suro/aza
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
d4822fc8dc62076ba6391e39cf239cb696abdfc1
aza/AzA march 2026/security/reference/hin_docs/hin_architektur.md
suro faf4ca10c9 update
2026-03-25 22:03:39 +01:00

8.0 KiB
Raw Blame History

HIN Sicherheitsarchitektur Technische Referenz

Quelle: Öffentlich verfügbare HIN-Dokumentation (Stand Feb 2026)

1. Überblick

HIN (Health Info Net AG) wurde 1996 auf Initiative der FMH gegründet. Über 90% der Akteure des Schweizer Gesundheitswesens nutzen HIN. Ca. 14.500 Einzelabonnenten + 350 Institutionen.

Hauptprodukte:

  • HIN Mail (verschlüsselte E-Mail)
  • HIN Gateway (Stargate) Organisationsanbindung
  • HIN Access Gateway (AGW) VPN/Netzwerkzugang
  • HIN Identität (eID) Authentifizierung
  • SSHN (Secure Swiss Health Network) SCION-basiertes Netzwerk
  • HIN Sign Digitale Signaturen
  • HIN Endpoint Security Endgeräteschutz

2. Netzwerkarchitektur

2.1 HIN Vertrauensraum

  • Geschlossene Kommunikationsumgebung für das Gesundheitswesen
  • Governance durch: HIN, FMH, pharmaSuisse, BAG Cybersicherheit, SWITCH
  • Zugang nur für verifizierte Gesundheitsakteure

2.2 SSHN (Secure Swiss Health Network) SCION-Technologie

  • Basiert auf SCION (ETH Zürich): "Scalability, Control and Isolation on next-generation Networks"
  • Redundante Transportwege mit automatischem Fail-over (Sekundenbruchteile)
  • Routing ausschliesslich über Schweizer Netze (kein Datenexport)
  • Schutz vor DDoS-Attacken
  • Any-to-any Verschlüsselung zwischen allen Teilnehmern
  • Zertifikatsbasierte Authentifizierung (72h Gültigkeit, Erneuerung nach 18h)
  • Erstausgestelltes Zertifikat: 7 Tage Gültigkeit
  • Core Member: Swisscom, Sunrise (ISPs mit eigenen autonomen Netzwerken)
  • Carrier: Cyberlink, VTX, Everyware (nutzen Core-Member-Netze)
  • Auch genutzt von: Swiss Secure Finance Network (SSFN) bei SIX/SNB
  • Getestet von: SIX, EDA, Armasuisse

2.3 HIN Access Gateway (AGW)

  • Virtuelle Appliance (VMware, HyperV, Qemu/Libvirt)
  • Aktuelle Version: 3.1.65
  • SHA-256 Prüfsummen für Integritätsverifikation
  • Funktionen: SSL, Cluster-Management, Monitoring, Administration

2.4 HIN Gateway (Stargate) Neue Generation

  • Cloud-native Microservice-Architektur
  • RESTful-APIs, Open-Source-Komponenten
  • Quellcode wird quelloffen sein
  • Design orientiert an Gaia-X und European Health Data Space (EHDS)
  • Betriebsmodelle: OpenShift, Kubernetes, VMware, Microsoft, QEMU, Hybrid
  • EINE Instanz pro Organisation (nicht mandantenfähig bewusste Sicherheitsentscheidung)
  • Transport: Wireguard-Protokoll (kein VPN-Tunneling, reiner App-zu-App-Kanal)
  • Dezentrale Identitäten (SSI), verteiltes Schlüsselmanagement
  • Programmierbare Richtlinien
  • Post-Quanten-Kryptografie vorbereitet

Quelle: https://support.hin.ch/de/service/hin-gateway.cfm

3. PKI / Zertifikatsinfrastruktur

3.1 HIN-eigene PKI

  • Aussteller: "HIN MGW Issuing CA 2022"
  • Zertifikatstyp: Domain-Zertifikate für S/MIME
  • CN: "Domain Certificate for "
  • SAN: "domain-confidentiality-authority@"
  • Schlüssel: RSA 4096-bit
  • Signatur: SHA256withRSAEncryption
  • Gültigkeit: 10 Jahre (Domain-Zertifikate)

3.2 SSHN-Zertifikate

  • Gültigkeit: 72 Stunden (Standard)
  • Erstausstellung: 7 Tage
  • Erneuerung: 18h nach Installation des aktuellen Zertifikats
  • CSR-Erstellung gemäss Anapaya-Dokumentation
  • Einreichung an: certificate-hvr@hin.ch

3.3 Zertifikatsverteilung

  • HIN-Backend stellt Domain-Zertifikate zentral bereit
  • Alle HIN-Gateways laden Public Keys vom HIN-Backend herunter
  • Geschlossenes System: Zertifikate nicht extern verfügbar
  • Bei Installation: Gateway fordert Zertifikat bei HIN-PKI an

Quelle: https://msxfaq.de/signcrypt/hin-mail.htm

4. Authentifizierung

4.1 HIN Identitätstypen

Persönliche eID

  • Vergleichbar mit digitalem Ausweisdokument
  • Identitätsprüfung via Videoidentifikation
  • Berufsqualifikation über Verbände/nationale Register verifiziert
  • Zugriff auf EPD möglich
  • Höchstes Vertrauenslevel

Persönliche eID für Organisationen

  • Organisation prüft Identität der Mitarbeitenden
  • Nur für HIN Services (nicht HIN-geschützte Anwendungen)
  • Erweiterung bestehender lokaler Identitäten (z.B. AD)

Team-Identität

  • Gemeinsame Nutzung durch mehrere Personen (z.B. MPA-Team)
  • Tieferes Vertrauenslevel
  • Kein EPD-Zugriff möglich
  • Verschlüsselung identisch zur persönlichen eID

4.2 Zwei-Faktor-Authentisierung (2FA)

HIN Client (Einzelpersonen ohne grosse IT)

  • Faktor 1: HIN Passwort
  • Faktor 2: Kryptographischer Schlüssel auf dem Gerät

HIN Gateway (Organisationen mit IT-Infrastruktur)

  • Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App
  • Faktor 2: Lokaler Verzeichnisdienst (Active Directory)

Mobiler Zugriff

  • Faktor 1: SMS-Code (mTAN) oder Authentisierungs-App
  • Faktor 2: HIN Login + HIN Passwort

4.3 Single Sign-on (SSO)

  • Nach HIN-Anmeldung keine erneute Passworteingabe nötig
  • Zugriff auf HIN-geschützte Anwendungen
  • Zugriff auf EPD-Portale (nur mit persönlicher eID)

Quelle: https://www.hin.ch/de/services/hin-identitaet.cfm

5. Verschlüsselung / Secure Mail

5.1 HIN Mail (intern HIN-zu-HIN)

  • S/MIME-Verschlüsselung mit Domain-Zertifikaten
  • Automatische Verschlüsselung durch Gateway/Backend
  • Gateway prüft Empfänger-Domain gegen HIN-Domainliste
  • Ausgehend: Signierung mit eigenem Zertifikat + Verschlüsselung mit Public Key des Empfängers
  • Eingehend: Signaturprüfung + Entschlüsselung mit eigenem Private Key
  • Header "X-HIN-Encrypted" markiert verschlüsselte Mails
  • Transport: SMTP über Internet (MX-Record-Auflösung)
  • TLS optional (nicht erzwungen, daher S/MIME als primärer Schutz)

5.2 HIN Mail Global (extern an Nicht-HIN-Teilnehmer)

  • Betreff muss "(Confidential)" enthalten
  • Mail wird auf HIN-Webserver bereitgestellt
  • Empfänger erhält Benachrichtigung mit HTML-Anhang ("Secure-email.html")
  • Authentifizierung: SMS-Code an registrierte Mobilnummer
  • "Gerät merken" Option verfügbar
  • Link-Gültigkeit: 30 Tage
  • Basiert auf GINA-Verfahren von SEPPMail
  • Betreffzeile bleibt UNVERSCHLÜSSELT

5.3 Drei Betriebsmodelle

  1. Gehostetes Postfach (~380 CHF/Jahr): Webmail oder IMAP4, Backend verschlüsselt
  2. HIN Gateway: Eigener Mailserver, Gateway verschlüsselt/entschlüsselt automatisch
  3. Webbasiert: Zugriff via webmail.hin.ch

5.4 Technische Details Gateway

  • HIN Gateway basiert auf SEPPMail-Appliance (reduzierte Funktion)
  • Unterstützt Exchange Online Integration (O365)
  • Prüft X-OriginatorOrg und X-MS-Exchange-CrossTenant-Id
  • SMTP-Schnittstelle für interne Geräte (Relay)
  • IMAP-Zugriff über Zimbra-Plattform (unverändert)

Quellen:

6. Rechtlicher Rahmen

  • Art. 321 StGB: Verletzung des Berufsgeheimnisses → Gefängnis oder Busse
  • Berufsgeheimnisträger: Ärzte, Apotheker, Rechtsanwälte, Revisoren, Geistliche
  • Unverschlüsselte E-Mails mit Patientendaten = Verletzung des Berufsgeheimnisses
  • HIN-Zertifizierungen entsprechen dem für EPD geforderten Vertrauenslevel

7. Zusammenfassung: HIN-Sicherheitsniveau

Bereich HIN-Standard
Netzwerk SCION/SSHN, nur Schweizer Netze, DDoS-Schutz
Verschlüsselung S/MIME, RSA 4096-bit, SHA256
PKI Eigene CA ("HIN MGW Issuing CA 2022")
Zertifikate Domain-Zertifikate, 72h SSHN-Zertifikate
Authentifizierung 2FA (mTAN/App + Passwort/AD/Geräteschlüssel)
SSO Ja, für HIN-geschützte Anwendungen
Identitätsprüfung Videoidentifikation, Berufsregister
Transport Wireguard (Stargate), SMTP+S/MIME (Legacy)
Mandantentrennung 1 Instanz pro Organisation
Zukunftssicherheit Post-Quanten-Kryptografie vorbereitet
Quellcode Open Source (Stargate)
Governance FMH, pharmaSuisse, BAG, SWITCH, HIN
Reference in New Issue View Git Blame Copy Permalink