Über das Projekt:

Ziel des Projekts war die Durchführung spezialisierter Sicherheits- und Performance-Tests der E-Zamówienia-Plattform durch einen unabhängigen externen Auditor. Auftragnehmer der Plattform war Pentacomp Systemy Informatyczne S.A., der Vertragsingenieur SOFTIQ Sp. z o.o.

Die neu entwickelte Plattform unterstützt die Durchführung öffentlicher Vergabeverfahren. Sie ermöglicht die elektronische Kommunikation zwischen öffentlichen Auftraggebern und Auftragnehmern. Die Registrierung auf der Plattform ist verpflichtend, wenn ein öffentlicher Auftraggeber Verfahrenspläne und Bekanntmachungen im Bulletin für öffentliche Aufträge veröffentlichen möchte.

Ziel des Sicherheitsaudits war die Identifizierung von Schwachstellen, die eine Bedrohung für verarbeitete, übertragene und gespeicherte Informationen und Daten darstellen oder darstellen könnten. Darüber hinaus wurden die Performance und Verfügbarkeit der Plattform bewertet sowie potenzielle Single Points of Failure (SPOF) identifiziert.
Die Bewertung basierte auf Performance- und Lasttests.

Das Audit sollte die Unabhängigkeit und Skalierbarkeit einzelner Plattformdienste im Hinblick auf deren mögliche Weiterentwicklung durch unabhängige Auftragnehmer nachweisen.

Herausforderung:

Die entwickelte E-Zamówienia-Plattform soll die Digitalisierung öffentlicher Vergabeverfahren in drei Hauptbereichen unterstützen:

1. Bereitstellung eines Tools, das die Nutzung elektronischer Kommunikationsmittel zwischen öffentlichen Auftraggebern und Auftragnehmern gemäß dem Vergaberecht ermöglicht – insbesondere für die Einreichung von Angeboten, Anträgen, Erklärungen und anderen Dokumenten im Rahmen öffentlicher Vergabeverfahren,
2. Herausgabe des Bulletins für öffentliche Aufträge in elektronischer Form zur Veröffentlichung von Bekanntmachungen im Bereich öffentlicher Vergaben,
3. Abwicklung der Verpflichtung öffentlicher Auftraggeber zur elektronischen Übermittlung jährlicher Berichte über vergebene Aufträge.

Die Plattform besteht aus einer Vielzahl von Funktionen, die in logische Module und Komponenten unterteilt wurden und die folgenden Funktionsbereiche abdecken.

Module:

1. Identitätsmodul (MT)
2. Bekanntmachungsmodul (MO)
   • Erstellung von Bekanntmachungen und Verfahrensplänen
   • Bulletin für öffentliche Aufträge (BZP)
3. Verfahrensmodul (MP)
   • Einleitung von Vergabeverfahren sowie Aktualisierung des Verfahrensstatus
   • Kommunikation zwischen den Beteiligten des Vergabeverfahrens (Fragen/Antworten, Einladungen, Erläuterungen, Einsprüche, Mitteilungen)
4. Modul für Angebote/Anträge (MOW)
   • Erstellung und Einreichung von Angeboten, Anträgen und Wettbewerbsbeiträgen
   • Speicherung und Absicherung von Angeboten, Anträgen und Wettbewerbsbeiträgen
   • Öffnung von Angeboten, Anträgen und Wettbewerbsbeiträgen
5. Monitoring- und Analysemodul (MMiA)

Komponenten zur Unterstützung der Umsetzung elektronischer Dienstleistungen:

• Zentrales Datenrepository (CRD)
• Kommunikationskomponente (KOM)
• Mailingsystem (SM)
• Benachrichtigungskoordinator (KP)
• Kryptografische Komponente (KK)
• Key Master (ZK)
• Log Manager (ZL)
• API Manager (ZA)
• Entwicklerportal (PD)
• e-Sender
• Administrationskomponente (KA)
• Schulungskomponente (KE)
• Benachrichtigungssystem (SOZ)
• Zugangsportal (Web-Frontend-GUI)

Der Auftraggeber stellte TestArmy folgende Dokumentation zur Verfügung:

1. Technisches Design (PT),
2. Technische und Abschlussdokumentation.

Prozess:

Das Sicherheitsaudit wurde in vier Zyklen durchgeführt, die mit der schrittweisen Erweiterung der innerhalb der Module der E-Zamówienia-Plattform eingeführten Funktionalitäten verbunden waren.

Für jeden Zyklus wurden die folgenden Phasen durchgeführt:

1. Phase 1 – Testplanung
2. Phase 2 – Analyse der Architektur im Hinblick auf Sicherheitsaspekte
3. Phase 3 – Penetrations-, Performance- und Lasttests
4. Phase 4 – Code-Review
5. Phase 5 – Erstellung des Abschlussberichts über die durchgeführten Tests (Phasen 2–4)
6. Phase 6 – Durchführung von Retests nach der Behebung kritischer Fehler, die in den Phasen 2–4 identifiziert wurden.

Die Arbeitsergebnisse der Retests übermittelten wir dem Auftraggeber spätestens am Tag des Abschlusses von Phase 6. Der endgültige Bericht zu den Retests wurde innerhalb eines Werktages nach Abschluss der Tests dieser Phase bereitgestellt.

Ergebnisse:

1. Es wurde ein Review des Quellcodes der E-Zamówienia-Plattform unter Sicherheitsaspekten durchgeführt, wobei besonderer Fokus auf der korrekten Validierung der an die Plattform übermittelten Daten lag.
2. Es wurden unabhängige Karten der getesteten Plattform erstellt, wobei Anzahl und Typ der Netzwerk- und Servergeräte sowie die Versionen der bereitgestellten Dienste gemäß dem Gray-Box-Testmodell berücksichtigt wurden.
3. Die Schwachstellen der eingesetzten Netzwerk-, Server- und Anwendungsinfrastruktur wurden sowohl von außerhalb als auch innerhalb des Netzwerks untersucht.
4. Es wurden gezielt ausgewählte Angriffe auf die Netzwerk-, Server- und Anwendungsinfrastruktur durchgeführt, darunter: – Durchführung von Sicherheitstests der Plattform durch den Versuch, Sicherheitsmechanismen sowohl außerhalb als auch innerhalb des Netzwerks zu überwinden, unter Einsatz von Methoden, die aktuell von „Cyberkriminellen“ verwendet werden – einschließlich Backdooring, Brute-Force-Angriffen, dem Brechen von PSK-Schlüsseln, der Entschlüsselung von SSL-/TLS-Kommunikation sowie weiterer Verfahren auf Grundlage der Erfahrung des Auftragnehmers.
   • Tests von Webanwendungen auf Grundlage des OWASP-Standards (Open Web Application Security Project), insbesondere der OWASP-Top-10-Klassifikation, sowie basierend auf der Erfahrung des Auftragnehmers.
   • Die Sicherheitstests der Plattform umfassten Versuche des unbefugten Zugriffs auf Ressourcen, Webanwendungen [unter Berücksichtigung von OWASP], Server, die Netzwerkinfrastruktur sowie auf Daten – einschließlich des Versuchs, diese zu verändern.
   • Es wurden Sicherheitstests auf Fehler in der Geschäftslogik durchgeführt. Dabei wurden sämtliche GUI-Formulare sowie alle REST-API-Dienste der Plattform getestet.
   • Die Sicherheitstests der E-Zamówienia-Plattform wurden gemäß dem vom Auftragnehmer erstellten Sicherheits-Testplan und den entsprechenden Testszenarien durchgeführt – sowohl auf Ebene nicht angemeldeter als auch angemeldeter Benutzer. Dabei wurden auch Rechteausweitungen durch die Nutzung von Funktionen außerhalb der jeweiligen Benutzerrolle getestet (Funktionen, die anderen Rollen vorbehalten sind).
     Der Auftraggeber stellte hierfür jeweils zwei Testkonten pro Benutzerklasse zur Verfügung, insgesamt also sechs Konten. Sämtliche GUI-Formulare sowie alle REST-API-Dienste der Plattform wurden getestet.
5. Die Konfiguration und Parametrisierung der Plattforminfrastruktur wurde mit Unterstützung des Plattformauftragnehmers überprüft, um Schwachstellen und Fehlkonfigurationen zu identifizieren. Dies umfasste unter anderem die Analyse der Konfiguration von Datenbank- und Webservern. Die Überprüfung der einzelnen Gerätekonfigurationen wurde für sämtliche Geräte durchgeführt – auch dann, wenn diese eine ähnliche Konfiguration aufwiesen.
6. Die Performance-Tests der E-Zamówienia-Plattform wurden gemäß dem vorbereiteten Testplan und den definierten Szenarien durchgeführt. Ziel war es, die tatsächliche Leistungsfähigkeit der Module und Komponenten der Plattform in der getesteten Konfiguration zu überprüfen sowie das Fehlen von Ressourcenlecks sicherzustellen.
7. Die Lasttests der E-Zamówienia-Plattform wurden gemäß dem vorbereiteten Testplan und den definierten Szenarien durchgeführt, um die Belastungsgrenzen zu bestimmen, ab denen die Plattform die angenommenen Anforderungen hinsichtlich Reaktionsfähigkeit und Verfügbarkeit nicht mehr erfüllt, sowie um eine Skalierbarkeitsanalyse durchzuführen.
8. Durchführung von Tests zur Identifizierung potenzieller Single Points of Failure (SPOF).
9. Der Einfluss der entwickelten Betriebsverfahren auf die Sicherheit der Plattform wurde überprüft.

Eine Zusammenfassung der durchgeführten Tests, des Reviews des Quellcodes der E-Zamówienia-Plattform sowie der Überprüfung der Betriebsdokumentation wurde in Form eines detaillierten Berichts erstellt. Dieser enthielt eine Beschreibung der eingesetzten Werkzeuge und Techniken sowie eine Klassifizierung aller identifizierten Schwachstellen. Für Webanwendungen erfolgte die Bewertung zusätzlich gemäß den Richtlinien der OWASP-Standards.

Die E-Zamówienia-Plattform ermöglicht die Digitalisierung öffentlicher Vergabeverfahren. Dies wäre ohne die Gewährleistung einer angemessenen Systemleistung und Sicherheit nicht möglich. Projekte wie dieses zeigen einen verantwortungsvollen Ansatz beim Aufbau der digitalen Infrastruktur des Staates.