suro/aza
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
d4822fc8dc62076ba6391e39cf239cb696abdfc1
aza/AzA march 2026 - Kopie (6)/security/reference/hin_docs/hin_architektur.md

203 lines
8.0 KiB
Markdown
Raw Normal View History

update
2026-04-16 13:32:32 +02:00
# HIN Sicherheitsarchitektur Technische Referenz
# Quelle: Öffentlich verfügbare HIN-Dokumentation (Stand Feb 2026)
---
## 1. Überblick
HIN (Health Info Net AG) wurde 1996 auf Initiative der FMH gegründet.
Über 90% der Akteure des Schweizer Gesundheitswesens nutzen HIN.
Ca. 14.500 Einzelabonnenten + 350 Institutionen.
Hauptprodukte:
- HIN Mail (verschlüsselte E-Mail)
- HIN Gateway (Stargate) Organisationsanbindung
- HIN Access Gateway (AGW) VPN/Netzwerkzugang
- HIN Identität (eID) Authentifizierung
- SSHN (Secure Swiss Health Network) SCION-basiertes Netzwerk
- HIN Sign Digitale Signaturen
- HIN Endpoint Security Endgeräteschutz
---
## 2. Netzwerkarchitektur
### 2.1 HIN Vertrauensraum
- Geschlossene Kommunikationsumgebung für das Gesundheitswesen
- Governance durch: HIN, FMH, pharmaSuisse, BAG Cybersicherheit, SWITCH
- Zugang nur für verifizierte Gesundheitsakteure
### 2.2 SSHN (Secure Swiss Health Network) SCION-Technologie
- Basiert auf SCION (ETH Zürich): "Scalability, Control and Isolation on next-generation Networks"
- Redundante Transportwege mit automatischem Fail-over (Sekundenbruchteile)
- Routing ausschliesslich über Schweizer Netze (kein Datenexport)
- Schutz vor DDoS-Attacken
- Any-to-any Verschlüsselung zwischen allen Teilnehmern
- Zertifikatsbasierte Authentifizierung (72h Gültigkeit, Erneuerung nach 18h)
- Erstausgestelltes Zertifikat: 7 Tage Gültigkeit
- Core Member: Swisscom, Sunrise (ISPs mit eigenen autonomen Netzwerken)
- Carrier: Cyberlink, VTX, Everyware (nutzen Core-Member-Netze)
- Auch genutzt von: Swiss Secure Finance Network (SSFN) bei SIX/SNB
- Getestet von: SIX, EDA, Armasuisse
### 2.3 HIN Access Gateway (AGW)
- Virtuelle Appliance (VMware, HyperV, Qemu/Libvirt)
- Aktuelle Version: 3.1.65
- SHA-256 Prüfsummen für Integritätsverifikation
- Funktionen: SSL, Cluster-Management, Monitoring, Administration
### 2.4 HIN Gateway (Stargate) Neue Generation
- Cloud-native Microservice-Architektur
- RESTful-APIs, Open-Source-Komponenten
- Quellcode wird quelloffen sein
- Design orientiert an Gaia-X und European Health Data Space (EHDS)
- Betriebsmodelle: OpenShift, Kubernetes, VMware, Microsoft, QEMU, Hybrid
- EINE Instanz pro Organisation (nicht mandantenfähig bewusste Sicherheitsentscheidung)
- Transport: Wireguard-Protokoll (kein VPN-Tunneling, reiner App-zu-App-Kanal)
- Dezentrale Identitäten (SSI), verteiltes Schlüsselmanagement
- Programmierbare Richtlinien
- Post-Quanten-Kryptografie vorbereitet
Quelle: https://support.hin.ch/de/service/hin-gateway.cfm
---
## 3. PKI / Zertifikatsinfrastruktur
### 3.1 HIN-eigene PKI
- Aussteller: "HIN MGW Issuing CA 2022"
- Zertifikatstyp: Domain-Zertifikate für S/MIME
- CN: "Domain Certificate for <domain>"
- SAN: "domain-confidentiality-authority@<domain>"
- Schlüssel: RSA 4096-bit
- Signatur: SHA256withRSAEncryption
- Gültigkeit: 10 Jahre (Domain-Zertifikate)
### 3.2 SSHN-Zertifikate
- Gültigkeit: 72 Stunden (Standard)
- Erstausstellung: 7 Tage
- Erneuerung: 18h nach Installation des aktuellen Zertifikats
- CSR-Erstellung gemäss Anapaya-Dokumentation
- Einreichung an: certificate-hvr@hin.ch
### 3.3 Zertifikatsverteilung
- HIN-Backend stellt Domain-Zertifikate zentral bereit
- Alle HIN-Gateways laden Public Keys vom HIN-Backend herunter
- Geschlossenes System: Zertifikate nicht extern verfügbar
- Bei Installation: Gateway fordert Zertifikat bei HIN-PKI an
Quelle: https://msxfaq.de/signcrypt/hin-mail.htm
---
## 4. Authentifizierung
### 4.1 HIN Identitätstypen
#### Persönliche eID
- Vergleichbar mit digitalem Ausweisdokument
- Identitätsprüfung via Videoidentifikation
- Berufsqualifikation über Verbände/nationale Register verifiziert
- Zugriff auf EPD möglich
- Höchstes Vertrauenslevel
#### Persönliche eID für Organisationen
- Organisation prüft Identität der Mitarbeitenden
- Nur für HIN Services (nicht HIN-geschützte Anwendungen)
- Erweiterung bestehender lokaler Identitäten (z.B. AD)
#### Team-Identität
- Gemeinsame Nutzung durch mehrere Personen (z.B. MPA-Team)
- Tieferes Vertrauenslevel
- Kein EPD-Zugriff möglich
- Verschlüsselung identisch zur persönlichen eID
### 4.2 Zwei-Faktor-Authentisierung (2FA)
#### HIN Client (Einzelpersonen ohne grosse IT)
- Faktor 1: HIN Passwort
- Faktor 2: Kryptographischer Schlüssel auf dem Gerät
#### HIN Gateway (Organisationen mit IT-Infrastruktur)
- Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App
- Faktor 2: Lokaler Verzeichnisdienst (Active Directory)
#### Mobiler Zugriff
- Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App
- Faktor 2: HIN Login + HIN Passwort
### 4.3 Single Sign-on (SSO)
- Nach HIN-Anmeldung keine erneute Passworteingabe nötig
- Zugriff auf HIN-geschützte Anwendungen
- Zugriff auf EPD-Portale (nur mit persönlicher eID)
Quelle: https://www.hin.ch/de/services/hin-identitaet.cfm
---
## 5. Verschlüsselung / Secure Mail
### 5.1 HIN Mail (intern HIN-zu-HIN)
- S/MIME-Verschlüsselung mit Domain-Zertifikaten
- Automatische Verschlüsselung durch Gateway/Backend
- Gateway prüft Empfänger-Domain gegen HIN-Domainliste
- Ausgehend: Signierung mit eigenem Zertifikat + Verschlüsselung mit Public Key des Empfängers
- Eingehend: Signaturprüfung + Entschlüsselung mit eigenem Private Key
- Header "X-HIN-Encrypted" markiert verschlüsselte Mails
- Transport: SMTP über Internet (MX-Record-Auflösung)
- TLS optional (nicht erzwungen, daher S/MIME als primärer Schutz)
### 5.2 HIN Mail Global (extern an Nicht-HIN-Teilnehmer)
- Betreff muss "(Confidential)" enthalten
- Mail wird auf HIN-Webserver bereitgestellt
- Empfänger erhält Benachrichtigung mit HTML-Anhang ("Secure-email.html")
- Authentifizierung: SMS-Code an registrierte Mobilnummer
- "Gerät merken" Option verfügbar
- Link-Gültigkeit: 30 Tage
- Basiert auf GINA-Verfahren von SEPPMail
- Betreffzeile bleibt UNVERSCHLÜSSELT
### 5.3 Drei Betriebsmodelle
1. **Gehostetes Postfach** (~380 CHF/Jahr): Webmail oder IMAP4, Backend verschlüsselt
2. **HIN Gateway**: Eigener Mailserver, Gateway verschlüsselt/entschlüsselt automatisch
3. **Webbasiert**: Zugriff via webmail.hin.ch
### 5.4 Technische Details Gateway
- HIN Gateway basiert auf SEPPMail-Appliance (reduzierte Funktion)
- Unterstützt Exchange Online Integration (O365)
- Prüft X-OriginatorOrg und X-MS-Exchange-CrossTenant-Id
- SMTP-Schnittstelle für interne Geräte (Relay)
- IMAP-Zugriff über Zimbra-Plattform (unverändert)
Quellen:
- https://support.hin.ch/de/service/hin-mail-und-mobile/was-ist-secure-mail.cfm
- https://msxfaq.de/signcrypt/hin-mail.htm
---
## 6. Rechtlicher Rahmen
- Art. 321 StGB: Verletzung des Berufsgeheimnisses → Gefängnis oder Busse
- Berufsgeheimnisträger: Ärzte, Apotheker, Rechtsanwälte, Revisoren, Geistliche
- Unverschlüsselte E-Mails mit Patientendaten = Verletzung des Berufsgeheimnisses
- HIN-Zertifizierungen entsprechen dem für EPD geforderten Vertrauenslevel
---
## 7. Zusammenfassung: HIN-Sicherheitsniveau
| Bereich | HIN-Standard |
|--------------------------|--------------------------------------------------|
| Netzwerk | SCION/SSHN, nur Schweizer Netze, DDoS-Schutz |
| Verschlüsselung | S/MIME, RSA 4096-bit, SHA256 |
| PKI | Eigene CA ("HIN MGW Issuing CA 2022") |
| Zertifikate | Domain-Zertifikate, 72h SSHN-Zertifikate |
| Authentifizierung | 2FA (mTAN/App + Passwort/AD/Geräteschlüssel) |
| SSO | Ja, für HIN-geschützte Anwendungen |
| Identitätsprüfung | Videoidentifikation, Berufsregister |
| Transport | Wireguard (Stargate), SMTP+S/MIME (Legacy) |
| Mandantentrennung | 1 Instanz pro Organisation |
| Zukunftssicherheit | Post-Quanten-Kryptografie vorbereitet |
| Quellcode | Open Source (Stargate) |
| Governance | FMH, pharmaSuisse, BAG, SWITCH, HIN |
Reference in New Issue Copy Permalink