Landesportal Schleswig-Holstein

Diese Webseite verwendet Cookies und das Webanalyse-Tool Piwik. Wenn Sie durch unsere Seiten surfen, erklären Sie sich hiermit einverstanden. Eine Widerspruchsmöglichkeit gibt es hier.

Technische Vorgaben

Staatskanzlei

Technische Vorgaben

alle öffnen

Safe-System

Anbieter von Online-Glücksspielen müssen ein technisches Safe-System einrichten und betreiben, das für die Durchführung der Glücksspielaufsicht erforderliche Daten nach einer Zeit oder nach dem auslösenden Ereignis erfasst und digital ablegt sowie eine elektronische Kontrolle durch die Aufsichtsbehörde ermöglicht.

Das Safe-System verbindet die Anwendungen eines Glückspielanbieters mit dem Auswertesystem der Aufsichtsbehörde und der zuständigen Finanzbehörde.

Skizze zum Beschreiben des "Safe System" für Glückspielanbieter

Die Datenerfassungskomponente (capturing) innerhalb des Safe-Systems ist verantwortlich für die Konstruktion von fachlichen XML-Aufzeichnungsdaten mit Informationen zu Spiel- und Wettabläufen, Zahlungen, Kontoständen und Spielern. Die Datenerfassung wird ausgelöst durch Ereignisse, die sich aus dem Spielbetrieb des Glückspielanbieters ergeben.

Die nachgelagerte Komponente führt eine digitale Versiegelung (sealing) von zu Datensätzen zusammengefassten Aufzeichnungen zum Zwecke der Nachweisbarkeit von Vertraulichkeit, Integrität, Unabstreitbarkeit und der Möglichkeit der Authentifizierung durch. Die Versiegelung besteht aus den Teilschritten Komprimierung, Verschlüsselung und Signierung. Die versiegelten Datensätze werden für die Aufsichtsbehörde und zuständige Finanzbehörde durch den Safe-Server (storing) für Kontrollzwecke unmittelbar elektronisch bereitgestellt. Die in einer Technischen Richtlinie näher beschriebenen XML-Aufzeichnungsdaten eines einzelnen Glückspielanbieters müssen von jeglichen anderen Daten logisch getrennt auf einem Safe-Server abgelegt werden.

Das Safe-System mit den Komponenten Datenerfassung (capturing), Versiegelung (sealing) und Safe-Server (storing) muss mindestens die Anforderungen der ISO/IEC 27001:2005 erfüllen und dies durch eine Zertifizierung von einer akkreditierten Stelle nachweisen.

Public Key


Das Ministerium für Inneres und Bundesangelegenheiten des Landes Schleswig-Holstein stellt als Aufsichtsbehörde den Public Key (Public_Key_Head_of_Gamblingsupervision) im zip-Format.

Public_Key_Head_of_Gamblingsupervision (zip 3KB, Datei ist nicht barrierefrei)



Der Inhalt lautet:

Info: inetorgperson
Name: Head_of_Gambling_Supervision:PN
E-Mail: ronald.benter@im.landsh.de
Organisation: Ministerium für Inneres und Bundesangelegenheiten des Landes Schleswig-Holstein
CA: D-TRUST Application Certificates CA 3-1 2013
UID (Seriennummer): 1536409 (d) 177199 (h)
Gültig bis: 6.02.2018 14:34:27 GMT

Alternativ kann dieser Public Key hier runtergeladen und verifiziert werden:

D-TRUST

Dieser Public Key ist zur Verschlüsselung der Dateien für das Safe-System vorgesehen. Für eine Verwendung einer verschlüsselten E-Mail-Kommunikation ist dieser Key nicht vorgesehen, nicht beabsichtigt und wird technisch nicht angewandt.

SafeDemo

Demoversion und Tool zur Validierung der im Safe-Server für die Glücksspielaufsicht bereitzustellenden Daten.

Die Aufsichtsbehörde stellt den genehmigten Glücksspielanbietern Demo-Dateien und ein Tool zur Validierung der für den Safe-Server generierten Daten zum ausschließlichen Zweck einer anbieterinternen Qualitätskontrolle zur Verfügung. Eine anderweitige Verwendung sowie die Weitergabe der Demo-Dateien und des Tools an Dritte ist grundsätzlich unzulässig. Sofern der Glücksspielanbieter den Safe-Server durch Dritte betreiben lässt, ist die Weitergabe an diesen ausnahmsweise zulässig, sofern der Glücksspielanbieter die Einhaltung der vorgenannten Beschränkungen durch den Dienstleister sicherstellt. Die Erforderlichkeit der Abnahme des Safe-Servers durch die Aufsichtsbehörde bleibt davon unberührt.

Das Passwort für den Download kann unter der E-Mail-Adresse Gluecksspielaufsicht@im.landsh.de

Hinweise zum Austausch von Daten mit der Landesregierung per E-Mail angefordert werden.

Erforderliche Zertifizierungen

Safe-System

Das Safe-System mit den Komponenten Datenerfassung (capturing), Versiegelung (sealing) und Safe-Server (storing) muss mindestens die Anforderungen der ISO/IEC 27001:2005 erfüllen und dies durch eine Zertifizierung von einer akkreditierten Stelle nachweisen.
Innerhalb von 12 Monaten nach der Inbetriebnahme des Safe-Systems muss die Zertifizierung erfolgt sein, außer bei einer Zertifizierung auf der Basis von IT-Grundschutz. Hier muss ein Nachweis der Zertifizierung unter Beachtung der folgenden Rahmenbedingungen erst nach 24 Monaten erbracht werden:

  • 6 Monate nach der Inbetriebnahme des Safe-Systems muss der Glückspielanbieter gegenüber der Aufsichtsbehörde eine IT-Grundschutz-Selbsterklärung für das Safe-System abgeben. Zusammen mit der Selbsterklärung muss das Sicherheitskonzept für das Safe-System auf Basis des BSI-Standards 100-2 und das Ergebnis des Basis-Sicherheits-Checks bereitgestellt werden.
  • Ein Auditor-Testat kann innerhalb von 12 Monaten nach der Inbetriebnahme des Safe-Systems durchgeführt werden. Der Prüfbericht und die Bescheinigung des Auditors müssen der Aufsichtsbehörde unaufgefordert und vollständig und ggf. mit der Auflistung der noch durchzuführenden Maßnahmen bereitgestellt werden.
  • Innerhalb von 24 Monaten ist ein ISO 27001-Zertifkat auf der Basis von IT-Grundschutz für den IT-Verbund des „Safe-Systems“ vorzulegen.

Im Falle einer Entscheidung für die Zertifizierung nach IT-Grundschutz und die Umsetzung der aktuellen IT-Grundschutzkataloge des BSI ist die Zertifizierung des IT-Verbundes „Safe-System“ von einem lizensierten ISO 27001-Auditor vorzunehmen, ansonsten hat die Zertifizierung durch eine akkreditierte Stelle zu erfolgen.

Generell ist nach Ablauf der Gültigkeit eines erteilten Zertifikates eine Rezertifizierung erforderlich. Die erteilten Zertifikate müssen der Aufsichtsbehörde unaufgefordert und vollständig mit Audit-Reports und ggf. mit der Auflistung der aufgrund dieser Reports durchzuführenden Maßnahmen bereitgestellt werden.

Softwarekomponenten des Glücksspielanbieters

Die auf Seiten des Glücksspielanbieters eingesetzten Softwarekomponenten (Spiel-Software, Spielermanagement, Wettsoftware und Zahlungsdienste) müssen von einem unabhängigen, nach der internationalen Norm ISO/IEC 17025:2005 akkreditierten Prüflabor, zertifiziert werden.

Die erteilten Zertifikate müssen der Aufsichtsbehörde unaufgefordert und vollständig mit Audit-Reports und ggf. mit der Auflistung der aufgrund dieser Reports durchzuführenden Maßnahmen bereitgestellt werden.