# HIN Sicherheitsarchitektur – Technische Referenz # Quelle: Öffentlich verfügbare HIN-Dokumentation (Stand Feb 2026) --- ## 1. Überblick HIN (Health Info Net AG) wurde 1996 auf Initiative der FMH gegründet. Über 90% der Akteure des Schweizer Gesundheitswesens nutzen HIN. Ca. 14.500 Einzelabonnenten + 350 Institutionen. Hauptprodukte: - HIN Mail (verschlüsselte E-Mail) - HIN Gateway (Stargate) – Organisationsanbindung - HIN Access Gateway (AGW) – VPN/Netzwerkzugang - HIN Identität (eID) – Authentifizierung - SSHN (Secure Swiss Health Network) – SCION-basiertes Netzwerk - HIN Sign – Digitale Signaturen - HIN Endpoint Security – Endgeräteschutz --- ## 2. Netzwerkarchitektur ### 2.1 HIN Vertrauensraum - Geschlossene Kommunikationsumgebung für das Gesundheitswesen - Governance durch: HIN, FMH, pharmaSuisse, BAG Cybersicherheit, SWITCH - Zugang nur für verifizierte Gesundheitsakteure ### 2.2 SSHN (Secure Swiss Health Network) – SCION-Technologie - Basiert auf SCION (ETH Zürich): "Scalability, Control and Isolation on next-generation Networks" - Redundante Transportwege mit automatischem Fail-over (Sekundenbruchteile) - Routing ausschliesslich über Schweizer Netze (kein Datenexport) - Schutz vor DDoS-Attacken - Any-to-any Verschlüsselung zwischen allen Teilnehmern - Zertifikatsbasierte Authentifizierung (72h Gültigkeit, Erneuerung nach 18h) - Erstausgestelltes Zertifikat: 7 Tage Gültigkeit - Core Member: Swisscom, Sunrise (ISPs mit eigenen autonomen Netzwerken) - Carrier: Cyberlink, VTX, Everyware (nutzen Core-Member-Netze) - Auch genutzt von: Swiss Secure Finance Network (SSFN) bei SIX/SNB - Getestet von: SIX, EDA, Armasuisse ### 2.3 HIN Access Gateway (AGW) - Virtuelle Appliance (VMware, HyperV, Qemu/Libvirt) - Aktuelle Version: 3.1.65 - SHA-256 Prüfsummen für Integritätsverifikation - Funktionen: SSL, Cluster-Management, Monitoring, Administration ### 2.4 HIN Gateway (Stargate) – Neue Generation - Cloud-native Microservice-Architektur - RESTful-APIs, Open-Source-Komponenten - Quellcode wird quelloffen sein - Design orientiert an Gaia-X und European Health Data Space (EHDS) - Betriebsmodelle: OpenShift, Kubernetes, VMware, Microsoft, QEMU, Hybrid - EINE Instanz pro Organisation (nicht mandantenfähig – bewusste Sicherheitsentscheidung) - Transport: Wireguard-Protokoll (kein VPN-Tunneling, reiner App-zu-App-Kanal) - Dezentrale Identitäten (SSI), verteiltes Schlüsselmanagement - Programmierbare Richtlinien - Post-Quanten-Kryptografie vorbereitet Quelle: https://support.hin.ch/de/service/hin-gateway.cfm --- ## 3. PKI / Zertifikatsinfrastruktur ### 3.1 HIN-eigene PKI - Aussteller: "HIN MGW Issuing CA 2022" - Zertifikatstyp: Domain-Zertifikate für S/MIME - CN: "Domain Certificate for " - SAN: "domain-confidentiality-authority@" - Schlüssel: RSA 4096-bit - Signatur: SHA256withRSAEncryption - Gültigkeit: 10 Jahre (Domain-Zertifikate) ### 3.2 SSHN-Zertifikate - Gültigkeit: 72 Stunden (Standard) - Erstausstellung: 7 Tage - Erneuerung: 18h nach Installation des aktuellen Zertifikats - CSR-Erstellung gemäss Anapaya-Dokumentation - Einreichung an: certificate-hvr@hin.ch ### 3.3 Zertifikatsverteilung - HIN-Backend stellt Domain-Zertifikate zentral bereit - Alle HIN-Gateways laden Public Keys vom HIN-Backend herunter - Geschlossenes System: Zertifikate nicht extern verfügbar - Bei Installation: Gateway fordert Zertifikat bei HIN-PKI an Quelle: https://msxfaq.de/signcrypt/hin-mail.htm --- ## 4. Authentifizierung ### 4.1 HIN Identitätstypen #### Persönliche eID - Vergleichbar mit digitalem Ausweisdokument - Identitätsprüfung via Videoidentifikation - Berufsqualifikation über Verbände/nationale Register verifiziert - Zugriff auf EPD möglich - Höchstes Vertrauenslevel #### Persönliche eID für Organisationen - Organisation prüft Identität der Mitarbeitenden - Nur für HIN Services (nicht HIN-geschützte Anwendungen) - Erweiterung bestehender lokaler Identitäten (z.B. AD) #### Team-Identität - Gemeinsame Nutzung durch mehrere Personen (z.B. MPA-Team) - Tieferes Vertrauenslevel - Kein EPD-Zugriff möglich - Verschlüsselung identisch zur persönlichen eID ### 4.2 Zwei-Faktor-Authentisierung (2FA) #### HIN Client (Einzelpersonen ohne grosse IT) - Faktor 1: HIN Passwort - Faktor 2: Kryptographischer Schlüssel auf dem Gerät #### HIN Gateway (Organisationen mit IT-Infrastruktur) - Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App - Faktor 2: Lokaler Verzeichnisdienst (Active Directory) #### Mobiler Zugriff - Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App - Faktor 2: HIN Login + HIN Passwort ### 4.3 Single Sign-on (SSO) - Nach HIN-Anmeldung keine erneute Passworteingabe nötig - Zugriff auf HIN-geschützte Anwendungen - Zugriff auf EPD-Portale (nur mit persönlicher eID) Quelle: https://www.hin.ch/de/services/hin-identitaet.cfm --- ## 5. Verschlüsselung / Secure Mail ### 5.1 HIN Mail (intern – HIN-zu-HIN) - S/MIME-Verschlüsselung mit Domain-Zertifikaten - Automatische Verschlüsselung durch Gateway/Backend - Gateway prüft Empfänger-Domain gegen HIN-Domainliste - Ausgehend: Signierung mit eigenem Zertifikat + Verschlüsselung mit Public Key des Empfängers - Eingehend: Signaturprüfung + Entschlüsselung mit eigenem Private Key - Header "X-HIN-Encrypted" markiert verschlüsselte Mails - Transport: SMTP über Internet (MX-Record-Auflösung) - TLS optional (nicht erzwungen, daher S/MIME als primärer Schutz) ### 5.2 HIN Mail Global (extern – an Nicht-HIN-Teilnehmer) - Betreff muss "(Confidential)" enthalten - Mail wird auf HIN-Webserver bereitgestellt - Empfänger erhält Benachrichtigung mit HTML-Anhang ("Secure-email.html") - Authentifizierung: SMS-Code an registrierte Mobilnummer - "Gerät merken" Option verfügbar - Link-Gültigkeit: 30 Tage - Basiert auf GINA-Verfahren von SEPPMail - Betreffzeile bleibt UNVERSCHLÜSSELT ### 5.3 Drei Betriebsmodelle 1. **Gehostetes Postfach** (~380 CHF/Jahr): Webmail oder IMAP4, Backend verschlüsselt 2. **HIN Gateway**: Eigener Mailserver, Gateway verschlüsselt/entschlüsselt automatisch 3. **Webbasiert**: Zugriff via webmail.hin.ch ### 5.4 Technische Details Gateway - HIN Gateway basiert auf SEPPMail-Appliance (reduzierte Funktion) - Unterstützt Exchange Online Integration (O365) - Prüft X-OriginatorOrg und X-MS-Exchange-CrossTenant-Id - SMTP-Schnittstelle für interne Geräte (Relay) - IMAP-Zugriff über Zimbra-Plattform (unverändert) Quellen: - https://support.hin.ch/de/service/hin-mail-und-mobile/was-ist-secure-mail.cfm - https://msxfaq.de/signcrypt/hin-mail.htm --- ## 6. Rechtlicher Rahmen - Art. 321 StGB: Verletzung des Berufsgeheimnisses → Gefängnis oder Busse - Berufsgeheimnisträger: Ärzte, Apotheker, Rechtsanwälte, Revisoren, Geistliche - Unverschlüsselte E-Mails mit Patientendaten = Verletzung des Berufsgeheimnisses - HIN-Zertifizierungen entsprechen dem für EPD geforderten Vertrauenslevel --- ## 7. Zusammenfassung: HIN-Sicherheitsniveau | Bereich | HIN-Standard | |--------------------------|--------------------------------------------------| | Netzwerk | SCION/SSHN, nur Schweizer Netze, DDoS-Schutz | | Verschlüsselung | S/MIME, RSA 4096-bit, SHA256 | | PKI | Eigene CA ("HIN MGW Issuing CA 2022") | | Zertifikate | Domain-Zertifikate, 72h SSHN-Zertifikate | | Authentifizierung | 2FA (mTAN/App + Passwort/AD/Geräteschlüssel) | | SSO | Ja, für HIN-geschützte Anwendungen | | Identitätsprüfung | Videoidentifikation, Berufsregister | | Transport | Wireguard (Stargate), SMTP+S/MIME (Legacy) | | Mandantentrennung | 1 Instanz pro Organisation | | Zukunftssicherheit | Post-Quanten-Kryptografie vorbereitet | | Quellcode | Open Source (Stargate) | | Governance | FMH, pharmaSuisse, BAG, SWITCH, HIN |