2. Teil Technische Vorschriften
4. Hauptstück Mindeststandards der elektronischen Anbindung
2. Abschnitt Standards für Datenübertragungen
§ 28. Vertraulichkeit, Authentizität und Integrität
Zur Sicherstellung von Vertraulichkeit, Authentizität und Integrität sind Daten verschlüsselt zu übermitteln. Für den Einsatz von Verschlüsselung und kryptographischer Signatur sind folgende Anforderungen zu erfüllen:
1. Jeder Glücksspielautomat hat über zumindest ein kryptographisches asymmetrisches Schlüsselpaar (zB RSA 2048 Bit, etc.) zu verfügen. Dieses erhält der Glücksspielautomat über ein Hardware-Token mit Krypto-Prozessor, das über die in § 12 beschriebene USB-Schnittstelle angeschlossen wird.
2. Daten, die vom Glücksspielautomaten an die Bundesrechenzentrum GmbH gesendet werden, sind mit kryptographischen Schlüsseln, die von den oben genannten Schlüsseln abgeleitet wurden, vom Glücksspielautomaten zu verschlüsseln. Beim Aufbau der Verbindung (HTTP) zwischen dem Glücksspielautomat und dem zentralen Kontrollsystem (in beide Richtungen) wird entsprechend dem Protokoll SSL/TLS dieser abgeleitete kryptographische Schlüssel zwischen dem Glücksspielautomaten und dem zentralen Kontrollsystem vereinbart und damit alle nachfolgenden Datenpakete durch den Einsatz von SSL/TLS (HTTPS) verschlüsselt.
3. Der Glücksspielautomat hat sich mit dem privaten Schlüssel des genannten Schlüsselpaares durch Erstellung einer digitalen Signatur sicher gegenüber der Bundesrechenzentrum GmbH zu authentisieren. Dies hat beim Aufbau der Verbindung zwischen dem Glücksspielautomaten und dem zentralen Kontrollsystem (in beide Richtungen) auf der Ebene des Kommunikationskanals entsprechend dem Protokoll SSL/TLS zu erfolgen.
4. Die möglichen Versionen von SSL und TLS sind in der von der Bundesministerin für Finanzen vorgegebenen Version der „GSA Point to Point SOAP/https Transport and security Spezifikation“ definiert (Detailspezifikation 1).
5. Der Glücksspielautomat hat auf die kryptographischen Schlüssel und Zertifikate am Hardware-Token über PKCS#11 zuzugreifen.
6. Der Bewilligungsinhaber hat dafür Sorge zu tragen, dass das Hardware-Token von der Hard- und Software des Glücksspielautomaten unterstützt wird.
7. Zum Betrieb des Hardware-Tokens im Glücksspielautomaten hat die Bundesrechenzentrum GmbH für ausgewählte Betriebssysteme PKCS#11-Treiber zur Verfügung zu stellen. Der Bewilligungsinhaber hat dafür zu sorgen, dass vor der Inbetriebnahme des Glücksspielautomaten die Funktionsfähigkeit des Automaten unter der Verwendung eines von der Bundesrechenzentrum GmbH zur Verfügung gestellten Treibers getestet und gegeben ist. Sollte ein Bewilligungsinhaber einen eigenen PKCS#11-Treiber entwickeln, so hat die Bundesrechenzentrum GmbH dem Bewilligungsinhaber die notwendigen Informationen auf Anforderung zur Verfügung zu stellen. Ein vom Bewilligungsinhaber eigens entwickelter Treiber fällt unter die zu prüfenden Softwarekomponenten gemäß § 32 Abs. 1 Z 1 (Detailspezifikation 6).
Dieses Dokument entstammt dem Rechtsinformationssystem des Bundes.
Fundstelle(n):
zur Änderungshistorie
DAAAA-76844