update

AzA march 2026/security/reference/hin_docs/QUELLEN_UND_ANLEITUNG.md

@@ -0,0 +1,89 @@
+# HIN Technische Referenz – Quellensammlung
+
+## Status: REFERENZDATEN VORHANDEN
+
+Offizielle PDFs sind nicht frei downloadbar. Stattdessen wurden alle
+öffentlich verfügbaren technischen Informationen von HIN-Quellen extrahiert
+und in folgenden Dateien zusammengefasst:
+
+- hin_architektur.md → Vollständige technische Referenz (Architektur, PKI, VPN, Auth, Secure Mail)
+- hin_quellen.md → Quellenverzeichnis mit allen Original-URLs
+
+---
+
+## 1. Öffentlich verfügbare technische Quellen
+
+### Sicherheitsarchitektur / Netzwerk / SSHN
+- **SSHN (Secure Swiss Health Network):** https://support.hin.ch/de/thema/sshn.cfm
+  - SCION-Technologie, redundante Transportwege, DDoS-Schutz
+  - Any-to-any Verschlüsselung, zertifikatsbasierte Auth (72h Gültigkeit)
+
+### PKI / Zertifikate
+- **HIN Sign (eSigning-Standard):** https://certifaction.com/hin-sign-esigning-standard-for-swiss-healthcare-sector/
+  - PKI-basierte Zertifikatsverwaltung
+  - HIN eID-basiertes SSO und Signatur
+
+### VPN / Access Gateway
+- **HIN AGW Benutzerhandbuch (v3.1.65):** https://cdn.hin.ch/agw/manual/DE/
+  - Konfiguration, SSL, Cluster, Monitoring, Administration
+- **HIN Gateway (Stargate):** https://support.hin.ch/de/service/hin-gateway.cfm
+  - Cloud-native Microservice-Architektur, RESTful-APIs
+  - Self-Sovereign Identity (SSI), Data Mesh
+
+### Authentifizierung
+- **HIN Identität / eID:** https://www.hin.ch/de/services/hin-identitaet.cfm
+  - Elektronische Identitäten mit Zwei-Faktor-Authentisierung
+  - Single Sign-on für EPD und geschützte Anwendungen
+
+### Secure Mail
+- **Was ist Secure Mail:** https://support.hin.ch/de/service/hin-mail-und-mobile/was-ist-secure-mail.cfm
+  - S/MIME-Verschlüsselung, State-of-the-Art-Standards
+- **HIN Mail Global:** https://support.hin.ch/de/thema/hin-mail-global-en/
+  - Verschlüsselter Versand an externe Empfänger
+  - SMS-Code-Verifizierung, 30 Tage Link-Gültigkeit
+
+### Publikationen (Geschäftsberichte, Broschüren)
+- https://www.hin.ch/de/ueber-hin/unternehmen/publikationen.cfm
+
+### Externe Analyse
+- **MSXFaq – HIN Mail Analyse:** https://msxfaq.de/signcrypt/hin-mail.htm
+  - Detaillierte technische Analyse der HIN Mail Architektur
+
+---
+
+## 2. Vorbereitete Support-Anfrage an HIN
+
+**An:** support@hin.ch
+**Betreff:** Anfrage technische Sicherheits- und Architekturdokumentation
+
+**Text:**
+
+Sehr geehrte Damen und Herren,
+
+im Rahmen eines Sicherheits- und Compliance-Projekts im Gesundheitswesen
+benötigen wir Ihre offizielle technische Dokumentation zu folgenden Bereichen:
+
+- Sicherheitsarchitektur (Gesamtübersicht)
+- PKI / Zertifikatsinfrastruktur
+- VPN / Netzwerkarchitektur (inkl. SSHN/SCION)
+- Authentifizierung (eID, 2FA, SSO)
+- Secure Mail (Verschlüsselung, S/MIME)
+
+Bitte senden Sie mir die entsprechenden Dokumente (Whitepapers,
+technische Spezifikationen, Architekturdiagramme) oder teilen Sie mir mit,
+wo diese heruntergeladen werden können.
+
+Vielen Dank im Voraus.
+
+Mit freundlichen Grüssen,
+[Name / Organisation eintragen]
+
+---
+
+## 3. Erhaltene Dokumente (hier eintragen wenn vorhanden)
+
+- [ ] hin_architektur.pdf
+- [ ] hin_pki.pdf
+- [ ] hin_vpn.pdf
+- [ ] hin_auth.pdf
+- [ ] hin_secure_mail.pdf

AzA march 2026/security/reference/hin_docs/hin_architektur.md

@@ -0,0 +1,202 @@
+# HIN Sicherheitsarchitektur – Technische Referenz
+# Quelle: Öffentlich verfügbare HIN-Dokumentation (Stand Feb 2026)
+
+---
+
+## 1. Überblick
+
+HIN (Health Info Net AG) wurde 1996 auf Initiative der FMH gegründet.
+Über 90% der Akteure des Schweizer Gesundheitswesens nutzen HIN.
+Ca. 14.500 Einzelabonnenten + 350 Institutionen.
+
+Hauptprodukte:
+- HIN Mail (verschlüsselte E-Mail)
+- HIN Gateway (Stargate) – Organisationsanbindung
+- HIN Access Gateway (AGW) – VPN/Netzwerkzugang
+- HIN Identität (eID) – Authentifizierung
+- SSHN (Secure Swiss Health Network) – SCION-basiertes Netzwerk
+- HIN Sign – Digitale Signaturen
+- HIN Endpoint Security – Endgeräteschutz
+
+---
+
+## 2. Netzwerkarchitektur
+
+### 2.1 HIN Vertrauensraum
+- Geschlossene Kommunikationsumgebung für das Gesundheitswesen
+- Governance durch: HIN, FMH, pharmaSuisse, BAG Cybersicherheit, SWITCH
+- Zugang nur für verifizierte Gesundheitsakteure
+
+### 2.2 SSHN (Secure Swiss Health Network) – SCION-Technologie
+- Basiert auf SCION (ETH Zürich): "Scalability, Control and Isolation on next-generation Networks"
+- Redundante Transportwege mit automatischem Fail-over (Sekundenbruchteile)
+- Routing ausschliesslich über Schweizer Netze (kein Datenexport)
+- Schutz vor DDoS-Attacken
+- Any-to-any Verschlüsselung zwischen allen Teilnehmern
+- Zertifikatsbasierte Authentifizierung (72h Gültigkeit, Erneuerung nach 18h)
+- Erstausgestelltes Zertifikat: 7 Tage Gültigkeit
+- Core Member: Swisscom, Sunrise (ISPs mit eigenen autonomen Netzwerken)
+- Carrier: Cyberlink, VTX, Everyware (nutzen Core-Member-Netze)
+- Auch genutzt von: Swiss Secure Finance Network (SSFN) bei SIX/SNB
+- Getestet von: SIX, EDA, Armasuisse
+
+### 2.3 HIN Access Gateway (AGW)
+- Virtuelle Appliance (VMware, HyperV, Qemu/Libvirt)
+- Aktuelle Version: 3.1.65
+- SHA-256 Prüfsummen für Integritätsverifikation
+- Funktionen: SSL, Cluster-Management, Monitoring, Administration
+
+### 2.4 HIN Gateway (Stargate) – Neue Generation
+- Cloud-native Microservice-Architektur
+- RESTful-APIs, Open-Source-Komponenten
+- Quellcode wird quelloffen sein
+- Design orientiert an Gaia-X und European Health Data Space (EHDS)
+- Betriebsmodelle: OpenShift, Kubernetes, VMware, Microsoft, QEMU, Hybrid
+- EINE Instanz pro Organisation (nicht mandantenfähig – bewusste Sicherheitsentscheidung)
+- Transport: Wireguard-Protokoll (kein VPN-Tunneling, reiner App-zu-App-Kanal)
+- Dezentrale Identitäten (SSI), verteiltes Schlüsselmanagement
+- Programmierbare Richtlinien
+- Post-Quanten-Kryptografie vorbereitet
+
+Quelle: https://support.hin.ch/de/service/hin-gateway.cfm
+
+---
+
+## 3. PKI / Zertifikatsinfrastruktur
+
+### 3.1 HIN-eigene PKI
+- Aussteller: "HIN MGW Issuing CA 2022"
+- Zertifikatstyp: Domain-Zertifikate für S/MIME
+- CN: "Domain Certificate for <domain>"
+- SAN: "domain-confidentiality-authority@<domain>"
+- Schlüssel: RSA 4096-bit
+- Signatur: SHA256withRSAEncryption
+- Gültigkeit: 10 Jahre (Domain-Zertifikate)
+
+### 3.2 SSHN-Zertifikate
+- Gültigkeit: 72 Stunden (Standard)
+- Erstausstellung: 7 Tage
+- Erneuerung: 18h nach Installation des aktuellen Zertifikats
+- CSR-Erstellung gemäss Anapaya-Dokumentation
+- Einreichung an: certificate-hvr@hin.ch
+
+### 3.3 Zertifikatsverteilung
+- HIN-Backend stellt Domain-Zertifikate zentral bereit
+- Alle HIN-Gateways laden Public Keys vom HIN-Backend herunter
+- Geschlossenes System: Zertifikate nicht extern verfügbar
+- Bei Installation: Gateway fordert Zertifikat bei HIN-PKI an
+
+Quelle: https://msxfaq.de/signcrypt/hin-mail.htm
+
+---
+
+## 4. Authentifizierung
+
+### 4.1 HIN Identitätstypen
+
+#### Persönliche eID
+- Vergleichbar mit digitalem Ausweisdokument
+- Identitätsprüfung via Videoidentifikation
+- Berufsqualifikation über Verbände/nationale Register verifiziert
+- Zugriff auf EPD möglich
+- Höchstes Vertrauenslevel
+
+#### Persönliche eID für Organisationen
+- Organisation prüft Identität der Mitarbeitenden
+- Nur für HIN Services (nicht HIN-geschützte Anwendungen)
+- Erweiterung bestehender lokaler Identitäten (z.B. AD)
+
+#### Team-Identität
+- Gemeinsame Nutzung durch mehrere Personen (z.B. MPA-Team)
+- Tieferes Vertrauenslevel
+- Kein EPD-Zugriff möglich
+- Verschlüsselung identisch zur persönlichen eID
+
+### 4.2 Zwei-Faktor-Authentisierung (2FA)
+
+#### HIN Client (Einzelpersonen ohne grosse IT)
+- Faktor 1: HIN Passwort
+- Faktor 2: Kryptographischer Schlüssel auf dem Gerät
+
+#### HIN Gateway (Organisationen mit IT-Infrastruktur)
+- Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App
+- Faktor 2: Lokaler Verzeichnisdienst (Active Directory)
+
+#### Mobiler Zugriff
+- Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App
+- Faktor 2: HIN Login + HIN Passwort
+
+### 4.3 Single Sign-on (SSO)
+- Nach HIN-Anmeldung keine erneute Passworteingabe nötig
+- Zugriff auf HIN-geschützte Anwendungen
+- Zugriff auf EPD-Portale (nur mit persönlicher eID)
+
+Quelle: https://www.hin.ch/de/services/hin-identitaet.cfm
+
+---
+
+## 5. Verschlüsselung / Secure Mail
+
+### 5.1 HIN Mail (intern – HIN-zu-HIN)
+- S/MIME-Verschlüsselung mit Domain-Zertifikaten
+- Automatische Verschlüsselung durch Gateway/Backend
+- Gateway prüft Empfänger-Domain gegen HIN-Domainliste
+- Ausgehend: Signierung mit eigenem Zertifikat + Verschlüsselung mit Public Key des Empfängers
+- Eingehend: Signaturprüfung + Entschlüsselung mit eigenem Private Key
+- Header "X-HIN-Encrypted" markiert verschlüsselte Mails
+- Transport: SMTP über Internet (MX-Record-Auflösung)
+- TLS optional (nicht erzwungen, daher S/MIME als primärer Schutz)
+
+### 5.2 HIN Mail Global (extern – an Nicht-HIN-Teilnehmer)
+- Betreff muss "(Confidential)" enthalten
+- Mail wird auf HIN-Webserver bereitgestellt
+- Empfänger erhält Benachrichtigung mit HTML-Anhang ("Secure-email.html")
+- Authentifizierung: SMS-Code an registrierte Mobilnummer
+- "Gerät merken" Option verfügbar
+- Link-Gültigkeit: 30 Tage
+- Basiert auf GINA-Verfahren von SEPPMail
+- Betreffzeile bleibt UNVERSCHLÜSSELT
+
+### 5.3 Drei Betriebsmodelle
+1. **Gehostetes Postfach** (~380 CHF/Jahr): Webmail oder IMAP4, Backend verschlüsselt
+2. **HIN Gateway**: Eigener Mailserver, Gateway verschlüsselt/entschlüsselt automatisch
+3. **Webbasiert**: Zugriff via webmail.hin.ch
+
+### 5.4 Technische Details Gateway
+- HIN Gateway basiert auf SEPPMail-Appliance (reduzierte Funktion)
+- Unterstützt Exchange Online Integration (O365)
+- Prüft X-OriginatorOrg und X-MS-Exchange-CrossTenant-Id
+- SMTP-Schnittstelle für interne Geräte (Relay)
+- IMAP-Zugriff über Zimbra-Plattform (unverändert)
+
+Quellen:
+- https://support.hin.ch/de/service/hin-mail-und-mobile/was-ist-secure-mail.cfm
+- https://msxfaq.de/signcrypt/hin-mail.htm
+
+---
+
+## 6. Rechtlicher Rahmen
+
+- Art. 321 StGB: Verletzung des Berufsgeheimnisses → Gefängnis oder Busse
+- Berufsgeheimnisträger: Ärzte, Apotheker, Rechtsanwälte, Revisoren, Geistliche
+- Unverschlüsselte E-Mails mit Patientendaten = Verletzung des Berufsgeheimnisses
+- HIN-Zertifizierungen entsprechen dem für EPD geforderten Vertrauenslevel
+
+---
+
+## 7. Zusammenfassung: HIN-Sicherheitsniveau
+
+| Bereich                  | HIN-Standard                                    |
+|--------------------------|--------------------------------------------------|
+| Netzwerk                 | SCION/SSHN, nur Schweizer Netze, DDoS-Schutz    |
+| Verschlüsselung          | S/MIME, RSA 4096-bit, SHA256                     |
+| PKI                      | Eigene CA ("HIN MGW Issuing CA 2022")            |
+| Zertifikate              | Domain-Zertifikate, 72h SSHN-Zertifikate         |
+| Authentifizierung         | 2FA (mTAN/App + Passwort/AD/Geräteschlüssel)    |
+| SSO                      | Ja, für HIN-geschützte Anwendungen               |
+| Identitätsprüfung         | Videoidentifikation, Berufsregister              |
+| Transport                | Wireguard (Stargate), SMTP+S/MIME (Legacy)       |
+| Mandantentrennung         | 1 Instanz pro Organisation                       |
+| Zukunftssicherheit        | Post-Quanten-Kryptografie vorbereitet            |
+| Quellcode                | Open Source (Stargate)                            |
+| Governance               | FMH, pharmaSuisse, BAG, SWITCH, HIN              |

AzA march 2026/security/reference/hin_docs/hin_quellen.md

@@ -0,0 +1,64 @@
+# HIN Quellenverzeichnis – Alle verwendeten Originalquellen
+
+---
+
+## Offizielle HIN-Quellen (hin.ch / support.hin.ch / cdn.hin.ch)
+
+1. SSHN (Secure Swiss Health Network)
+   https://support.hin.ch/de/thema/sshn.cfm
+
+2. HIN Identität / eID
+   https://www.hin.ch/de/services/hin-identitaet.cfm
+
+3. Secure Mail
+   https://support.hin.ch/de/service/hin-mail-und-mobile/was-ist-secure-mail.cfm
+
+4. HIN Mail Global
+   https://support.hin.ch/de/thema/hin-mail-global-en/
+
+5. HIN Gateway (Stargate)
+   https://support.hin.ch/de/service/hin-gateway.cfm
+
+6. HIN AGW Benutzerhandbuch v3.1.65
+   https://cdn.hin.ch/agw/manual/DE/
+
+7. HIN Gateway Dokumentation (ZIP)
+   https://download.hin.ch/gw/hin-gateway.zip
+
+8. HIN Publikationen
+   https://www.hin.ch/de/ueber-hin/unternehmen/publikationen.cfm
+
+9. HIN Kollektivmitgliedschaft mit Gateway
+   https://www.hin.ch/de/hin-mitgliedschaft/kollektivmitgliedschaft/mit-gateway.cfm
+
+10. HIN Zertifizierungen
+    https://www.hin.ch/de/ueber-hin/zertifizierungen/uebersicht.cfm
+
+11. HIN Sign
+    https://www.hin.ch/de/services/hin-sign/hin-sign.cfm
+
+12. HIN Datenschutz
+    https://www.hin.ch/de/ueber-hin/hin-welt/hin-und-der-datenschutz/hin-und-der-datenschutz.cfm
+
+## Externe technische Analysen
+
+13. MSXFaq – HIN Mail im Schweizer Gesundheitswesen (Frank Carius)
+    https://msxfaq.de/signcrypt/hin-mail.htm
+    → Detaillierteste externe Analyse der HIN-Architektur
+
+14. HIN Sign / Certifaction
+    https://certifaction.com/hin-sign-esigning-standard-for-swiss-healthcare-sector/
+
+15. VSHN – HIN Success Story
+    https://www.vshn.ch/en/success-stories/hin-health-info-net/
+
+## SCION-Technologie
+
+16. Anapaya – CSR-Erstellung für SSHN
+    https://docs.anapaya.net/en/latest/edge/user-guides/crypto-provisioning/#edge-appliance-generate-csr
+
+## Kontakt HIN Support
+
+- E-Mail: support@hin.ch
+- Telefon SSHN: 0848 830 740
+- Zertifikate SSHN: certificate-hvr@hin.ch