(1) Vor der erstmaligen Anbindung eines Glücksspielautomaten müssen im zentralen Kontrollsystem die eindeutige Zuordnung des Hardware-Tokens zum Glücksspielautomaten und die Anbringung des Hardware-Tokens mit Krypto-Prozessor über die in § 12 beschriebene USB-Schnittstelle erfolgen.
(2) Um die Integrität der verwendeten Software zu gewährleisten, ist eine Signierung der verwendeten Software jedes Glücksspielautomatentyps durchzuführen. Die Softwaresignatur ist für jede Anfrage neu zu berechnen. Zur Sicherstellung der Reproduzierbarkeit der Signaturwerte ist eine klare physische Trennung zwischen Programmspeicher und Datenspeicher vorzusehen. Änderungen der Software stellen eine Änderung des Glücksspielautomatentyps dar (§ 32) und erfordern eine erneute Erstellung der Softwaresignaturen.
(3) Die Softwaresignaturen sind durch die mathematische Hashfunktion Secure Hash Algorithm (SHA-256) zu erstellen. Das SHA-256 Verfahren ist pro Softwarekomponente eines Glücksspielautomatentyps anzuwenden. Zu signieren ist das gesamte Speichermedium des betreffenden Programmspeichers. Signaturwerte, die in Typengutachten aufgeführt werden, müssen mit einem Startwert für die Hashfunktion, der Null (0000 0000 0000 0000) entspricht, ermittelt werden.
(Anm.: Abs. 4 aufgehoben durch BGBl. II Nr. 165/2014)
(5) Um eine eindeutige Identifikation der Komponenten eines Managementsystems (Kombination aller Komponenten), welche die Funktionalität des Glücksspielautomaten beeinflussen (§ 7 Abs. 2 Z 2a und 2b), zu gewährleisten, ist sicherzustellen, dass ein Managementsystemidentifikationsmerkmal (256 bit, dargestellt als Hexadezimal-Wert mit 64 Zeichen) bei einer lokalen Abfrage (Abs. 6) und auf Anforderung des zentralen Kontrollsystems (Abs. 7) unter Anwendung des übergebenen Startwerts (Salt) vom Managementsystem angefordert und zum Glücksspielautomaten übertragen wird. Hinsichtlich der Signierung der Softwarekomponenten des Managementsystems sind die Bestimmungen von Abs. 2 und 3 mit der Maßgabe anzuwenden, dass keine physische Trennung zwischen Programmspeicher und Datenspeicher angewendet und nur der betreffende Programmspeicher signiert werden muss. Bei Veränderung von Komponenten des Managementsystems, welche die Funktionalität des Glücksspielautomaten beeinflussen, ist ein neues Typengutachten für Glücksspielautomaten bzw. VLT inklusive eines neuen Managementsystemidentifikationsmerkmals erforderlich.
(5a) Um eine eindeutige Identifikation der relevanten Komponenten (§ 32a Abs. 2) eines Converter-Boards (Kombination aller relevanten Komponenten) zu gewährleisten, ist sicherzustellen, dass ein Converter-Board-Identifikationsmerkmal (256 bit, dargestellt als Hexadezimal-Wert mit 64 Zeichen) bei einer lokalen Abfrage (Abs. 6) und auf Anforderung des zentralen Kontrollsystems (Abs. 7) unter Anwendung des übergebenen Startwerts (Salt) vom Converter-Board angefordert, zum Glücksspielautomaten bzw. Converter-Board übertragen und nach Umschalten in einem speziellen Modus am Bildschirm des Glücksspielautomaten bzw. Converter-Boards angezeigt wird. Hinsichtlich der Signierung der Softwarekomponenten des Converter-Boards sind die Bestimmungen von Abs. 2 und 3 mit der Maßgabe anzuwenden, dass keine physische Trennung zwischen Programmspeicher und Datenspeicher angewendet und nur der betreffende Programmspeicher signiert werden muss. Bei Veränderung von Komponenten des Converter-Boards, ist ein neues Typengutachten für Converter-Boards inklusive eines neuen Converter-Board-Identifikationsmerkmals erforderlich.
(6) Ab Inbetriebnahme müssen alle Glücksspielautomaten nach Umschalten in einen speziellen Modus die notwendige Eingabemöglichkeit des Startwertes zur lokalen Abfrage der Softwaresignaturwerte (Abs. 2) zur Verfügung stellen sowie die Softwaresignaturwerte der Komponenten berechnen und anzeigen. Darüber hinaus müssen ein allfälliges Managementsystemidentifikationsmerkmal (Abs. 5) und alle weiteren für die Verifikation erforderlichen Informationen für Systemsoftware und Spielprogramme auf dem Bildschirm des Glücksspielautomaten angezeigt werden.
(7) Ab dem Zeitpunkt der Anbindung an das zentrale Kontrollsystem müssen alle Glücksspielautomaten auf Anforderung des zentralen Kontrollsystems Softwaresignaturwerte (Abs. 2), ein allfälliges Managementsystemidentifikationsmerkmal (Abs. 5) und alle weiteren für die Verifikation erforderlichen Informationen für Systemsoftware und Spielprogramme an das zentrale Kontrollsystem übermitteln. Der Abgleich mit den im zentralen Kontrollsystem hinterlegten Informationen der Typenanzeige ist zu ermöglichen. Die vorgenannten Informationen müssen dem von der Bundesministerin für Finanzen vorgegebenen G2S-Standard (Detailspezifikation 1) entsprechend bereitgestellt werden.
0 Kommentare zu § 24 GlSpAV