar sind, egal welches Problem die TI gerade haben mag. Das hierfür keine Proxy-Config-Option angeboten wird ist natürlich schade. Das bekommen Sie aber nur über den Dialog mit dem Hersteller hin - so gut so etwas eben im freien Markt funktioniert...
Vielen Dank für die schnelle Rückmeldung- Ob da der Markt was regeln wird, wird wie es beim "Markt" so ist von der Nachfrage abhängen- und die scheint bislang gering
(gut , ich gebe auch zu, ich bin grad aus Interesse am Thema und um erfahrungen mehr noch zu sammeln, aktuell sehr streng und halte bislang ohne konkrete Rili-Vorgabe dazu seit 1/2020 durch, zumindest mal die Clients meines Praxisnetzwerk sogar hinter der UTM in der Kombi http-Proxy+ SSL Interception zu führen zuzüglich noch das ganze only mit Whitelist- das ist natürlich dann immer aufwendiger auch noch obendrein- umgekehrt-ich hätte schon in heutiger Zeit erwartet, dass spätestens die Frage an den Hersteller: Kannst Du auch proxy und welche Ziel-URLs müssen in der Whitelist freigeschaltet werden etc. eine Routine wäre, hier eine Antwort zu schicken und nicht, dass man sich da noch durch jeweils mehrere Supportlevel durchtelefonieren muss, bevor man überhaupt das erstemal verstanden wird... spannend...