Prüfspezifikation Elektronische Zustellung

Ähnliche Dokumente
Elektronische Zustellung Registrierung als Versender

Web Browser Einstellungen für die Nutzung des VisecaOne Web Portal (one.viseca.ch)

Elektronische Zustellung

Anwenderdokumentation für die Industrie Test-Gegenstelle ELBRIDGE-Schnittstelle

Benutzung der Browseranwendung für das Visualisieren und Erstellen von elektronischen Empfangsbekenntnissen

FAQ Digital Solutions. Inhalt. WMF CoffeeConnect Schaerer Coffee Link

Benutzeranleitung fu r die Webseite des Turnverband Luzern, Ob- und Nidwalden

Web Browser Einstellungen für die Nutzung des VisecaOne Web Portal (one.viseca.ch)

Web Browser Einstellungen für die Nutzung des VisecaOne Web Portal (one.viseca.ch)

Die elektronische Zustellung. Projektarbeit gemäß 9 der BKA-Grundausbildungsverordnung Christian HERWIG, Abt. I/11

Bedienungsanleitung Gebührendaten

Handbuch. EasyQB der DKTIG Portal zur Erstellung der strukturierten Qualitätsberichte. Dokumentstatus / EasyQB-Version: EasyQB- Version

Kurzanleitung DKV-IPQ

Mail Integration Solution White Paper

E-Verfahren: vom Antrag bis zur Zustellung.

Elektronische Zustellung gemäß Zustellgesetz. Fachtagung Amtssignatur und elektronische Übermittlung, 24. Juni 2010

HOLIDAY-FERIENWOHNUNGEN.COM Anleitung zur Aktivierung von Java Script und Informationen über Cookies

Web Browser Einstellungen für die Nutzung des VisecaOne Web Portal (one.viseca.ch)

Elektronische Zustellung WKO / AustriaPro. Status Arbeitspakete PL.O.T

Verschlüsselung mittels GINA-Technologie

Die duale Zustellung als Lösung

Handbuch. ELDA Kundenpasswort

Leitfaden zur Einrichtung eines Postfaches gem. 33 ZustellG 2008 Seite: 1/8

Messe Westfalenhallen Dortmund. Anleitung zur Nutzung des kostenlosen WLAN

Fragen und Antworten zum Heraeus Entgeltportal

Subpostfächer für die elektronische Zustellung

epostselect Online Hilfe File: epost_select_online-hilfe_v1.1_de.docx Geltungsbereich: epost Select Klassifizierung: Public available 1/35

Die elektronische Zustellung

Elektronische Zustellung WKO / AustriaPro. Status Arbeitspakete PL.O.T

Dokumentation zur Nutzung des Online Vollmachten Modus in MOA ID

Anleitung zur Fleet & Servicemanagement Evatic Schnittstelle

HOSTED SHAREPOINT. Skyfillers Kundenhandbuch. Generell Online Zugang SharePoint Seite... 2 Benutzerpasswort ändern... 2

Quick-Start Guide Web- und Desktop-Client

datenlink-schnittstelle Version 1.0

Kita Tauschbörse. - Testergebnisse - Version: 1.0. A. Sifring. vorgelegt X fertig gestellt

Ziel ist es, Dokumente zwischen Anwendungen verschiedener Behörden bzw. Organisationen gesichert und automatisiert auszutauschen.

Upload- & Download-Portal (UDP) Anwenderdokumentation

Handbuch. EasyQB der DKTIG Portal zur Erstellung der strukturierten Qualitätsberichte. Dokumentstatus / EasyQB-Version: EasyQB- Version

Agenda. Sichere elektronische Zustellung Definition, Funktionsprinzip. E-Government Anwendungen Nutzen, Kosten

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Übermittlung der Elektronischen Dokumentation zur Früherkennungs-Koloskopie. IT-Beratung

Dokumentation zur Nutzung des Online Vollmachten Modus in MOA ID

Update Spezifikation MOA-ID 1.5. Update Spezifikation Module für Online Applikationen - ID

Systemvoraussetzungen

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN

WebService mit MTOM an der AG-Schnittstelle des GKV-Kommunikationsserver

Rechtliche Grundlagen: Amtssignatur & elektronische Zustellung. BRZ, 21. Oktober 2010, Palais Mollard, Wien

Prinoth Online - Bedienungsanleitung

Dieses Dokument beschreibt die Anwendung des Repa Copy Token.

Melderportal: Anleitung zur Einbindung eines Client-Zertifikats in den Web-Browser

Informationsveranstaltung Online Formular

Anmeldung mit der Bürgerkarte am Portal Austria

Systemanforderungen AI Vergabemanager und AI Vergabeassistent

MOA-ID Workshop. Anwendungsintegration, Installation und Konfiguration. Klaus Stranacher Graz,

Praxis-Information Version 1.0 D

Anhang C Testprotokoll. 1. Testumgebung. 2. Test der HTML-Seiten. 3. Anwendungstest

FastBill GmbH Kaiserleistraße Offenbach am Main. Monsum. Dokumentation Adyen. Workflows 22. Februar

E-Zustellung Arbeitspakete CPB AustriaPro AK-eZustellung CPB KAI, 05 September 2017

AutiSta 9.6 AE Technische Informationen zur Auslieferung oh 1 / 8. AutiSta 9.6 Technische Informationen zur Auslieferung (T-IzA)

Übergreifende Session auf bahn.de Verwendung von Session-Cookies

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 5.1 vom Kassenärztliche Vereinigung Niedersachsen

Schritt-für-Schritt Anleitung AKTIVIERUNG DES DIGITALEN POSTFACHS

Inhaltsverzeichnis POLYAS GmbH

Präsentation EurekaPlus 2.0

Angebotsabgabe mit dem AnA-Web

I-Portal Training. Dezember 2016

Hinweise zur Inbetriebnahme der FMH-HPC auf Mac

Anleitung Elektronischer Rechtsverkehr des Kantons Thurgau

Elektronische Dokumente über Web-GUI beziehen

Schwachstellenanalyse 2012

RTG Online Reporting. Anleitung. RTG Trading Solutions

Lexware vor Ort. Handbuch. Stand

Nutzung von REST Clients für Allyouneed Marktplatz

Technische Informationen zum Meldeverfahren für schwerwiegende Betriebs- und Sicherheitsvorfälle bei Zahlungsdienstleistern

BIT IT Cloudio. Konfigurationsanleitung

Auf schriftliche Anfrage werden wir Sie gern über die zu Ihrer Person gespeicherten Daten informieren.

MOA-Workshop. Ausländische BürgerInnen (STORK) Bernd Zwattendorfer Wien, 28. Juni 2012

knxpresso Webserver Plug-in

Benutzerhandbuch. für den Extranet-Zugang des. Landeswohlfahrtsverbandes Hessen. zur Anmeldung per Grid-Karte (Stand: )

Die Kassa. RKSV Registrierung

Installationsdokumentation BKW E-Commerce Zertifikate. b2b-energy client Zertifikat 3 Jahre Zertifikat wird direkt im Kundenbrowser installiert

1. Kassa Inbetriebnahme

Webbrowser-Einstellungen

Die österreiche Bürgerkarte Technik aus Sicht der Applikation

Benutzeranmeldung e-geodata Austria Portal

ZÄK-NR-Portal: Registrierung mit Signaturkarte

xflow Systemanforderungen Version 5.1.5

Vom E-Antrag zur Zustellung

Hinweise zum Start. Sparkassenverband Bayern Sparkassenakademie. s-win (Lernen im Netz) Stand

Zugriff auf für Benutzer mit oder ohne ein PKI-Zertifikat

Handbuch & FAQ für Payment Card Industry Data Security Standard (PCI)

ZÄK-NR-Portal: Registrierung mit Signaturkarte

Delegierte Benutzerverwaltung (DeBeV) Nutzungshinweise

Tipps und Muster für Antragsteller

Schulungsunterlage für Lieferanten Unternehmensdaten/Bank daten/anlagen/lieferanten bewertung und Zertifikate verwalten im DRÄXLMAIER Supplier Portal

DAS NEUE E-SOLUTIONS TOOL DHL e-billing

Transkript:

www.egiz.gv.at E-Mail: post@egiz.gv.at Telefon: ++43 (316) 873 5514 Fax: ++43 (316) 873 5520 Inffeldgasse 16a / 8010 Graz / Austria Prüfspezifikation Elektronische Zustellung Version 1.4.1 Dr. Arne Tauber arne.tauber@egiz.gv.at Graz, am 07. Dezember 2012 Zusammenfassung: Die elektronische Zustellspezifikation stellt das Rahmenwerk für eine Zertifizierung eines elektronischen Zustelldienstes nach den technischen Richtlinien dar. Im vorliegenden Dokument sind all jene Prüffälle spezifiziert, anhand derer die Funktionalität eines elektronischen Zustelldienstes geprüft werden kann. Dieses Dokument definierte die Prüffälle zur Validierung der technischen Konformität eines elektronischen Zustelldienstes hinsichtlich der Zulassungsvoraussetzungen gemäß 3 Abs 1 Z 6, Z 7 und Z 10 ZustDV (Verordnung des Bundeskanzlers über die Zulassung als elektronischer Zustelldienst - Zustelldiensteverordnung) und somit die Erfüllung der in der Anlage der Verordnung genannten technischen Spezifikationen.

Inhalt 1 Vorwort... 3 2 Prüfgegenstand... 3 3 Prüfwerkzeuge... 4 4 Aufbau der Prüfspezifikation... 4 5 Prüffälle... 5 5.1 FC1 Kernfunktionalität... 5 5.1.1 Zustellung Annahme (Schnittstellen)... 5 5.1.2 Verrechnungs- und Tokenvalidierungsservice... 16 5.2 FC2 Anwenderschnittstelle... 18 5.2.1 Anmeldung/Registrierung mit der Bürgerkarte... 18 5.2.2 Inbox Funktionen... 23 5.2.3 Einstellungsmöglichkeiten / Kontoverwaltung... 24 5.2.4 User Interface... 28 5.2.5 Sonstiges... 29 5.3 FC3 Fehlerverhalten... 29 5.3.1 Fehler bei Darstellung innerhalb der Web-Oberfläche... 29 5.3.2 Reaktion bei Fehlbedienung durch den Anwender... 30 5.3.3 Reaktion bei fehlerhafter Ansteuerung externer Schnittstellen... 31 5.4 FC4 Sicherheitsaspekte... 31 5.4.1 Sicherheit der IT-Infrastruktur... 31 5.4.2 Sicherheitsaspekte Software... 32 5.4.3 Web-Interface... 32 5.4.4 Recovery Test bei Ausfall Zustellkopf... 34 5.5 FC5 Verständigungen... 34 5.5.1 Zustellung mit Zustellnachweis... 34 5.5.2 Zustellung ohne Zustellnachweis... 35 2

1 Vorwort Die elektronische Zustellspezifikation stellt das Rahmenwerk für eine Zertifizierung eines elektronischen Zustelldienstes nach den technischen Richtlinien dar. Im vorliegenden Dokument sind all jene Prüffälle spezifiziert, anhand derer die Funktionalität eines elektronischen Zustelldienstes geprüft werden kann. Fachlich zuständig für die Formulierung und Betreuung dieses Dokuments ist das E-Government Innovationszentrum: E-Government Innovationszentrum Inffeldgasse 16/a A-8010 Graz 2 Prüfgegenstand Dieses Dokument definierte die Prüffälle zur Validierung der technischen Konformität eines elektronischen Zustelldienstes hinsichtlich der Zulassungsvoraussetzungen gemäß 3 Abs 1 Z 6, Z 7 und Z 10 ZustDV (Verordnung des Bundeskanzlers über die Zulassung als elektronischer Zustelldienst - Zustelldiensteverordnung) und somit die Erfüllung der in der Anlage der Verordnung genannten technischen Spezifikationen: Technische Spezifikationen entsprechend 3 Abs 1 Z 7 ZustDV 1. die Spezifikationen der elektronischen Zustellung für die gemäß 29 Abs. 1 ZustG nach dem jeweiligen Stand der Technik zu erbringenden Leistungen eines Zustelldienstes 2. die Spezifikationen der Bürgerkarte für die in 33, 35 Abs. 3 und 37a ZustG angeführten Verwendungen und 3. dem jeweiligen Stand der Technik entsprechende Algorithmen, Schlüssellängen und Parameter für serverseitig authentifizierte Verbindungen mit starker Verschlüsselung. Erfordernisse zur Erfüllung der in 3 Abs. 1 Z 10 ZustDV und 29 Abs. 7 ZustG genannten barrierefreien Zugang. Dies wird gemäß der "Web Content Accessibility Guidelines" des W3C in der Stufe A 1 geprüft. Der Prüfspezifikation liegen folgende technische Spezifikationen 2 einzelnen Prüffälle abzielen: bei, auf deren Konformität die 1. Elektronische Zustellung Message Spezifikation (zusemsg 1.4.1) 2. Elektronische Zustellung Technische Spezifikation Zustelldienste (zusespec 1.4.1) 3. Elektronische Zustellung LDAP-Schemabeschreibung (zuseldap 1.4.1) 4. Elektronische Zustellung Zustellkopf Schnittstellenspezifikation (zusekopf 1.4.1) 1 Originalfassung der W3C Web Content Accessibility Guidelines verfügbar in Englisch unter http://www.w3.org/tr/wai- WEBCONTENT/ 2 http://reference.e-government.gv.at/ag-ii-zuse-zustellung-spezifik.2822.0.html 3

5. Elektronische Zustellung Push Protokoll (zusepush 1.4.1) 6. Elektronische Zustellung Modell und Prozesse der Verrechnung (zuserech 1.4.1) 7. Spezifikation der Bürgerkarte in der Version 1.2.0 3 Bietet ein Zustelldienst optional die Privatzustellung an, so wird zusätzlich auf Konformität mit dem Dokument Elektronische Zustellung Nachweisliche Zusendung im Auftrag von Privaten (zusepriv 1.4.1) geprüft. Bietet ein Zustelldienst optional eine alternative Abholung gemäß 35(3) in Form einer Mailabholung an, so wird zusätzlich auf Konformität mit dem Dokument Elektronische Zustellung Abholung von Zustellung über E-Mail Clients (zusemail 1.4.1) geprüft. Im Fall einer alternativen Form der automatisierten Abholung erfolgt eine individuelle Prüfung der Einhaltung der rechtlichen und technischen Erfordernisse. 3 Prüfwerkzeuge Für die Durchführung der einzelnen Prüffälle kommen folgende Werkzeuge zur Anwendung: Aktuellste Referenzimplementierungen der Zustellspezifikation o OpenZUSE in der aktuellsten Version 4 o MOA-ZS in der aktuellsten Version 5 o Referenzimplementierung des Zustellkopfs 6 Folgende Browser in den jeweils aktuellsten Versionen o Internet Explorer (zusätzlich 7,8 und 9) o o o Bürgerkarten o o Mozilla Firefox Google Chrome Apple Safari Diverse Chipkartenausprägungen (e-card, A-Trust Bürgerkarte, etc.) Handy-Signatur Am Markt befindliche Bürgerkartenumgebungen einschließlich der aktuellsten Version der Online-BKU und der Handy-Signatur Online Prüftools zur Validierung der HTML/XHTML/WCAG Konformität Diverse IT-Sicherheitstools (bspw. für Penetration-Tests) 4 Aufbau der Prüfspezifikation Die Prüfspezifikation deckt alle technischen Erfordernisse eines elektronischen Zustelldienstes ab und ist in folgende Hauptbereiche (Funktionsklassen) unterteilt: 3 http://www.buergerkarte.at/konzept/securitylayer/spezifikation/20080220/ 4 https://joinup.ec.europa.eu/software/openzuse/home 5 https://joinup.ec.europa.eu/software/moa-zs/home 6 https://zustellung.egiz.gv.at 4

FC1: Kernfunktionalität FC2: Anwenderschnittstelle (User Interface) FC3: Fehlerverhalten FC4: Sicherheitsaspekte FC5: Verständigungen FC1 (Kernfunktionalität) deckt Tests rund um die Kernfunktionen der elektronischen Zustellung ab. Hierein fallen die Abwicklung grundlegender Zustellfunktionen (Zustellung, Registrierung, etc.) sowie die Spezifikationskonformität aller externen technischen Schnittstellen des Zustellkonzeptes. FC2 (Anwenderschnittstelle) behandelt die Schnittstelle hin zum Anwender (BürgerInnen). FC3 (Fehlerverhalten) behandelt das Fehlverhalten des gegenständlichen Zustelldienstes hinsichtlich technischer und anwenderorientierter Schnittstellen. Die Prüfung zielt auf die Feststellung eines adäquaten und robusten Verhaltens des Zustelldienstes ab. FC4 (Sicherheitsaspekte) behandelt die Feststellung adäquater IT-Sicherheitsmaßnahmen. Hierzu werden sowohl die technischen Infrastrukturelemente, Ausfalls- und Recovery-Maßnahmen als auch organisatorische Sicherheitskonzepte bewertet. FC5 (Verständigungen) behandelt die unterschiedlichen Ausprägungen von elektronischen Verständigungen, die vom Zustellserver versendet werden müssen. 5 Prüffälle 5.1 FC1 Kernfunktionalität 5.1.1 Zustellung Annahme (Schnittstellen) Prüffall_ID 1.1.1 Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit Zustellnachweis (WS) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Der technische Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Webservice Adresse Webservice Schnittstelle Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur 5

Gültige Bürgerkartensignatur Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID 1.1.2 Erwartetes Zustellung eines verschlüsselten Zustellstücks mit Zustellnachweis (WS) Es wird an einen Empfänger ein verschlüsseltes Zustellstück zugestellt. Der technische Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Empfänger hat ein Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Webservice Adresse Webservice Schnittstelle Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur Gültige Bürgerkartensignatur Zustellung eines verschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID 1.1.3 6

Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit Zustellnachweis (E-Mail) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Der technische Zustellnachweis muss dabei via E-Mail rückübermittelt werden. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine E-Mail Adresse Übermittlung des Zustellnachweises via E-Mail Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an die angegebene E-Mail Adresse. Der E-Mail Versanddienst des Zustelldienstes muss dabei mit state-ofthe-art E-Mail Technologien (bspw. Greylisting) umgehen können. Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur Gültige Bürgerkartensignatur Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID 1.1.4 Zustellung eines verschlüsselten Zustellstücks mit Zustellnachweis (E-Mail) Es wird an einen Empfänger ein verschlüsseltes Zustellstück zugestellt. Der technische Zustellnachweis muss dabei via E-Mail rückübermittelt werden. Empfänger hat ein Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine E-Mail Adresse Übermittlung des Zustellnachweises via E-Mail 7

Erwartetes Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur Gültige Bürgerkartensignatur Zustellung eines verschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID 1.1.5 Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit Zustellnachweis (WS) Alternative Abholung gemäß 35(3) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Die Abholung erfolgt nicht mittels Bürgerkarte an der Web-GUI, sondern mittels automatisierter Abholung gemäß 35(3) ZustG. Der technische Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Diese Prüffall ist nur relevant, sofern der Zustelldienst eine alternative Abholung gemäß 35(3) ZustG unterstützt. Zustelldienst unterstützt eine Abholung gemäß 35(3) ZustG Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Webservice Adresse Webservice Schnittstelle Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur über gesamten Zustellnachweis Gültige Signatur des Authblocks (vom Zustelldienst signiert) 8

Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende alternative Abholung des Zustellstücks gemäß 35(3) Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID 1.1.6 Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit Zustellnachweis (E-Mail) Alternative Abholung gemäß 35(3) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Die Abholung erfolgt nicht mittels Bürgerkarte an der Web-GUI, sondern mittels automatisierter Abholung gemäß 35(3) ZustG. Der technische Zustellnachweis muss dabei an eine E-Mail Adresse rückübermittelt werden. Zustelldienst unterstützt eine Abholung gemäß 35(3) Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine E-Mail Adresse Übermittlung des Zustellnachweises via E-Mail Zustellnachweis Korrekte Übermittlung des Zustellnachweises vom Zustelldienst an die angegebene E-Mail Adresse Schemakonformität des Zustellnachweises Gültige Zustelldienstsignatur über gesamten Zustellnachweis Gültige Signatur des Authblocks (vom Zustelldienst signiert) Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende alternative Abholung des Zustellstücks gemäß 35(3) Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID 1.1.7 9

Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit PDF Zustellnachweis (WS) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Der technische PDF Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine Webservice Adresse Webservice Schnittstelle PDF Zustellnachweis Korrekte Übermittlung des PDF Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des PDF Zustellnachweises Gültige Zustelldienstsignatur des PDF Zustellnachweises Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID 1.1.8 Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit PDF Zustellnachweis (E-Mail) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Der technische PDF Zustellnachweis muss dabei via E- Mail rückübermittelt werden. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis eine E-Mail Adresse Übermittlung des Zustellnachweises via E-Mail PDF Zustellnachweis Korrekte Übermittlung des PDF Zustellnachweises vom Zustelldienst an das Webservice 10

Schemakonformität des PDF Zustellnachweises Gültige Zustelldienstsignatur des PDF Zustellnachweises Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende Abholung des Zustellstücks mittels Bürgerkarte Prüfung des unmittelbar einlangenden Zustellnachweises Prüffall_ID 1.1.9 Erwartetes Zustellung eines unverschlüsselten Zustellstücks mit PDF Zustellnachweis (WS) Alternative Abholung gemäß 35(3) Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt. Die Abholung erfolgt nicht mittels Bürgerkarte an der Web-GUI, sondern mittels automatisierter Abholung gemäß 35(3) ZustG. Der technische PDF Zustellnachweis muss dabei an ein Webservice rückübermittelt werden. Zustelldienst unterstützt eine Abholung gemäß 35(3) Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält als Antwortadresse für den Zustellnachweis ein Webservice Webservice Schnittstelle PDF Zustellnachweis Korrekte Übermittlung des PDF Zustellnachweises vom Zustelldienst an das Webservice Schemakonformität des PDF Zustellnachweises Gültige Zustelldienstsignatur des PDF Zustellnachweises Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) Anschließende alternative Abholung des Zustellstücks gemäß 35(3) Prüfung des unmittelbar einlangenden Zustellnachweises 11

Prüffall_ID 1.1.10 Erwartetes Zustellung mit Übergabebestätigung Es wird an einen Empfänger ein unverschlüsseltes Zustellstück zugestellt und eine Übergabebestätigung (DeliveryConfirmation) angefordert. Empfänger hat KEIN Verschlüsselungszertifikat hinterlegt Zustell-Request enthält eine Anforderung für eine Übergabebestätigung Übergabebestätigung Korrekte Rückübermittlung der Übergabebestätigung Schemakonformität der Übergabebestätigung Gültige Signatur der Übergabebestätigung Zustellung eines unverschlüsselten Zustellstücks (nonrsa oder RSa) DeliveryConfirmation Flag gesetzt Prüfung der Schemakonformität der Übergabebestätigung Prüfung der Zustelldienstsignatur der Übergabebestätigung Prüffall_ID 1.1.11 Erwartetes Zustellstück während Login Es wird das Verhalten des Zustelldienstes geprüft wenn ein Empfänger eingeloggt ist und dieser während einer laufenden Session ein neues Zustellstück erhält. Zustelldienstverhalten für neu einlangende Zustellstücke Visuelle Information/Anzeige für den Empfänger, dass ein neues Zustellstück eingetroffen ist Auf das neue Zustellstück darf erst nach erneutem Login zugegriffen werden Einloggen am Zustelldienst mittels Bürgerkarte Zustellung eines Zustellstücks Refresh des Posteingangs 12

Prüffall_ID 1.1.12 Erwartetes Zustellstück an nicht existierenden Empfänger Es wird das Verhalten des Zustelldienstes geprüft wenn ein Zustellstück an einen nicht existierenden Empfänger zugestellt wird. Token muss für einen Empfänger ausgestellt sein, der sich von der elektronischen Zustellung abgemeldet hat Zustelldienst-Verhalten Fehlermeldung für den Versender, dass der angegebene Empfänger nicht existiert Abfrage Zustellkopf für existierenden Empfänger Auflösen des Postfachs des existierenden Empfänger Zustellung eines Zustellstücks für nicht existierenden Empfänger Auswertung der Antwort Prüffall_ID 1.1.13 Erwartetes Ungültiges Zustelltoken Es wird das Verhalten des Zustelldienstes geprüft wenn ein Zustellstück mit einem ungültigen Token (bspw. nicht entschlüsselbar oder nicht vom Zustellkopf ausgestellt) zugestellt wird. Zustelldienst-Verhalten Fehlermeldung für den Versender, dass das verwendete Token nicht verarbeitet werden kann Erstellung eines ungültigen Tokens mit vom Zustelldienst unterschiedlichen öffentlichen Schlüssel Erstellung eines ungültigen Zustelltokens auf Seite des Zustellkopfes (es wird Tokenvalidierung durch den Zustelldienst erwartet) Zustellung eines Zustellstücks mit einem ungültigen Token Auswertung der Antwort 13

Prüffall_ID 1.1.14 Erwartetes AppDeliveryID Länge Es wird das Verhalten des Zustelldienstes geprüft wenn eine Zustellung eine AppDeliveryID mit mehr als 255 Zeichen enthält. Zustelldienst-Verhalten Fehlermeldung für den Versender, dass AppDeliveryID ungültig ist Zustellung eines Zustellstücks mit einer AppDeliveryID > 255 Zeichen Auswertung der Antwort Prüffall_ID 1.1.15 Erwartetes Ungültiges Client-Zertifikat Es wird das Verhalten des Zustelldienstes geprüft wenn ein ungültiges Client-Zertifikat für die Zustellung verwendet wird Zustelldienst-Verhalten Fehlermeldung für den Versender, dass Client-Zertifikat ungültig ist, d.h. nicht zum übermittelten Token passt oder generell für die elektronische Zustellung ungeeignet ist mit Client Zertifikat A Zustellung eines Zustellstücks mit Client Zertifikat B oder Zustellung eines Zustellstücks mit einem selbst-signiertem Client Zertifikat (nicht am Zustellkopf registriert) Auswertung der Antwort Prüffall_ID 1.1.16 Ungültige Zustellqualität Es wird das Verhalten des Zustelldienstes geprüft wenn eine 14

Erwartetes Zustellung mit einer ungültigen Zustellqualität durchgeführt wird. Zustelldienst-Verhalten Fehlermeldung für den Versender, dass Zustellqualität ungültig ist Zustellung eines Zustellstücks mit ungültiger Zustellqualität im Request (bspw. RSc oder nonrsa-) Auswertung der Antwort Prüffall_ID 1.1.17 Erwartetes Nicht akzeptierte MIME Typen Es wird das Verhalten des Zustelldienstes geprüft wenn eine Zustellung ein Dokument mit einem MIME Typ enthält, den der Empfänger in seinen Einstellungen ausgeschlossen hat Empfänger hat akzeptierte Dokumentenformate nicht auf */* (Wildcard) eingestellt Zustelldienst-Verhalten Fehlermeldung für den Versender, dass Zustellung aufgrund des nicht unterstützten MIME Typs abgelehnt wird Einloggen am Zustelldienst Deaktivieren der Wildcard (*/*) Zustellung und Auswählen eines bestimmten MIME Typs (bspw. application/pdf) Auswertung der unterstützten MIME Typen Zustellung eines Zustellstücks mit nicht unterstütztem MIME Typ (bspw. text/plain wenn nur application/pdf ausgewählt ist) Auswertung der Antwort Prüffall_ID 1.1.18 Geschäftszahl (GZ) Eine Geschäftszahl (GZ) kann optional zusätzlich zur AppDeliveryID bei einer Zustellung mitübergeben werden. Die GZ muss dann auch 15

Erwartetes an den entsprechenden Stellen angezeigt werden. Zustelldienst-Verhalten Anzeige der GZ in der Web-GUI in den Details des Zustellstücks Vorhandene GZ in der synchronen Antwort der Zustellung Vorhandene GZ in der DeliveryConfirmation Vorhandene GZ im Zustellnachweis Vorhandene GZ in den Verständigungen Zustellung eines Zustellstücks mit GZ und Anforderung einer DeliveryConfirmation im Request Auswertung der Antwort Auswertung der Verständigungen Einloggen und Auswerten der GUI Anzeige Auswertung des Zustellnachweises 5.1.2 Verrechnungs- und Tokenvalidierungsservice Prüffall_ID 1.2.1 Erwartetes Tokenvalidierung Validierung von vom Zustelldienst erstellten Tokens ValidateTokenRequest Zustelldienst versucht bei einer Zustellstückannahme ein Token zu validieren Token ist gültig und dem entsprechenden Versender zugeordnet Zustellung eines Zustellstücks Auswertung der ValidateTokenRequest Anfrage am Zustellkopf 16

Prüffall_ID 1.2.2 Erwartetes Verrechnung nonrsa Zustellstück Es wird geprüft ob ein nonrsa Zustellstück auch entsprechend am Zustellkopf verrechnet wird ClearingRequest Zustelldienst übermittelt Tokendaten korrekt Zustellung eines Zustellstücks mit nonrsa Qualität Auswertung der ClearingRequest Anfrage Prüffall_ID 1.2.3 Erwartetes Verrechnung RSa Zustellstück ohne postalische Verständigung Es wird geprüft ob ein RSa Zustellstück ohne postalische Verständigung auch entsprechend am Zustellkopf verrechnet wird ClearingRequest Zustelldienst übermittelt Tokendaten korrekt Zustellung eines Zustellstücks mit RSa Qualität Sofortige Abholung am Zustelldienst Auswertung der ClearingRequest Anfrage Prüffall_ID 1.2.4 Erwartetes Verrechnung RSa Zustellstück mit postalischer Verständigung Es wird geprüft ob ein RSa Zustellstück mit postalischer Verständigung auch entsprechend am Zustellkopf verrechnet wird Hinterlegte Abgabestelle des Empfängers ClearingRequest Zustelldienst übermittelt Tokendaten korrekt 17

Zustellung eines Zustellstücks mit RSa Qualität Warten bis postalische (3te) Verständigung versendet wird Auswertung der ClearingRequest Anfrage 5.2 FC2 Anwenderschnittstelle 5.2.1 Anmeldung/Registrierung mit der Bürgerkarte Prüffall_ID 2.1.1 Erwartetes Unterstützung Security-Layer 1.2 Schnittstelle Es wird geprüft ob der Zustelldienst die Anmeldung über die Security-Layer 1.2 Schnittstelle unterstützt Security-Layer Protokoll Bürgerkartenanmeldung mittels Security-Layer Schnittstelle 1.2 möglich Anmeldung (bzw. Registrierung) am Zustelldienst mit der Bürgerkarte (Bürgerkartenumgebung kommuniziert mittels Security-Layer 1.2) Prüfung des Anmeldeablaufs und der Protokolldaten Prüffall_ID 2.1.2 Erwartetes Registrierung ohne Angabe einer Abgabestelle Es wird geprüft ob die Registrierung am Zustelldienst ohne die Angabe einer Abgabestelle möglich ist Empfänger ist noch nicht am Zustelldienst registriert Zustelldienst-Verhalten Anmeldung ohne Angabe einer Abgabestelle möglich Registrierung am Zustelldienst mittels Bürgerkarte ohne zwingende Angabe einer Abgabestelle 18

Prüffall_ID 2.1.3 Erwartetes Registrierung mit Angabe einer Abgabestelle Es wird geprüft ob die Registrierung am Zustelldienst mit Angabe einer Abgabestelle möglich ist Empfänger ist noch nicht am Zustelldienst registriert Zustelldienst-Verhalten Anmeldung mit Angabe einer Abgabestelle möglich Registrierung am Zustelldienst mittels Bürgerkarte Versuch der Angabe einer Abgabestelle im Zuge der Registrierung Prüffall_ID 2.1.4 Erwartetes Registrierung eines Empfängers am Zustellkopf Es wird geprüft ob bei der Registrierung am Zustelldienst auch die korrekten Daten an den Zustellkopf übermittelt ( gepusht ) werden Empfänger ist noch nicht am Zustelldienst registriert Zustelldienst-Verhalten Daten werden korrekt an den Zustellkopf gepusht Bei juristischen Personen dürfen keine personenbezogene Daten des Vertreters mitübermittelt werden Registrierung am Zustelldienst mittels Bürgerkarte Kontrolle der übermittelten Daten an den Zustellkopf Prüffall_ID 2.1.5 Erwartetes Auflösen eines Postfachs Es wird geprüft ob ein Empfänger ein Postfach vollständig auflösen kann Zustelldienst-Verhalten Postfach wird komplett aufgelöst (keine Daten mehr am Zustelldienst vorhanden) 19

Sämtliche Empfängerdaten werden aus dem Zustellkopf gelöscht Einloggen am Zustelldienst Betätigen der Funktion Postfach auflösen Kontrolle ob erneuter Login zu einem Registrierungsprozess führt Kontrolle ob sämtliche Daten aus dem Zustellkopf gelöscht wurden Prüffall_ID 2.1.6 Erwartetes Abbrechen des Registrierungsprozesses Es wird geprüft ob ein Registrierungsprozess abgebrochen werden kann Empfänger ist nicht am Zustelldienst registriert Zustelldienst-Verhalten Eine Registrierung kann abgebrochen werden ohne dass Daten am Zustelldienst oder Zustellkopf hinterlegt werden Anmeldung mittels Bürgerkarte Vor Bestätigung/Finalisierung wird die Registrierung abgebrochen Prüfen der Daten im Zustellkopf Erneutes Starten der Registrierungsprozesses Prüffall_ID 2.1.7 Erwartetes Aktivierungslink Es wird das Verhalten von Aktivierungslinks für Verständigungsadressen geprüft Empfänger ist nicht am Zustelldienst registriert Zustelldienst-Verhalten Gültige Aktivierungslinks müssen eine E-Mail Adresse hinzufügen Ungültige Aktivierungslinks müssen eine Fehlermeldung provozieren 20

Aktivierungslinks dürfen nicht erratet werden können (bspw. durch Benutzung von einfachen sequentiellen Nummern) Registrierung und Angabe einer E-Mail Adresse Überprüfen des via E-Mail zugesendeten Aktivierungslinks Prüffall_ID 2.1.8 Erwartetes Alternative Abholung mittels automatisiert ausgelöster Signatur gemäß 35(3) Es wird das Verhalten von Zustelldiensten geprüft, die eine Abholung nach 35(3) unterstützen. Wird eine solche Abholung nicht unterstützt, ist dieser Prüffall nicht relevant Zustelldienst unterstützt eine alternative Abholung gemäß 35(3) Zustelldienst-Verhalten Alternative Abholung funktioniert spezifikationsgemäß Zustellung eines Zustellstücks Prüfung der Abholung abhängig von der Art der Umsetzung Prüffall_ID 2.1.9 Erwartetes Anmeldung mittels Bürgerkarte Es wird die Anmeldung am Zustelldienst mittels Bürgerkarte getestet Anmelde-Verhalten des Zustelldienstes Korrekte Anmeldeprozedur nach Security-Layer 1.2 Korrekte Anzeige der Signaturdaten Unterstützung aller am Markt befindlichen Bürgerkartenumgebungen Korrekte Prüfung der Anmeldedaten (MOA-ID Funktionalität) Unterstützung unterschiedlicher Bürgerkartenausprägungen (e-card, Dienstkarten, A-Trust Karten, etc.) 21

Anmeldung mittels am Markt befindlicher lokaler BKUs Anmeldung mittels Online-BKU Anmeldung mittels Handy-Signatur Prüfung der Signaturdaten Prüfung von Fehlerverhalten, d.h. ungültige Bürgerkarte, ungültige Personenbindung, abgelaufenes Zertifikat, ungültiges bpk, widerrufenes Zertifikat, etc. Prüfung mit unterschiedlichen Bürgerkartenausprägungen (e- Card, A-Trust Karte, etc.) Prüffall_ID 2.1.10 Erwartetes Logout Es wird der Logout am Zustelldienst getestet Empfänger ist am Zustelldienst angemeldet Logout-Verhalten des Zustelldienstes Empfänger ist anschließend ausgeloggt Sämtliche mit der Session verbundene Daten sind gelöscht, bspw. Cookies Manueller Logout möglich Automatisierter Logout nach Timeout Anmeldung mittels Bürgerkarte Manuelles Logout über Button oder Prüfen automatisierter Logout nach Timeout Prüffall_ID 2.1.11 Anmeldung in Vertretung Es wird die Registrierung/Anmeldung in Vertretung getestet Juristische/natürliche Person ist noch nicht am Zustelldienst registriert Vollständige Unterstützung von Online-Vollmachten Erwartetes Empfänger kann sich mittels Vollmacht registrieren 22

Korrektes Pushen der Daten (ohne Daten des Vertreters) an den Zustellkopf Abholung und Anmeldung mittels Vollmacht Registrierung mittels Bürgerkarte und Online-Vollmacht (1x juristische, 1x natürliche Person) Prüfen der Daten am Zustellkopf Abfrage am Zustellkopf Zustellung eines Zustellstücks Prüfen der Zustelldienstantwort Prüfen der Verständigungen Abholung mittels Vollmacht Prüfung der Signaturdaten (Signatur der Vollmachtsreferenz, etc.) Prüfung des Zustellnachweises Prüffall_ID 2.1.12 Erwartetes 5.2.2 Inbox Funktionen Prüffall_ID 2.2.1 Registrierung mit ungültigen Personendaten Es müssen bei einer Registrierung die Personendaten aus der Bürgerkarte verwendet werden Übernahme der Personendaten aus Bürgerkarte Personendaten aus Bürgerkarte werden am Zustelldienst bei Registrierung übernommen und an den Zustellkopf gepusht Registrierung mittels Bürgerkarte Versuchte Angabe von Personendaten, die nicht jenen in der Bürgerkarte entsprechen Prüfen des Zustelldienst-Verhaltens Prüfen der Daten, die an den Zustellkopf gepusht werden Zustellstück Funktionen 23

Erwartetes Es werden die Basisfunktionen für Zustellstücke getestet Zustellstück Basisfunktionen Zustellstück inklusive Metadaten (GZ, Datum, Subject, etc.) wird korrekt angezeigt Zustellstück kann an eine aktivierte E-Mail Adresse weitergeleitet werden Zustellstück kann lokal gespeichert werden Zustellstück kann gelöscht werden (in Papierkorb verschoben) Zustellstück kann aus dem Papierkorb wiederhergestellt werden Zustellstück kann endgültig gelöscht werden Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen der Basisfunktionalitäten auf korrektes Verhalten Prüffall_ID 2.2.2 Erwartetes Darstellung von Zustellstücken Es werden die Basisfunktionen für die Darstellung von Zustellstücken getestet Zustellstück Darstellungs-Basisfunktionen Korrekte Voransicht unterschiedlicher Zustellstück-Typen (PDF, XML, XML+XSL, DOC, TXT, etc.) Anzeige verschlüsselter Zustellstücke 5.2.3 Einstellungsmöglichkeiten / Kontoverwaltung Prüffall_ID 2.3.1 Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen der Darstellungs-Basisfunktionalitäten auf korrektes Verhalten Abwesenheitsmeldung 24

Erwartetes Es wird das Setzen der Abwesenheitsmeldung getestet Abwesenheitsmeldung-Funktion Setzen der Abwesenheit möglich Prüfen der Input-Daten (Beginn-Datum, End-Datum) Korrektes Pushen/Löschen der Daten an den Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen der Abwesenheitsmeldung-Funktion mit unterschiedlichen Input Parametern Entfernen der Abwesenheitsmeldung-Funktion Prüfen der Daten am Zustellkopf Prüffall_ID 2.3.2 Erwartetes Verständigungsadressen Es wird das Hinzufügen/Löschen von Verständigungsadressen getestet Verständigungsadressen-Funktion Hinzufügen von Verständigungsadressen möglich Korrekte Aktivierung (Aktivierungslink) von Verständigungsadressen Löschen (bis auf letzte aktive) Verständigungsadresse möglich Korrektes Pushen/Löschen der Daten an den Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen ob Verständigungsadressen korrekt hinzugefügt bzw. gelöscht werden können Prüfen der Aktivierungslinks Prüfen der Daten am Zustellkopf Prüffall_ID 2.3.3 Abgabestelle 25

Erwartetes Es wird das Hinzufügen/Löschen/Ändern der Abgabestelle getestet Abgabestelle-Funktion Hinzufügen von Abgabestelle möglich (sofern noch nicht gesetzt) Löschen der Abgabestelle möglich Ändern der Abgabestelle möglich Korrektes Format der Daten wird geprüft Korrektes Pushen/Löschen der Daten am Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen ob Abgabestelle beliebig hinzugefügt/gelöscht/verändert werden kann Prüfen der Eingabe-Daten (z.b. Format von PLZ) Prüfen der Daten am Zustellkopf Prüffall_ID 2.3.4 Erwartetes Verschlüsselungszertifikat Es wird das Hinzufügen/Löschen/Ändern eines Verschlüsselungszertifikat getestet Verschlüsselungszertifikat-Funktion Hinzufügen von Verschlüsselungszertifikat möglich (sofern noch nicht gesetzt) Löschen des Verschlüsselungszertifikats möglich Ändern des Verschlüsselungszertifikats möglich Prüfen auf ein gültiges Zertifikat (z.b. Format/Ablaufdatum) Korrektes Pushen/Löschen der Daten am Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen ob Verschlüsselungszertifikat beliebig hinzugefügt/gelöscht/verändert werden kann Prüfen der Daten am Zustellkopf 26

Prüffall_ID 2.3.5 Erwartetes Dokumentenformat Es wird das Setzen der Dokumentenformate getestet Dokumentenformate-Funktion Ändern der unterstützten Dokumentenformate möglich Vorauswahl der gängigen Dokumentenformate möglich (TXT, XML, PDF, DOC, etc.) Zustelldienst prüft auf gültige Dokumentenformate Korrektes Pushen/Löschen der Daten am Zustellkopf Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen ob Dokumentenformate (*/*, PDF, etc.) gesetzt werden können Prüfen der Daten am Zustellkopf Prüffall_ID 2.3.6 Erwartetes Privatzustellung Es wird die Funktionalität der Privatzustellung getestet Empfänger hat Checkbox Zusendung im Auftrag von Privaten aktiviert Zustelldienstfunktionalität der Privatzustellung. Falls ein Zustelldienst diese nicht unterstützt, so ist dieser Prüffall nicht relevant. Setzen der Checkbox Zusendung im Auftrag von Privaten möglich Pushen von gvacceptprivate und edid Zustellung im Auftrag von Privaten möglich Anmeldung am Zustelldienst mittels Bürgerkarte Setzen der Checkbox Zusendung im Auftrag von Privaten Prüfen der Daten im Zustellkopf Abfrage am Zustellkopf Zusendung eines privaten Zustellstücks Prüfen von Verständigungen, Zustellstück und Zustellnachweisen 27

5.2.4 User Interface Prüffall_ID 2.4.1 Erwartetes HTML/XHTML Konformität Es wird die Konformität mit HTML/XHTML Standards getestet Das gesamte Web-GUI Standardkonformität des gesamten Web-GUIs mit angegebenen HTML/XHTML Standard, der im Header der jeweiligen Webseite ausgewiesen ist Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen aller Websites mit W3C Validierungstools Prüffall_ID 2.4.2 Erwartetes Unterstützung verschiedener Browser Systems Sämtliche Seiten des Web-GUIs müssen auf unterschiedlichen Browser Systemen darstellbar sein Das gesamte Web-GUI Korrekte Darstellung der gesamten Web-GUI in verschiedenen Browsersystemen Unterstützung von Internet Explorer 7,8,9,10 Unterstützung der neuesten Versionen von Firefox, Chrome und Safari Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen aller Websites mit den angegebenen Browsern Prüffall_ID 2.4.3 Accessibility Sämtliche Seiten des Web-GUIs müssen den Web Accessibility 28

Erwartetes Standard WCAG 2.0 gemäß Stand der Technik erfüllen. Das gesamte Web-GUI Das gesamte Web-GUI erfüllt den Web Accessibility Standard WCAG 2.0 gemäß Stand der Technik Anmeldung am Zustelldienst mittels Bürgerkarte Prüfen aller Websites mit einem WCAG Prüftool 5.2.5 Sonstiges Prüffall_ID 2.5.1 Erwartetes 5.3 FC3 Fehlerverhalten Zusätzliche essentielle Informationen Es wird geprüft ob alle zusätzlichen essentiellen Informationen angezeigt werden und verfügbar sind Essentielle Informationen auf der Web-GUI des Zustelldienstes Darstellung AGB Informationen zu Service und Support Dokumentation und Hilfe Prüfen ob Informationen am Zustelldienst vorhanden und zugänglich sind 5.3.1 Fehler bei Darstellung innerhalb der Web-Oberfläche Prüffall_ID 3.1.1 Erwartetes Nicht existierende Seiten Es wird geprüft wie der Zustelldienst auf eine Anfrage für eine nicht existierende Seite reagiert. HTTP(S) Schnittstelle des Zustelldienstes Der Zustelldienst muss für nicht existierende Seiten eine aussagekräftige Fehlerseite zurückliefern 29

Aufruf einer nicht existierender URL Prüfen der Antwort des Zustelldienstes Prüffall_ID 3.1.2 Erwartetes Gelöschte Zustellstücke Es wird geprüft wie der Zustelldienst auf eine Anfrage für ein bereits gelöschtes Zustellstück reagiert. Zugestelltes Zustellstück wurde endgültig gelöscht Zustelldienst-Verhalten Ein endgültig gelöschte Zustellstück darf nicht mehr zugänglich sein Anmeldung mittels Bürgerkarte am Zustelldienst 5.3.2 Reaktion bei Fehlbedienung durch den Anwender Prüffall_ID 3.2.1 Erwartetes Endgültiges Löschen eines bereits zugestellten Zustellstücks Prüfen ob auf dieses Zustellstück noch zugegriffen werden kann Fehleingabe in Eingabefeldern Es wird geprüft wie der Zustelldienst auf Fehleingaben in Eingabefeldern reagiert. Validierung von Formularfeldern Korrekte Validierung von Daten bei Registrierung Korrekte Validierung von Eingabedaten für o o o o o Verständigungsadressen Verschlüsselungszertifikat Abgabestelle Dokumentenformate Abwesenheiten Verständliche und aussagekräftige Fehlermeldungen bei 30

Fehleingaben Prüfung aller vorhandenen Formularfelder am Zustelldienst 5.3.3 Reaktion bei fehlerhafter Ansteuerung externer Schnittstellen Prüffall_ID 3.3.1 Erwartetes 5.4 FC4 Sicherheitsaspekte 5.4.1 Sicherheit der IT-Infrastruktur Prüffall_ID 4.1.1 Erwartetes PUSH Fehlverhalten bei Abwesenheit des Zustellkopfes Ein Zustelldienst muss bei Abwesenheit des PUSH Dienstes des Zustellkopfes entsprechende Recovery Mechanismen bereitstellen. Zustellkopf nicht erreichbar Zustelldienst-Verhalten bei Abwesenheit des PUSH Dienstes Zustelldienst versucht eigenständig in gewissen Zeitintervallen den PUSH Dienst zu kontaktieren Im Registrierungsprozess darf ein Zustellstück für einen Empfänger nicht angenommen werden, bevor die Daten nicht an den Zustellkopf übermittelt wurden Zustellkopf stoppen Versuch der Registrierung bzw. Änderung eines Datums bei bereits registriertem Empfänger Beobachtung des Verhaltens des Zustelldienstes IT-Sicherheitskonzept Das vom Antragsteller bereitgestellte IT-Sicherheitskonzept wird geprüft. Vorhandenes IT-Sicherheitskonzept IT-Sicherheitskonzept Ausführliches und va. dem Stand der Technik entsprechendes IT- Sicherheitskonzept Sichtung des IT-Sicherheitskonzepts 31

Prüffall_ID 4.1.2 Erwartetes IT-Infrastruktur Es wird mittels Penetration-Test die IT-Infrastruktur von außen geprüft, ob diese auf Attacken anfällig ist. IT-Infrastruktur des zur Prüfung unterzogenenen Zustelldienstes (muss der Infrastruktur des späteren Produktivsystems entsprechen) IT-Infrastruktur 5.4.2 Sicherheitsaspekte Software Prüffall_ID 4.2.1 Erwartetes 5.4.3 Web-Interface Prüffall_ID 4.3.1 Die Infrastruktur sollte nicht auf mögliche Attacken von außen anfällig sein Penetration-Tests mit state-of-the-art Tools Eingesetzte Software Es wird geprüft ob der Zustelldienst aktuelle Softwareversionen einsetzt. Zustelldienst-Software Der Zustelldienst muss für jede Softwarekomponente die aktuellste Version einsetzen Prüfung der jeweiligen Version der eingesetzten Softwarekomponenten Session-Transfers Es wird geprüft ob von einem Angreifer einfach Benutzer-Sessions gestohlen werden. Zustelldienst-Software 32

Erwartetes Keine Session Transfers möglich Prüfung auf mögliche Session-IDs in URLs Prüfung auf mögliche XSS Attacken Prüffall_ID 4.3.2 Erwartetes Dokumtendiebstahl Es wird geprüft ob ein Angreifer einfach auf Zustellstücke eines anderen Benutzers zugreifen kann. Zweites Zustellkonto mit vorhandenem Zustellstück Zustelldienst-Software Kein Zugriff auf fremde Zustellstücke möglich Zugriffsversuch auf Dokumente eines anderen Empfängers Prüffall_ID 4.3.3 Erwartetes SQL/LDAP-Injection Es wird geprüft ob ein Angreifer mittels Attacken eine SQL- bzw. LDAP Injection durchführen kann. Zustelldienst-Software Kein SQL- bzw. LDAP Injections möglich Anmeldung mittels Bürgerkarte am Zustelldienst Durchführung von SQL- und LDAP Injection Attacken Prüffall_ID 4.3.4 Codeinjection bzw. XSS Attacken Es wird geprüft ob ein Angreifer anderweitige Codeinjections bzw. XSS Attacken durchführen kann. Zustelldienst-Software 33

Erwartetes Kein Codeinjections bzw. XSS Attacken möglich Anmeldung mittels Bürgerkarte am Zustelldienst Durchführung von Codeinjections bzw. XSS Attacken 5.4.4 Recovery Test bei Ausfall Zustellkopf Prüffall_ID 4.4.1 Erwartetes LDAP Verzeichnis Es wird geprüft ob der Zustellkopf auf den LDAP Verzeichnisdienst des Zustelldienstes in einer Weise zugreifen kann um diesen vollständig auszulesen. Zustelldienst stellt LDAP Verzeichnisdienst zur Verfügung LDAP Verzeichnisdienst Verzeichnisdienst kann vollständig ausgelesen werden Anmeldung am Verzeichnisdienst Prüfung der LDAP Verzeichnisdienststruktur Auslesen sämtlicher Daten aus Verzeichnisdienst 5.5 FC5 Verständigungen 5.5.1 Zustellung mit Zustellnachweis Prüffall_ID 5.1.1 Erwartetes Verständigungen Es wird geprüft ob Verständigungen bei Zustellung mit Zustellnachweis die Vorgaben der Zustellformularverordnung erfüllen. Verständigung Abgabestelle hinterlegt, 1. Verständigung = Formular 8 Abgabestelle hinterlegt, 2. Verständigung = Formular 8 Abgabestelle hinterlegt, 3. Verständigung = Formular 9 Abgabestelle nicht hinterlegt, 1. Verständigung = Formular 7 34

Abgabestelle nicht hinterlegt, 2. Verständigung = Formular 7 Sämtliche Signaturen der Verständigungen sind gültig Abfrage am Zustellkopf Zustellung eines Zustellstücks mit Zustellnachweis Prüfen der visuellen Darstellung und Signatur der (unmittelbar) einlangenden Verständigungen gemäß den Vorgaben der Zustellformularverordnung 5.5.2 Zustellung ohne Zustellnachweis Prüffall_ID 5.2.1 Erwartetes Verständigungen Es wird geprüft ob Verständigungen bei Zustellung ohne Zustellnachweis die Vorgaben der Zustellformularverordnung erfüllen. Verständigung 1. Verständigung = Formular 7 2. Verständigung = Formular 7 Sämtliche Signaturen der Verständigungen sind gültig Abfrage am Zustellkopf Zustellung eines Zustellstücks ohne Zustellnachweis Prüfen der visuellen Darstellung und Signatur der (unmittelbar) einlangenden Verständigungen gemäß den Vorgaben der Zustellformularverordnung 35

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback