Prüfspezifikation Elektronische Zustellung

Transkript

1 Telefon: ++43 (316) Fax: ++43 (316) Inffeldgasse 16a / 8010 Graz / Austria Prüfspezifikation Elektronische Zustellung Version Dr. Arne Tauber arne.tauber@egiz.gv.at Graz, am 07. Dezember 2012 Zusammenfassung: Die elektronische Zustellspezifikation stellt das Rahmenwerk für eine Zertifizierung eines elektronischen Zustelldienstes nach den technischen Richtlinien dar. Im vorliegenden Dokument sind all jene Prüffälle spezifiziert, anhand derer die Funktionalität eines elektronischen Zustelldienstes geprüft werden kann. Dieses Dokument definierte die Prüffälle zur Validierung der technischen Konformität eines elektronischen Zustelldienstes hinsichtlich der Zulassungsvoraussetzungen gemäß 3 Abs 1 Z 6, Z 7 und Z 10 ZustDV (Verordnung des Bundeskanzlers über die Zulassung als elektronischer Zustelldienst - Zustelldiensteverordnung) und somit die Erfüllung der in der Anlage der Verordnung genannten technischen Spezifikationen.

2 Inhalt 1 Vorwort Prüfgegenstand Prüfwerkzeuge Aufbau der Prüfspezifikation Prüffälle FC1 Kernfunktionalität Zustellung Annahme (Schnittstellen) Verrechnungs- und Tokenvalidierungsservice FC2 Anwenderschnittstelle Anmeldung/Registrierung mit der Bürgerkarte Inbox Funktionen Einstellungsmöglichkeiten / Kontoverwaltung User Interface Sonstiges FC3 Fehlerverhalten Fehler bei Darstellung innerhalb der Web-Oberfläche Reaktion bei Fehlbedienung durch den Anwender Reaktion bei fehlerhafter Ansteuerung externer Schnittstellen FC4 Sicherheitsaspekte Sicherheit der IT-Infrastruktur Sicherheitsaspekte Software Web-Interface Recovery Test bei Ausfall Zustellkopf FC5 Verständigungen Zustellung mit Zustellnachweis Zustellung ohne Zustellnachweis

3 1 Vorwort Die elektronische Zustellspezifikation stellt das Rahmenwerk für eine Zertifizierung eines elektronischen Zustelldienstes nach den technischen Richtlinien dar. Im vorliegenden Dokument sind all jene Prüffälle spezifiziert, anhand derer die Funktionalität eines elektronischen Zustelldienstes geprüft werden kann. Fachlich zuständig für die Formulierung und Betreuung dieses Dokuments ist das E-Government Innovationszentrum: E-Government Innovationszentrum Inffeldgasse 16/a A-8010 Graz 2 Prüfgegenstand Dieses Dokument definierte die Prüffälle zur Validierung der technischen Konformität eines elektronischen Zustelldienstes hinsichtlich der Zulassungsvoraussetzungen gemäß 3 Abs 1 Z 6, Z 7 und Z 10 ZustDV (Verordnung des Bundeskanzlers über die Zulassung als elektronischer Zustelldienst - Zustelldiensteverordnung) und somit die Erfüllung der in der Anlage der Verordnung genannten technischen Spezifikationen: Technische Spezifikationen entsprechend 3 Abs 1 Z 7 ZustDV 1. die Spezifikationen der elektronischen Zustellung für die gemäß 29 Abs. 1 ZustG nach dem jeweiligen Stand der Technik zu erbringenden Leistungen eines Zustelldienstes 2. die Spezifikationen der Bürgerkarte für die in 33, 35 Abs. 3 und 37a ZustG angeführten Verwendungen und 3. dem jeweiligen Stand der Technik entsprechende Algorithmen, Schlüssellängen und Parameter für serverseitig authentifizierte Verbindungen mit starker Verschlüsselung. Erfordernisse zur Erfüllung der in 3 Abs. 1 Z 10 ZustDV und 29 Abs. 7 ZustG genannten barrierefreien Zugang. Dies wird gemäß der "Web Content Accessibility Guidelines" des W3C in der Stufe A 1 geprüft. Der Prüfspezifikation liegen folgende technische Spezifikationen 2 einzelnen Prüffälle abzielen: bei, auf deren Konformität die 1. Elektronische Zustellung Message Spezifikation (zusemsg 1.4.1) 2. Elektronische Zustellung Technische Spezifikation Zustelldienste (zusespec 1.4.1) 3. Elektronische Zustellung LDAP-Schemabeschreibung (zuseldap 1.4.1) 4. Elektronische Zustellung Zustellkopf Schnittstellenspezifikation (zusekopf 1.4.1) 1 Originalfassung der W3C Web Content Accessibility Guidelines verfügbar in Englisch unter WEBCONTENT/ 2 3

4 5. Elektronische Zustellung Push Protokoll (zusepush 1.4.1) 6. Elektronische Zustellung Modell und Prozesse der Verrechnung (zuserech 1.4.1) 7. Spezifikation der Bürgerkarte in der Version Bietet ein Zustelldienst optional die Privatzustellung an, so wird zusätzlich auf Konformität mit dem Dokument Elektronische Zustellung Nachweisliche Zusendung im Auftrag von Privaten (zusepriv 1.4.1) geprüft. Bietet ein Zustelldienst optional eine alternative Abholung gemäß 35(3) in Form einer Mailabholung an, so wird zusätzlich auf Konformität mit dem Dokument Elektronische Zustellung Abholung von Zustellung über Clients (zus 1.4.1) geprüft. Im Fall einer alternativen Form der automatisierten Abholung erfolgt eine individuelle Prüfung der Einhaltung der rechtlichen und technischen Erfordernisse. 3 Prüfwerkzeuge Für die Durchführung der einzelnen Prüffälle kommen folgende Werkzeuge zur Anwendung: Aktuellste Referenzimplementierungen der Zustellspezifikation o OpenZUSE in der aktuellsten Version 4 o MOA-ZS in der aktuellsten Version 5 o Referenzimplementierung des Zustellkopfs 6 Folgende Browser in den jeweils aktuellsten Versionen o Internet Explorer (zusätzlich 7,8 und 9) o o o Bürgerkarten o o Mozilla Firefox Google Chrome Apple Safari Diverse Chipkartenausprägungen (e-card, A-Trust Bürgerkarte, etc.) Handy-Signatur Am Markt befindliche Bürgerkartenumgebungen einschließlich der aktuellsten Version der Online-BKU und der Handy-Signatur Online Prüftools zur Validierung der HTML/XHTML/WCAG Konformität Diverse IT-Sicherheitstools (bspw. für Penetration-Tests) 4 Aufbau der Prüfspezifikation Die Prüfspezifikation deckt alle technischen Erfordernisse eines elektronischen Zustelldienstes ab und ist in folgende Hauptbereiche (Funktionsklassen) unterteilt:

5 FC1: Kernfunktionalität FC2: Anwenderschnittstelle (User Interface) FC3: Fehlerverhalten FC4: Sicherheitsaspekte FC5: Verständigungen FC1 (Kernfunktionalität) deckt Tests rund um die Kernfunktionen der elektronischen Zustellung ab. Hierein fallen die Abwicklung grundlegender Zustellfunktionen (Zustellung, Registrierung, etc.) sowie die Spezifikationskonformität aller externen technischen Schnittstellen des Zustellkonzeptes. FC2 (Anwenderschnittstelle) behandelt die Schnittstelle hin zum Anwender (BürgerInnen). FC3 (Fehlerverhalten) behandelt das Fehlverhalten des gegenständlichen Zustelldienstes hinsichtlich technischer und anwenderorientierter Schnittstellen. Die Prüfung zielt auf die Feststellung eines adäquaten und robusten Verhaltens des Zustelldienstes ab. FC4 (Sicherheitsaspekte) behandelt die Feststellung adäquater IT-Sicherheitsmaßnahmen. Hierzu werden sowohl die technischen Infrastrukturelemente, Ausfalls- und Recovery-Maßnahmen als auch organisatorische Sicherheitskonzepte bewertet. FC5 (Verständigungen) behandelt die unterschiedlichen Ausprägungen von elektronischen Verständigungen, die vom Zustellserver versendet werden müssen. 5 Prüffälle 5.1 FC1 Kernfunktionalität Zustellung Annahme (Schnittstellen) Prüffall_ID Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit Zustellnachweis (WS) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Der technische Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Webservice Adresse Webservice Schnittstelle Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur 5

6 Gültige Bürgerkartensignatur Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID Erwartetes Zustellung eines verschlüsselten Zustellstücks mit Zustellnachweis (WS) Es wird an einen Empfänger ein verschlüsseltes Zustellstück zugestellt. Der technische Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Empfänger hat ein Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Webservice Adresse Webservice Schnittstelle Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur Gültige Bürgerkartensignatur Zustellung eines verschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID

7 Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit Zustellnachweis ( ) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Der technische Zustellnachweis muss dabei via rückübermittelt werden. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Adresse Übermittlung des Zustellnachweises via Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an die angegebene Adresse. Der Versanddienst des Zustelldienstes muss dabei mit state-ofthe-art Technologien (bspw. Greylisting) umgehen können. Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur Gültige Bürgerkartensignatur Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID Zustellung eines verschlüsselten Zustellstücks mit Zustellnachweis ( ) Es wird an einen Empfänger ein verschlüsseltes Zustellstück zugestellt. Der technische Zustellnachweis muss dabei via rückübermittelt werden. Empfänger hat ein Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Adresse Übermittlung des Zustellnachweises via 7

8 Erwartetes Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur Gültige Bürgerkartensignatur Zustellung eines verschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit Zustellnachweis (WS) Alternative Abholung gemäß 35(3) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Die Abholung erfolgt nicht mittels Bürgerkarte an der Web-GUI, sondern mittels automatisierter Abholung gemäß 35(3) ZustG. Der technische Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Diese Prüffall ist nur relevant, sofern der Zustelldienst eine alternative Abholung gemäß 35(3) ZustG unterstützt. Zustelldienst unterstützt eine Abholung gemäß 35(3) ZustG Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Webservice Adresse Webservice Schnittstelle Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur über gesamten Zustellnachweis Gültige Signatur des Authblocks (vom Zustelldienst signiert) 8

9 Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende alternative Abholung des Zustellstücks gemäß 35(3) Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit Zustellnachweis ( ) Alternative Abholung gemäß 35(3) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Die Abholung erfolgt nicht mittels Bürgerkarte an der Web-GUI, sondern mittels automatisierter Abholung gemäß 35(3) ZustG. Der technische Zustellnachweis muss dabei an eine Adresse rückübermittelt werden. Zustelldienst unterstützt eine Abholung gemäß 35(3) Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Adresse Übermittlung des Zustellnachweises via Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an die angegebene Adresse Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur über gesamten Zustellnachweis Gültige Signatur des Authblocks (vom Zustelldienst signiert) Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende alternative Abholung des Zustellstücks gemäß 35(3) Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID

10 Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit PDF Zustellnachweis (WS) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Der technische PDF Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Webservice Adresse Webservice Schnittstelle PDF Zustellnachweis Korrekte Übermittlung des PDF Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des PDF Zustellnachweises Gültige Zustelldienstsignatur des PDF Zustellnachweises Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit PDF Zustellnachweis ( ) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Der technische PDF Zustellnachweis muss dabei via E- Mail rückübermittelt werden. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Adresse Übermittlung des Zustellnachweises via PDF Zustellnachweis Korrekte Übermittlung des PDF Zustellnachweises vom Zustelldienst an das Webservice 10

11 Schemakonformität des PDF Zustellnachweises Gültige Zustelldienstsignatur des PDF Zustellnachweises Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit PDF Zustellnachweis (WS) Alternative Abholung gemäß 35(3) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Die Abholung erfolgt nicht mittels Bürgerkarte an der Web-GUI, sondern mittels automatisierter Abholung gemäß 35(3) ZustG. Der technische PDF Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Zustelldienst unterstützt eine Abholung gemäß 35(3) Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis ein Webservice Webservice Schnittstelle PDF Zustellnachweis Korrekte Übermittlung des PDF Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des PDF Zustellnachweises Gültige Zustelldienstsignatur des PDF Zustellnachweises Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende alternative Abholung des Zustellstücks gemäß 35(3) Prüfung des unmittelbar einlangenden Zustellnachweises 11

12 Prüffall_ID Erwartetes Zustellung mit Übergabebestätigung Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt und eine Übergabebestätigung (DeliveryConfirmation) angefordert. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält eine Anforderung für eine Übergabebestätigung Übergabebestätigung Korrekte Rückübermittlung der Übergabebestätigung Schemakonformität der Übergabebestätigung Gültige Signatur der Übergabebestätigung Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) DeliveryConfirmation Flag gesetzt Prüfung der Schemakonformität der Übergabebestätigung Prüfung der Zustelldienstsignatur der Übergabebestätigung Prüffall_ID Erwartetes Zustellstück während Login Es wird das Verhalten des Zustelldienstes geprüft wenn ein Empfänger eingeloggt ist und dieser während einer laufenden Session ein neues Zustellstück erhält. Zustelldienstverhalten für neu einlangende Zustellstücke Visuelle Information/Anzeige für den Empfänger, dass ein neues Zustellstück eingetroffen ist Auf das neue Zustellstück darf erst nach erneutem Login zugegriffen werden Einloggen am Zustelldienst mittels Bürgerkarte Zustellung eines Zustellstücks Refresh des Posteingangs 12

13 Prüffall_ID Erwartetes Zustellstück an nicht existierenden Empfänger Es wird das Verhalten des Zustelldienstes geprüft wenn ein Zustellstück an einen nicht existierenden Empfänger zugestellt wird. Token muss für einen Empfänger ausgestellt sein, der sich von der elektronischen Zustellung abgemeldet hat Zustelldienst-Verhalten Fehlermeldung für den Versender, dass der angegebene Empfänger nicht existiert Abfrage Zustellkopf für existierenden Empfänger Auflösen des Postfachs des existierenden Empfänger Zustellung eines Zustellstücks für nicht existierenden Empfänger Auswertung der Antwort Prüffall_ID Erwartetes Ungültiges Zustelltoken Es wird das Verhalten des Zustelldienstes geprüft wenn ein Zustellstück mit einem ungültigen Token (bspw. nicht entschlüsselbar oder nicht vom Zustellkopf ausgestellt) zugestellt wird. Zustelldienst-Verhalten Fehlermeldung für den Versender, dass das verwendete Token nicht verarbeitet werden kann Erstellung eines ungültigen Tokens mit vom Zustelldienst unterschiedlichen öffentlichen Schlüssel Erstellung eines ungültigen Zustelltokens auf Seite des Zustellkopfes (es wird Tokenvalidierung durch den Zustelldienst erwartet) Zustellung eines Zustellstücks mit einem ungültigen Token Auswertung der Antwort 13

14 Prüffall_ID Erwartetes AppDeliveryID Länge Es wird das Verhalten des Zustelldienstes geprüft wenn eine Zustellung eine AppDeliveryID mit mehr als 255 Zeichen enthält. Zustelldienst-Verhalten Fehlermeldung für den Versender, dass AppDeliveryID ungültig ist Zustellung eines Zustellstücks mit einer AppDeliveryID > 255 Zeichen Auswertung der Antwort Prüffall_ID Erwartetes Ungültiges Client-Zertifikat Es wird das Verhalten des Zustelldienstes geprüft wenn ein ungültiges Client-Zertifikat für die Zustellung verwendet wird Zustelldienst-Verhalten Fehlermeldung für den Versender, dass Client-Zertifikat ungültig ist, d.h. nicht zum übermittelten Token passt oder generell für die elektronische Zustellung ungeeignet ist mit Client Zertifikat A Zustellung eines Zustellstücks mit Client Zertifikat B oder Zustellung eines Zustellstücks mit einem selbst-signiertem Client Zertifikat (nicht am Zustellkopf registriert) Auswertung der Antwort Prüffall_ID Ungültige Zustellqualität Es wird das Verhalten des Zustelldienstes geprüft wenn eine 14

15 Erwartetes Zustellung mit einer ungültigen Zustellqualität durchgeführt wird. Zustelldienst-Verhalten Fehlermeldung für den Versender, dass Zustellqualität ungültig ist Zustellung eines Zustellstücks mit ungültiger Zustellqualität im Request (bspw. RSc oder nonrsa-) Auswertung der Antwort Prüffall_ID Erwartetes Nicht akzeptierte MIME Typen Es wird das Verhalten des Zustelldienstes geprüft wenn eine Zustellung ein Dokument mit einem MIME Typ enthält, den der Empfänger in seinen Einstellungen ausgeschlossen hat Empfänger hat akzeptierte Dokumentenformate nicht auf */* (Wildcard) eingestellt Zustelldienst-Verhalten Fehlermeldung für den Versender, dass Zustellung aufgrund des nicht unterstützten MIME Typs abgelehnt wird Einloggen am Zustelldienst Deaktivieren der Wildcard (*/*) Zustellung und Auswählen eines bestimmten MIME Typs (bspw. application/pdf) Auswertung der unterstützten MIME Typen Zustellung eines Zustellstücks mit nicht unterstütztem MIME Typ (bspw. text/plain wenn nur application/pdf ausgewählt ist) Auswertung der Antwort Prüffall_ID Geschäftszahl (GZ) Eine Geschäftszahl (GZ) kann optional zusätzlich zur AppDeliveryID bei einer Zustellung mitübergeben werden. Die GZ muss dann auch 15

16 Erwartetes an den entsprechenden Stellen angezeigt werden. Zustelldienst-Verhalten Anzeige der GZ in der Web-GUI in den Details des Zustellstücks Vorhandene GZ in der synchronen Antwort der Zustellung Vorhandene GZ in der DeliveryConfirmation Vorhandene GZ im Zustellnachweis Vorhandene GZ in den Verständigungen Zustellung eines Zustellstücks mit GZ und Anforderung einer DeliveryConfirmation im Request Auswertung der Antwort Auswertung der Verständigungen Einloggen und Auswerten der GUI Anzeige Auswertung des Zustellnachweises Verrechnungs- und Tokenvalidierungsservice Prüffall_ID Erwartetes Tokenvalidierung Validierung von vom Zustelldienst erstellten Tokens ValidateTokenRequest Zustelldienst versucht bei einer Zustellstückannahme ein Token zu validieren Token ist gültig und dem entsprechenden Versender zugeordnet Zustellung eines Zustellstücks Auswertung der ValidateTokenRequest Anfrage am Zustellkopf 16

17 Prüffall_ID Erwartetes Verrechnung nonrsa Zustellstück Es wird geprüft ob ein nonrsa Zustellstück auch entsprechend am Zustellkopf verrechnet wird ClearingRequest Zustelldienst übermittelt Tokendaten korrekt Zustellung eines Zustellstücks mit nonrsa Qualität Auswertung der ClearingRequest Anfrage Prüffall_ID Erwartetes Verrechnung RSa Zustellstück ohne postalische Verständigung Es wird geprüft ob ein RSa Zustellstück ohne postalische Verständigung auch entsprechend am Zustellkopf verrechnet wird ClearingRequest Zustelldienst übermittelt Tokendaten korrekt Zustellung eines Zustellstücks mit RSa Qualität Sofortige Abholung am Zustelldienst Auswertung der ClearingRequest Anfrage Prüffall_ID Erwartetes Verrechnung RSa Zustellstück mit postalischer Verständigung Es wird geprüft ob ein RSa Zustellstück mit postalischer Verständigung auch entsprechend am Zustellkopf verrechnet wird Hinterlegte Abgabestelle des Empfängers ClearingRequest Zustelldienst übermittelt Tokendaten korrekt 17

18 Zustellung eines Zustellstücks mit RSa Qualität Warten bis postalische (3te) Verständigung versendet wird Auswertung der ClearingRequest Anfrage 5.2 FC2 Anwenderschnittstelle Anmeldung/Registrierung mit der Bürgerkarte Prüffall_ID Erwartetes Unterstützung Security-Layer 1.2 Schnittstelle Es wird geprüft ob der Zustelldienst die Anmeldung über die Security-Layer 1.2 Schnittstelle unterstützt Security-Layer Protokoll Bürgerkartenanmeldung mittels Security-Layer Schnittstelle 1.2 möglich Anmeldung (bzw. Registrierung) am Zustelldienst mit der Bürgerkarte (Bürgerkartenumgebung kommuniziert mittels Security-Layer 1.2) Prüfung des Anmeldeablaufs und der Protokolldaten Prüffall_ID Erwartetes Registrierung ohne Angabe einer Abgabestelle Es wird geprüft ob die Registrierung am Zustelldienst ohne die Angabe einer Abgabestelle möglich ist Empfänger ist noch nicht am Zustelldienst registriert Zustelldienst-Verhalten Anmeldung ohne Angabe einer Abgabestelle möglich Registrierung am Zustelldienst mittels Bürgerkarte ohne zwingende Angabe einer Abgabestelle 18

19 Prüffall_ID Erwartetes Registrierung mit Angabe einer Abgabestelle Es wird geprüft ob die Registrierung am Zustelldienst mit Angabe einer Abgabestelle möglich ist Empfänger ist noch nicht am Zustelldienst registriert Zustelldienst-Verhalten Anmeldung mit Angabe einer Abgabestelle möglich Registrierung am Zustelldienst mittels Bürgerkarte Versuch der Angabe einer Abgabestelle im Zuge der Registrierung Prüffall_ID Erwartetes Registrierung eines Empfängers am Zustellkopf Es wird geprüft ob bei der Registrierung am Zustelldienst auch die korrekten Daten an den Zustellkopf übermittelt ( gepusht ) werden Empfänger ist noch nicht am Zustelldienst registriert Zustelldienst-Verhalten Daten werden korrekt an den Zustellkopf gepusht Bei juristischen Personen dürfen keine personenbezogene Daten des Vertreters mitübermittelt werden Registrierung am Zustelldienst mittels Bürgerkarte Kontrolle der übermittelten Daten an den Zustellkopf Prüffall_ID Erwartetes Auflösen eines Postfachs Es wird geprüft ob ein Empfänger ein Postfach vollständig auflösen kann Zustelldienst-Verhalten Postfach wird komplett aufgelöst (keine Daten mehr am Zustelldienst vorhanden) 19

20 Sämtliche Empfängerdaten werden aus dem Zustellkopf gelöscht Einloggen am Zustelldienst Betätigen der Funktion Postfach auflösen Kontrolle ob erneuter Login zu einem Registrierungsprozess führt Kontrolle ob sämtliche Daten aus dem Zustellkopf gelöscht wurden Prüffall_ID Erwartetes Abbrechen des Registrierungsprozesses Es wird geprüft ob ein Registrierungsprozess abgebrochen werden kann Empfänger ist nicht am Zustelldienst registriert Zustelldienst-Verhalten Eine Registrierung kann abgebrochen werden ohne dass Daten am Zustelldienst oder Zustellkopf hinterlegt werden Anmeldung mittels Bürgerkarte Vor Bestätigung/Finalisierung wird die Registrierung abgebrochen Prüfen der Daten im Zustellkopf Erneutes Starten der Registrierungsprozesses Prüffall_ID Erwartetes Aktivierungslink Es wird das Verhalten von Aktivierungslinks für Verständigungsadressen geprüft Empfänger ist nicht am Zustelldienst registriert Zustelldienst-Verhalten Gültige Aktivierungslinks müssen eine Adresse hinzufügen Ungültige Aktivierungslinks müssen eine Fehlermeldung provozieren 20

21 Aktivierungslinks dürfen nicht erratet werden können (bspw. durch Benutzung von einfachen sequentiellen Nummern) Registrierung und Angabe einer Adresse Überprüfen des via zugesendeten Aktivierungslinks Prüffall_ID Erwartetes Alternative Abholung mittels automatisiert ausgelöster Signatur gemäß 35(3) Es wird das Verhalten von Zustelldiensten geprüft, die eine Abholung nach 35(3) unterstützen. Wird eine solche Abholung nicht unterstützt, ist dieser Prüffall nicht relevant Zustelldienst unterstützt eine alternative Abholung gemäß 35(3) Zustelldienst-Verhalten Alternative Abholung funktioniert spezifikationsgemäß Zustellung eines Zustellstücks Prüfung der Abholung abhängig von der Art der Umsetzung Prüffall_ID Erwartetes Anmeldung mittels Bürgerkarte Es wird die Anmeldung am Zustelldienst mittels Bürgerkarte getestet Anmelde-Verhalten des Zustelldienstes Korrekte Anmeldeprozedur nach Security-Layer 1.2 Korrekte Anzeige der Signaturdaten Unterstützung aller am Markt befindlichen Bürgerkartenumgebungen Korrekte Prüfung der Anmeldedaten (MOA-ID Funktionalität) Unterstützung unterschiedlicher Bürgerkartenausprägungen (e-card, Dienstkarten, A-Trust Karten, etc.) 21

22 Anmeldung mittels am Markt befindlicher lokaler BKUs Anmeldung mittels Online-BKU Anmeldung mittels Handy-Signatur Prüfung der Signaturdaten Prüfung von Fehlerverhalten, d.h. ungültige Bürgerkarte, ungültige Personenbindung, abgelaufenes Zertifikat, ungültiges bpk, widerrufenes Zertifikat, etc. Prüfung mit unterschiedlichen Bürgerkartenausprägungen (e- Card, A-Trust Karte, etc.) Prüffall_ID Erwartetes Logout Es wird der Logout am Zustelldienst getestet Empfänger ist am Zustelldienst angemeldet Logout-Verhalten des Zustelldienstes Empfänger ist anschließend ausgeloggt Sämtliche mit der Session verbundene Daten sind gelöscht, bspw. Cookies Manueller Logout möglich Automatisierter Logout nach Timeout Anmeldung mittels Bürgerkarte Manuelles Logout über Button oder Prüfen automatisierter Logout nach Timeout Prüffall_ID Anmeldung in Vertretung Es wird die Registrierung/Anmeldung in Vertretung getestet Juristische/natürliche Person ist noch nicht am Zustelldienst registriert Vollständige Unterstützung von Online-Vollmachten Erwartetes Empfänger kann sich mittels Vollmacht registrieren 22

23 Korrektes Pushen der Daten (ohne Daten des Vertreters) an den Zustellkopf Abholung und Anmeldung mittels Vollmacht Registrierung mittels Bürgerkarte und Online-Vollmacht (1x juristische, 1x natürliche Person) Prüfen der Daten am Zustellkopf Abfrage am Zustellkopf Zustellung eines Zustellstücks Prüfen der Zustelldienstantwort Prüfen der Verständigungen Abholung mittels Vollmacht Prüfung der Signaturdaten (Signatur der Vollmachtsreferenz, etc.) Prüfung des Zustellnachweises Prüffall_ID Erwartetes Inbox Funktionen Prüffall_ID Registrierung mit ungültigen Personendaten Es müssen bei einer Registrierung die Personendaten aus der Bürgerkarte verwendet werden Übernahme der Personendaten aus Bürgerkarte Personendaten aus Bürgerkarte werden am Zustelldienst bei Registrierung übernommen und an den Zustellkopf gepusht Registrierung mittels Bürgerkarte Versuchte Angabe von Personendaten, die nicht jenen in der Bürgerkarte entsprechen Prüfen des Zustelldienst-Verhaltens Prüfen der Daten, die an den Zustellkopf gepusht werden Zustellstück Funktionen 23

24 Erwartetes Es werden die Basisfunktionen für Zustellstücke getestet Zustellstück Basisfunktionen Zustellstück inklusive Metadaten (GZ, Datum, Subject, etc.) wird korrekt angezeigt Zustellstück kann an eine aktivierte Adresse weitergeleitet werden Zustellstück kann lokal gespeichert werden Zustellstück kann gelöscht werden (in Papierkorb verschoben) Zustellstück kann aus dem Papierkorb wiederhergestellt werden Zustellstück kann endgültig gelöscht werden Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen der Basisfunktionalitäten auf korrektes Verhalten Prüffall_ID Erwartetes Darstellung von Zustellstücken Es werden die Basisfunktionen für die Darstellung von Zustellstücken getestet Zustellstück Darstellungs-Basisfunktionen Korrekte Voransicht unterschiedlicher Zustellstück-Typen (PDF, XML, XML+XSL, DOC, TXT, etc.) Anzeige verschlüsselter Zustellstücke Einstellungsmöglichkeiten / Kontoverwaltung Prüffall_ID Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen der Darstellungs-Basisfunktionalitäten auf korrektes Verhalten Abwesenheitsmeldung 24

25 Erwartetes Es wird das Setzen der Abwesenheitsmeldung getestet Abwesenheitsmeldung-Funktion Setzen der Abwesenheit möglich Prüfen der Input-Daten (Beginn-Datum, End-Datum) Korrektes Pushen/Löschen der Daten an den Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen der Abwesenheitsmeldung-Funktion mit unterschiedlichen Input Parametern Entfernen der Abwesenheitsmeldung-Funktion Prüfen der Daten am Zustellkopf Prüffall_ID Erwartetes Verständigungsadressen Es wird das Hinzufügen/Löschen von Verständigungsadressen getestet Verständigungsadressen-Funktion Hinzufügen von Verständigungsadressen möglich Korrekte Aktivierung (Aktivierungslink) von Verständigungsadressen Löschen (bis auf letzte aktive) Verständigungsadresse möglich Korrektes Pushen/Löschen der Daten an den Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen ob Verständigungsadressen korrekt hinzugefügt bzw. gelöscht werden können Prüfen der Aktivierungslinks Prüfen der Daten am Zustellkopf Prüffall_ID Abgabestelle 25

26 Erwartetes Es wird das Hinzufügen/Löschen/Ändern der Abgabestelle getestet Abgabestelle-Funktion Hinzufügen von Abgabestelle möglich (sofern noch nicht gesetzt) Löschen der Abgabestelle möglich Ändern der Abgabestelle möglich Korrektes Format der Daten wird geprüft Korrektes Pushen/Löschen der Daten am Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen ob Abgabestelle beliebig hinzugefügt/gelöscht/verändert werden kann Prüfen der Eingabe-Daten (z.b. Format von PLZ) Prüfen der Daten am Zustellkopf Prüffall_ID Erwartetes Verschlüsselungszertifikat Es wird das Hinzufügen/Löschen/Ändern eines Verschlüsselungszertifikat getestet Verschlüsselungszertifikat-Funktion Hinzufügen von Verschlüsselungszertifikat möglich (sofern noch nicht gesetzt) Löschen des Verschlüsselungszertifikats möglich Ändern des Verschlüsselungszertifikats möglich Prüfen auf ein gültiges Zertifikat (z.b. Format/Ablaufdatum) Korrektes Pushen/Löschen der Daten am Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen ob Verschlüsselungszertifikat beliebig hinzugefügt/gelöscht/verändert werden kann Prüfen der Daten am Zustellkopf 26

27 Prüffall_ID Erwartetes Dokumentenformat Es wird das Setzen der Dokumentenformate getestet Dokumentenformate-Funktion Ändern der unterstützten Dokumentenformate möglich Vorauswahl der gängigen Dokumentenformate möglich (TXT, XML, PDF, DOC, etc.) Zustelldienst prüft auf gültige Dokumentenformate Korrektes Pushen/Löschen der Daten am Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen ob Dokumentenformate (*/*, PDF, etc.) gesetzt werden können Prüfen der Daten am Zustellkopf Prüffall_ID Erwartetes Privatzustellung Es wird die Funktionalität der Privatzustellung getestet Empfänger hat Checkbox Zusendung im Auftrag von Privaten aktiviert Zustelldienstfunktionalität der Privatzustellung. Falls ein Zustelldienst diese nicht unterstützt, so ist dieser Prüffall nicht relevant. Setzen der Checkbox Zusendung im Auftrag von Privaten möglich Pushen von gvacceptprivate und edid Zustellung im Auftrag von Privaten möglich Anmeldung am Zustelldienst mittels Bürgerkarte Setzen der Checkbox Zusendung im Auftrag von Privaten Prüfen der Daten im Zustellkopf Abfrage am Zustellkopf Zusendung eines privaten Zustellstücks Prüfen von Verständigungen, Zustellstück und Zustellnachweisen 27

28 5.2.4 User Interface Prüffall_ID Erwartetes HTML/XHTML Konformität Es wird die Konformität mit HTML/XHTML Standards getestet Das gesamte Web-GUI Standardkonformität des gesamten Web-GUIs mit angegebenen HTML/XHTML Standard, der im Header der jeweiligen Webseite ausgewiesen ist Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen aller Websites mit W3C Validierungstools Prüffall_ID Erwartetes Unterstützung verschiedener Browser Systems Sämtliche Seiten des Web-GUIs müssen auf unterschiedlichen Browser Systemen darstellbar sein Das gesamte Web-GUI Korrekte Darstellung der gesamten Web-GUI in verschiedenen Browsersystemen Unterstützung von Internet Explorer 7,8,9,10 Unterstützung der neuesten Versionen von Firefox, Chrome und Safari Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen aller Websites mit den angegebenen Browsern Prüffall_ID Accessibility Sämtliche Seiten des Web-GUIs müssen den Web Accessibility 28

29 Erwartetes Standard WCAG 2.0 gemäß Stand der Technik erfüllen. Das gesamte Web-GUI Das gesamte Web-GUI erfüllt den Web Accessibility Standard WCAG 2.0 gemäß Stand der Technik Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen aller Websites mit einem WCAG Prüftool Sonstiges Prüffall_ID Erwartetes 5.3 FC3 Fehlerverhalten Zusätzliche essentielle Informationen Es wird geprüft ob alle zusätzlichen essentiellen Informationen angezeigt werden und verfügbar sind Essentielle Informationen auf der Web-GUI des Zustelldienstes Darstellung AGB Informationen zu Service und Support Dokumentation und Hilfe Prüfen ob Informationen am Zustelldienst vorhanden und zugänglich sind Fehler bei Darstellung innerhalb der Web-Oberfläche Prüffall_ID Erwartetes Nicht existierende Seiten Es wird geprüft wie der Zustelldienst auf eine Anfrage für eine nicht existierende Seite reagiert. HTTP(S) Schnittstelle des Zustelldienstes Der Zustelldienst muss für nicht existierende Seiten eine aussagekräftige Fehlerseite zurückliefern 29

30 Aufruf einer nicht existierender URL Prüfen der Antwort des Zustelldienstes Prüffall_ID Erwartetes Gelöschte Zustellstücke Es wird geprüft wie der Zustelldienst auf eine Anfrage für ein bereits gelöschtes Zustellstück reagiert. Zugestelltes Zustellstück wurde endgültig gelöscht Zustelldienst-Verhalten Ein endgültig gelöschte Zustellstück darf nicht mehr zugänglich sein Anmeldung mittels Bürgerkarte am Zustelldienst Reaktion bei Fehlbedienung durch den Anwender Prüffall_ID Erwartetes Endgültiges Löschen eines bereits zugestellten Zustellstücks Prüfen ob auf dieses Zustellstück noch zugegriffen werden kann Fehleingabe in Eingabefeldern Es wird geprüft wie der Zustelldienst auf Fehleingaben in Eingabefeldern reagiert. Validierung von Formularfeldern Korrekte Validierung von Daten bei Registrierung Korrekte Validierung von Eingabedaten für o o o o o Verständigungsadressen Verschlüsselungszertifikat Abgabestelle Dokumentenformate Abwesenheiten Verständliche und aussagekräftige Fehlermeldungen bei 30

31 Fehleingaben Prüfung aller vorhandenen Formularfelder am Zustelldienst Reaktion bei fehlerhafter Ansteuerung externer Schnittstellen Prüffall_ID Erwartetes 5.4 FC4 Sicherheitsaspekte Sicherheit der IT-Infrastruktur Prüffall_ID Erwartetes PUSH Fehlverhalten bei Abwesenheit des Zustellkopfes Ein Zustelldienst muss bei Abwesenheit des PUSH Dienstes des Zustellkopfes entsprechende Recovery Mechanismen bereitstellen. Zustellkopf nicht erreichbar Zustelldienst-Verhalten bei Abwesenheit des PUSH Dienstes Zustelldienst versucht eigenständig in gewissen Zeitintervallen den PUSH Dienst zu kontaktieren Im Registrierungsprozess darf ein Zustellstück für einen Empfänger nicht angenommen werden, bevor die Daten nicht an den Zustellkopf übermittelt wurden Zustellkopf stoppen Versuch der Registrierung bzw. Änderung eines Datums bei bereits registriertem Empfänger Beobachtung des Verhaltens des Zustelldienstes IT-Sicherheitskonzept Das vom Antragsteller bereitgestellte IT-Sicherheitskonzept wird geprüft. Vorhandenes IT-Sicherheitskonzept IT-Sicherheitskonzept Ausführliches und va. dem Stand der Technik entsprechendes IT- Sicherheitskonzept Sichtung des IT-Sicherheitskonzepts 31

32 Prüffall_ID Erwartetes IT-Infrastruktur Es wird mittels Penetration-Test die IT-Infrastruktur von außen geprüft, ob diese auf Attacken anfällig ist. IT-Infrastruktur des zur Prüfung unterzogenenen Zustelldienstes (muss der Infrastruktur des späteren Produktivsystems entsprechen) IT-Infrastruktur Sicherheitsaspekte Software Prüffall_ID Erwartetes Web-Interface Prüffall_ID Die Infrastruktur sollte nicht auf mögliche Attacken von außen anfällig sein Penetration-Tests mit state-of-the-art Tools Eingesetzte Software Es wird geprüft ob der Zustelldienst aktuelle Softwareversionen einsetzt. Zustelldienst-Software Der Zustelldienst muss für jede Softwarekomponente die aktuellste Version einsetzen Prüfung der jeweiligen Version der eingesetzten Softwarekomponenten Session-Transfers Es wird geprüft ob von einem Angreifer einfach Benutzer-Sessions gestohlen werden. Zustelldienst-Software 32

33 Erwartetes Keine Session Transfers möglich Prüfung auf mögliche Session-IDs in URLs Prüfung auf mögliche XSS Attacken Prüffall_ID Erwartetes Dokumtendiebstahl Es wird geprüft ob ein Angreifer einfach auf Zustellstücke eines anderen Benutzers zugreifen kann. Zweites Zustellkonto mit vorhandenem Zustellstück Zustelldienst-Software Kein Zugriff auf fremde Zustellstücke möglich Zugriffsversuch auf Dokumente eines anderen Empfängers Prüffall_ID Erwartetes SQL/LDAP-Injection Es wird geprüft ob ein Angreifer mittels Attacken eine SQL- bzw. LDAP Injection durchführen kann. Zustelldienst-Software Kein SQL- bzw. LDAP Injections möglich Anmeldung mittels Bürgerkarte am Zustelldienst Durchführung von SQL- und LDAP Injection Attacken Prüffall_ID Codeinjection bzw. XSS Attacken Es wird geprüft ob ein Angreifer anderweitige Codeinjections bzw. XSS Attacken durchführen kann. Zustelldienst-Software 33

34 Erwartetes Kein Codeinjections bzw. XSS Attacken möglich Anmeldung mittels Bürgerkarte am Zustelldienst Durchführung von Codeinjections bzw. XSS Attacken Recovery Test bei Ausfall Zustellkopf Prüffall_ID Erwartetes LDAP Verzeichnis Es wird geprüft ob der Zustellkopf auf den LDAP Verzeichnisdienst des Zustelldienstes in einer Weise zugreifen kann um diesen vollständig auszulesen. Zustelldienst stellt LDAP Verzeichnisdienst zur Verfügung LDAP Verzeichnisdienst Verzeichnisdienst kann vollständig ausgelesen werden Anmeldung am Verzeichnisdienst Prüfung der LDAP Verzeichnisdienststruktur Auslesen sämtlicher Daten aus Verzeichnisdienst 5.5 FC5 Verständigungen Zustellung mit Zustellnachweis Prüffall_ID Erwartetes Verständigungen Es wird geprüft ob Verständigungen bei Zustellung mit Zustellnachweis die Vorgaben der Zustellformularverordnung erfüllen. Verständigung Abgabestelle hinterlegt, 1. Verständigung = Formular 8 Abgabestelle hinterlegt, 2. Verständigung = Formular 8 Abgabestelle hinterlegt, 3. Verständigung = Formular 9 Abgabestelle nicht hinterlegt, 1. Verständigung = Formular 7 34

35 Abgabestelle nicht hinterlegt, 2. Verständigung = Formular 7 Sämtliche Signaturen der Verständigungen sind gültig Abfrage am Zustellkopf Zustellung eines Zustellstücks mit Zustellnachweis Prüfen der visuellen Darstellung und Signatur der (unmittelbar) einlangenden Verständigungen gemäß den Vorgaben der Zustellformularverordnung Zustellung ohne Zustellnachweis Prüffall_ID Erwartetes Verständigungen Es wird geprüft ob Verständigungen bei Zustellung ohne Zustellnachweis die Vorgaben der Zustellformularverordnung erfüllen. Verständigung 1. Verständigung = Formular 7 2. Verständigung = Formular 7 Sämtliche Signaturen der Verständigungen sind gültig Abfrage am Zustellkopf Zustellung eines Zustellstücks ohne Zustellnachweis Prüfen der visuellen Darstellung und Signatur der (unmittelbar) einlangenden Verständigungen gemäß den Vorgaben der Zustellformularverordnung 35