AzA%20march%202026/security/handovers/STEP_02_SUMMARY.md

# STEP 2 – TECHNISCHE ZERLEGUNG VON HIN
# Status: ABGESCHLOSSEN

---

## Was gemacht wurde

Analyse der HIN-Dokumente aus /security/reference/hin_docs/.
Strukturierte Extraktion des HIN Security Stacks in 5 Bereiche.

## Ergebnis (Kurzfassung)

### 1. Transport
- TLS: optional, nicht erzwungen
- S/MIME ist primärer Transportschutz (Legacy)
- Wireguard für Stargate (neue Generation)
- SCION für SSHN-Netzwerk
- TLS-Version, Cipher Suites, PFS: NICHT BELEGT

### 2. Netzwerk
- Geschlossener Vertrauensraum (Gated Community)
- SCION/SSHN mit Schweizer-only Routing
- DDoS-Schutz durch Architektur
- 1 Instanz pro Organisation (Segmentierung)
- Zero Trust, IP-Whitelisting: NICHT BELEGT

### 3. PKI
- Eigene CA: "HIN MGW Issuing CA 2022"
- RSA 4096-bit, SHA256withRSA
- Domain-Zertifikate (10 Jahre Gültigkeit)
- SSHN-Zertifikate (72h Gültigkeit)
- Zentrale Verteilung, geschlossenes System
- Hardware-Token, Smartcard: NICHT BELEGT

### 4. Authentifizierung
- 2FA in drei Varianten (Client, Gateway, Mobil)
- Identitätsprüfung via Videoidentifikation
- SSO für HIN-geschützte Anwendungen
- eID-Typen: Persönlich, Organisation, Team
- SAML/OAuth/OIDC: NICHT BELEGT

### 5. Mail
- S/MIME Gateway-zu-Gateway (nicht Ende-zu-Ende)
- Domain-Zertifikate, automatische Verschlüsselung
- HIN Mail Global: GINA/SEPPMail, SMS-Auth, 30 Tage
- Betreffzeile bei HIN Mail Global: UNVERSCHLÜSSELT
- Backend: SEPPMail-Appliance, Zimbra (IMAP)

## Was geändert wurde

Keine Dateien geändert. Analyse wurde im Chat ausgegeben.

## Offene Punkte

1. TLS-Version, Cipher Suites, PFS – nicht dokumentiert
2. mTLS – unklar
3. SSO-Protokoll (SAML/OAuth/OIDC) – nicht dokumentiert
4. Hardware-Token / Smartcard – nicht dokumentiert
5. Client-Zertifikate vs. Software-Token – nicht spezifiziert
6. Zero Trust Modell – nicht explizit
7. Post-Quanten-Kryptografie – nur "vorbereitet", keine Details
8. Wireguard-Konfiguration – keine Details
9. Ende-zu-Ende Option – nicht dokumentiert
10. IP-Whitelisting – nicht dokumentiert

## Risiken

- 10 von 20+ technischen Parametern sind in öffentlichen Quellen NICHT BELEGT
- Gap-Analyse wird in diesen Bereichen auf konservative Annahmen angewiesen sein
- Ohne offizielle HIN-Dokumentation bleiben diese Lücken bestehen
-												update

											
										
										
											2026-03-25 22:03:39 +01:00
+								# STEP 2 – TECHNISCHE ZERLEGUNG VON HIN
 								# Status: ABGESCHLOSSEN
 								---
 								## Was gemacht wurde
 								Analyse der HIN-Dokumente aus /security/reference/hin_docs/.
 								Strukturierte Extraktion des HIN Security Stacks in 5 Bereiche.
 								## Ergebnis (Kurzfassung)
 								### 1. Transport
 								- TLS: optional, nicht erzwungen
 								- S/MIME ist primärer Transportschutz (Legacy)
 								- Wireguard für Stargate (neue Generation)
 								- SCION für SSHN-Netzwerk
 								- TLS-Version, Cipher Suites, PFS: NICHT BELEGT
 								### 2. Netzwerk
 								- Geschlossener Vertrauensraum (Gated Community)
 								- SCION/SSHN mit Schweizer-only Routing
 								- DDoS-Schutz durch Architektur
 								- 1 Instanz pro Organisation (Segmentierung)
 								- Zero Trust, IP-Whitelisting: NICHT BELEGT
 								### 3. PKI
 								- Eigene CA: "HIN MGW Issuing CA 2022"
 								- RSA 4096-bit, SHA256withRSA
 								- Domain-Zertifikate (10 Jahre Gültigkeit)
 								- SSHN-Zertifikate (72h Gültigkeit)
 								- Zentrale Verteilung, geschlossenes System
 								- Hardware-Token, Smartcard: NICHT BELEGT
 								### 4. Authentifizierung
 								- 2FA in drei Varianten (Client, Gateway, Mobil)
 								- Identitätsprüfung via Videoidentifikation
 								- SSO für HIN-geschützte Anwendungen
 								- eID-Typen: Persönlich, Organisation, Team
 								- SAML/OAuth/OIDC: NICHT BELEGT
 								### 5. Mail
 								- S/MIME Gateway-zu-Gateway (nicht Ende-zu-Ende)
 								- Domain-Zertifikate, automatische Verschlüsselung
 								- HIN Mail Global: GINA/SEPPMail, SMS-Auth, 30 Tage
 								- Betreffzeile bei HIN Mail Global: UNVERSCHLÜSSELT
 								- Backend: SEPPMail-Appliance, Zimbra (IMAP)
 								## Was geändert wurde
 								Keine Dateien geändert. Analyse wurde im Chat ausgegeben.
 								## Offene Punkte
 . TLS-Version, Cipher Suites, PFS – nicht dokumentiert
 . mTLS – unklar
 . SSO-Protokoll (SAML/OAuth/OIDC) – nicht dokumentiert
 . Hardware-Token / Smartcard – nicht dokumentiert
 . Client-Zertifikate vs. Software-Token – nicht spezifiziert
 . Zero Trust Modell – nicht explizit
 . Post-Quanten-Kryptografie – nur "vorbereitet", keine Details
 . Wireguard-Konfiguration – keine Details
 . Ende-zu-Ende Option – nicht dokumentiert
 . IP-Whitelisting – nicht dokumentiert
 								## Risiken
 								- 10 von 20+ technischen Parametern sind in öffentlichen Quellen NICHT BELEGT
 								- Gap-Analyse wird in diesen Bereichen auf konservative Annahmen angewiesen sein
 								- Ohne offizielle HIN-Dokumentation bleiben diese Lücken bestehen