2. Teil Technische Vorschriften
3. Hauptstück Zugriff auf Glücksspielautomaten
§ 24. Identifikation und Verifikation
(1) Vor der erstmaligen Anbindung eines Glücksspielautomaten müssen im zentralen Kontrollsystem die eindeutige Zuordnung des Hardware-Tokens zum Glücksspielautomaten und die Anbringung des Hardware-Tokens mit Krypto-Prozessor über die in § 12 beschriebene USB-Schnittstelle erfolgen.
(2) Um die Integrität der verwendeten Software zu gewährleisten, ist eine Signierung der verwendeten Software jedes Glücksspielautomatentyps durchzuführen. Die Softwaresignatur ist für jede Anfrage neu zu berechnen. Zur Sicherstellung der Reproduzierbarkeit der Signaturwerte ist eine klare physische Trennung zwischen Programmspeicher und Datenspeicher vorzusehen. Änderungen der Software stellen eine Änderung des Glücksspielautomatentyps dar (§ 32) und erfordern eine erneute Erstellung der Softwaresignaturen.
(3) Die Softwaresignaturen sind durch die mathematische Hashfunktion Secure Hash Algorithm (SHA-256) zu erstellen. Das SHA-256 Verfahren ist pro Softwarekomponente eines Glücksspielautomatentyps anzuwenden. Zu signieren ist das gesamte Speichermedium des betreffenden Programmspeichers. Signaturwerte, die in Typengutachten aufgeführt werden, müssen mit einem Startwert für die Hashfunktion, der Null (0000 0000 0000 0000) entspricht, ermittelt werden.
(Anm.: Abs. 4 aufgehoben durch BGBl. II Nr. 165/2014)
(5) Um eine eindeutige Identifikation der Komponenten eines Managementsystems (Kombination aller Komponenten), welche die Funktionalität des Glücksspielautomaten beeinflussen (§ 7 Abs. 2 Z 2a und 2b), zu gewährleisten, ist sicherzustellen, dass ein Managementsystemidentifikationsmerkmal (256 bit, dargestellt als Hexadezimal-Wert mit 64 Zeichen) bei einer lokalen Abfrage (Abs. 6) und auf Anforderung des zentralen Kontrollsystems (Abs. 7) unter Anwendung des übergebenen Startwerts (Salt) vom Managementsystem angefordert und zum Glücksspielautomaten übertragen wird. Hinsichtlich der Signierung der Softwarekomponenten des Managementsystems sind die Bestimmungen von Abs. 2 und 3 mit der Maßgabe anzuwenden, dass keine physische Trennung zwischen Programmspeicher und Datenspeicher angewendet und nur der betreffende Programmspeicher signiert werden muss. Bei Veränderung von Komponenten des Managementsystems, welche die Funktionalität des Glücksspielautomaten beeinflussen, ist ein neues Typengutachten für Glücksspielautomaten bzw. VLT inklusive eines neuen Managementsystemidentifikationsmerkmals erforderlich.
(6) Ab Inbetriebnahme müssen alle Glücksspielautomaten nach Umschalten in einen speziellen Modus die notwendige Eingabemöglichkeit des Startwertes zur lokalen Abfrage der Softwaresignaturwerte (Abs. 2) zur Verfügung stellen sowie die Softwaresignaturwerte der Komponenten berechnen und anzeigen. Darüber hinaus müssen ein allfälliges Managementsystemidentifikationsmerkmal (Abs. 5) und alle weiteren für die Verifikation erforderlichen Informationen für Systemsoftware, Systemhardware und Spielprogramme auf dem Bildschirm des Glücksspielautomaten angezeigt werden.
(7) Ab dem Zeitpunkt der Anbindung an das zentrale Kontrollsystem müssen alle Glücksspielautomaten auf Anforderung des zentralen Kontrollsystems Softwaresignaturwerte (Abs. 2), ein allfälliges Managementsystemidentifikationsmerkmal (Abs. 5) und alle weiteren für die Verifikation erforderlichen Informationen für Systemsoftware, Systemhardware und Spielprogramme an das zentrale Kontrollsystem übermitteln. Der Abgleich mit den im zentralen Kontrollsystem hinterlegten Informationen der Typenanzeige ist zu ermöglichen. Die vorgenannten Informationen müssen dem von der Bundesministerin für Finanzen vorgegebenen G2S-Standard (Detailspezifikation 1) entsprechend bereitgestellt werden.
Dieses Dokument entstammt dem Rechtsinformationssystem des Bundes.
Fundstelle(n):
zur Änderungshistorie
DAAAA-76844