aza/AzA march 2026 - Kopie/security/reference/hin_docs/hin_architektur.md

# HIN Sicherheitsarchitektur – Technische Referenz
# Quelle: Öffentlich verfügbare HIN-Dokumentation (Stand Feb 2026)

---

## 1. Überblick

HIN (Health Info Net AG) wurde 1996 auf Initiative der FMH gegründet.
Über 90% der Akteure des Schweizer Gesundheitswesens nutzen HIN.
Ca. 14.500 Einzelabonnenten + 350 Institutionen.

Hauptprodukte:
- HIN Mail (verschlüsselte E-Mail)
- HIN Gateway (Stargate) – Organisationsanbindung
- HIN Access Gateway (AGW) – VPN/Netzwerkzugang
- HIN Identität (eID) – Authentifizierung
- SSHN (Secure Swiss Health Network) – SCION-basiertes Netzwerk
- HIN Sign – Digitale Signaturen
- HIN Endpoint Security – Endgeräteschutz

---

## 2. Netzwerkarchitektur

### 2.1 HIN Vertrauensraum
- Geschlossene Kommunikationsumgebung für das Gesundheitswesen
- Governance durch: HIN, FMH, pharmaSuisse, BAG Cybersicherheit, SWITCH
- Zugang nur für verifizierte Gesundheitsakteure

### 2.2 SSHN (Secure Swiss Health Network) – SCION-Technologie
- Basiert auf SCION (ETH Zürich): "Scalability, Control and Isolation on next-generation Networks"
- Redundante Transportwege mit automatischem Fail-over (Sekundenbruchteile)
- Routing ausschliesslich über Schweizer Netze (kein Datenexport)
- Schutz vor DDoS-Attacken
- Any-to-any Verschlüsselung zwischen allen Teilnehmern
- Zertifikatsbasierte Authentifizierung (72h Gültigkeit, Erneuerung nach 18h)
- Erstausgestelltes Zertifikat: 7 Tage Gültigkeit
- Core Member: Swisscom, Sunrise (ISPs mit eigenen autonomen Netzwerken)
- Carrier: Cyberlink, VTX, Everyware (nutzen Core-Member-Netze)
- Auch genutzt von: Swiss Secure Finance Network (SSFN) bei SIX/SNB
- Getestet von: SIX, EDA, Armasuisse

### 2.3 HIN Access Gateway (AGW)
- Virtuelle Appliance (VMware, HyperV, Qemu/Libvirt)
- Aktuelle Version: 3.1.65
- SHA-256 Prüfsummen für Integritätsverifikation
- Funktionen: SSL, Cluster-Management, Monitoring, Administration

### 2.4 HIN Gateway (Stargate) – Neue Generation
- Cloud-native Microservice-Architektur
- RESTful-APIs, Open-Source-Komponenten
- Quellcode wird quelloffen sein
- Design orientiert an Gaia-X und European Health Data Space (EHDS)
- Betriebsmodelle: OpenShift, Kubernetes, VMware, Microsoft, QEMU, Hybrid
- EINE Instanz pro Organisation (nicht mandantenfähig – bewusste Sicherheitsentscheidung)
- Transport: Wireguard-Protokoll (kein VPN-Tunneling, reiner App-zu-App-Kanal)
- Dezentrale Identitäten (SSI), verteiltes Schlüsselmanagement
- Programmierbare Richtlinien
- Post-Quanten-Kryptografie vorbereitet

Quelle: https://support.hin.ch/de/service/hin-gateway.cfm

---

## 3. PKI / Zertifikatsinfrastruktur

### 3.1 HIN-eigene PKI
- Aussteller: "HIN MGW Issuing CA 2022"
- Zertifikatstyp: Domain-Zertifikate für S/MIME
- CN: "Domain Certificate for <domain>"
- SAN: "domain-confidentiality-authority@<domain>"
- Schlüssel: RSA 4096-bit
- Signatur: SHA256withRSAEncryption
- Gültigkeit: 10 Jahre (Domain-Zertifikate)

### 3.2 SSHN-Zertifikate
- Gültigkeit: 72 Stunden (Standard)
- Erstausstellung: 7 Tage
- Erneuerung: 18h nach Installation des aktuellen Zertifikats
- CSR-Erstellung gemäss Anapaya-Dokumentation
- Einreichung an: certificate-hvr@hin.ch

### 3.3 Zertifikatsverteilung
- HIN-Backend stellt Domain-Zertifikate zentral bereit
- Alle HIN-Gateways laden Public Keys vom HIN-Backend herunter
- Geschlossenes System: Zertifikate nicht extern verfügbar
- Bei Installation: Gateway fordert Zertifikat bei HIN-PKI an

Quelle: https://msxfaq.de/signcrypt/hin-mail.htm

---

## 4. Authentifizierung

### 4.1 HIN Identitätstypen

#### Persönliche eID
- Vergleichbar mit digitalem Ausweisdokument
- Identitätsprüfung via Videoidentifikation
- Berufsqualifikation über Verbände/nationale Register verifiziert
- Zugriff auf EPD möglich
- Höchstes Vertrauenslevel

#### Persönliche eID für Organisationen
- Organisation prüft Identität der Mitarbeitenden
- Nur für HIN Services (nicht HIN-geschützte Anwendungen)
- Erweiterung bestehender lokaler Identitäten (z.B. AD)

#### Team-Identität
- Gemeinsame Nutzung durch mehrere Personen (z.B. MPA-Team)
- Tieferes Vertrauenslevel
- Kein EPD-Zugriff möglich
- Verschlüsselung identisch zur persönlichen eID

### 4.2 Zwei-Faktor-Authentisierung (2FA)

#### HIN Client (Einzelpersonen ohne grosse IT)
- Faktor 1: HIN Passwort
- Faktor 2: Kryptographischer Schlüssel auf dem Gerät

#### HIN Gateway (Organisationen mit IT-Infrastruktur)
- Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App
- Faktor 2: Lokaler Verzeichnisdienst (Active Directory)

#### Mobiler Zugriff
- Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App
- Faktor 2: HIN Login + HIN Passwort

### 4.3 Single Sign-on (SSO)
- Nach HIN-Anmeldung keine erneute Passworteingabe nötig
- Zugriff auf HIN-geschützte Anwendungen
- Zugriff auf EPD-Portale (nur mit persönlicher eID)

Quelle: https://www.hin.ch/de/services/hin-identitaet.cfm

---

## 5. Verschlüsselung / Secure Mail

### 5.1 HIN Mail (intern – HIN-zu-HIN)
- S/MIME-Verschlüsselung mit Domain-Zertifikaten
- Automatische Verschlüsselung durch Gateway/Backend
- Gateway prüft Empfänger-Domain gegen HIN-Domainliste
- Ausgehend: Signierung mit eigenem Zertifikat + Verschlüsselung mit Public Key des Empfängers
- Eingehend: Signaturprüfung + Entschlüsselung mit eigenem Private Key
- Header "X-HIN-Encrypted" markiert verschlüsselte Mails
- Transport: SMTP über Internet (MX-Record-Auflösung)
- TLS optional (nicht erzwungen, daher S/MIME als primärer Schutz)

### 5.2 HIN Mail Global (extern – an Nicht-HIN-Teilnehmer)
- Betreff muss "(Confidential)" enthalten
- Mail wird auf HIN-Webserver bereitgestellt
- Empfänger erhält Benachrichtigung mit HTML-Anhang ("Secure-email.html")
- Authentifizierung: SMS-Code an registrierte Mobilnummer
- "Gerät merken" Option verfügbar
- Link-Gültigkeit: 30 Tage
- Basiert auf GINA-Verfahren von SEPPMail
- Betreffzeile bleibt UNVERSCHLÜSSELT

### 5.3 Drei Betriebsmodelle
1. **Gehostetes Postfach** (~380 CHF/Jahr): Webmail oder IMAP4, Backend verschlüsselt
2. **HIN Gateway**: Eigener Mailserver, Gateway verschlüsselt/entschlüsselt automatisch
3. **Webbasiert**: Zugriff via webmail.hin.ch

### 5.4 Technische Details Gateway
- HIN Gateway basiert auf SEPPMail-Appliance (reduzierte Funktion)
- Unterstützt Exchange Online Integration (O365)
- Prüft X-OriginatorOrg und X-MS-Exchange-CrossTenant-Id
- SMTP-Schnittstelle für interne Geräte (Relay)
- IMAP-Zugriff über Zimbra-Plattform (unverändert)

Quellen:
- https://support.hin.ch/de/service/hin-mail-und-mobile/was-ist-secure-mail.cfm
- https://msxfaq.de/signcrypt/hin-mail.htm

---

## 6. Rechtlicher Rahmen

- Art. 321 StGB: Verletzung des Berufsgeheimnisses → Gefängnis oder Busse
- Berufsgeheimnisträger: Ärzte, Apotheker, Rechtsanwälte, Revisoren, Geistliche
- Unverschlüsselte E-Mails mit Patientendaten = Verletzung des Berufsgeheimnisses
- HIN-Zertifizierungen entsprechen dem für EPD geforderten Vertrauenslevel

---

## 7. Zusammenfassung: HIN-Sicherheitsniveau

| Bereich                  | HIN-Standard                                    |
|--------------------------|--------------------------------------------------|
| Netzwerk                 | SCION/SSHN, nur Schweizer Netze, DDoS-Schutz    |
| Verschlüsselung          | S/MIME, RSA 4096-bit, SHA256                     |
| PKI                      | Eigene CA ("HIN MGW Issuing CA 2022")            |
| Zertifikate              | Domain-Zertifikate, 72h SSHN-Zertifikate         |
| Authentifizierung         | 2FA (mTAN/App + Passwort/AD/Geräteschlüssel)    |
| SSO                      | Ja, für HIN-geschützte Anwendungen               |
| Identitätsprüfung         | Videoidentifikation, Berufsregister              |
| Transport                | Wireguard (Stargate), SMTP+S/MIME (Legacy)       |
| Mandantentrennung         | 1 Instanz pro Organisation                       |
| Zukunftssicherheit        | Post-Quanten-Kryptografie vorbereitet            |
| Quellcode                | Open Source (Stargate)                            |
| Governance               | FMH, pharmaSuisse, BAG, SWITCH, HIN              |