Home -> News ->

INITIATIVE:SPEZIELLER INDUSTRIESTANDARD IN DER GAMINGINDUSTRIE

Die Gaming und Gambling Branche steht in Öffentlichkeit im Schatten von Betrug, Spielsucht und Jugendschutzvergehen. Dazu kommt eine komplexe Rechtsituation, die für alle Beteiligten schwer durchschaubar ist.

TÜV TRUST IT schafft mehr Sicherheit, Rechtskonformität und Transparenz für Spieler, Gaming- und Gambling Provider, durch das Schaffen eines Standards der durch ein Zertifikat „Trusted Gaming Provider“ dokumentiert wird. Erstmalig wird in diesem Bereich ein allgemeingültiges Standardwerk auf internationaler Basis geschaffen, der gegenüber Gesetzgebern und Behörden den rechtkonformen Umgang mit den angebotenen Dienstleistungen dokumentiert.

Innerhalb der Entertainmentbranche nimmt die Gaming-Industrie eine Sonderstellung ein. Zum Einen unterliegt sie staatlichen Regulierungen und zum Anderen muss Sie mehr als andere Industriezweige für Transparenz und ein hohes Qualitätsniveau ihrer Produkte sorgen. Gerade für die Online-Schnittstellen muss dies besonders gewährleistet sein, da hier bei Vielen ein Misstrauen bzgl. der Integrität der angebotenen Dienstleistungen herrscht. Es werden Manipulationsmöglichkeiten innerhalb des Spielablaufs oder Spionage durch die Betreiber oder Mitspieler vermutet. Dabei ist es unabhängig, um welche Spiele es sich hierbei handelt. So werden Manipulationsvorwürfe sowohl bei Online-Poker als auch bei klassischen Geschicklichkeitsspielen im Turniermodus laut.

Eine Möglichkeit sich als Anbieter von Online-Games diesen Vorwürfen pro-aktiv entgegen zu stellen, ist die Verifikation der Prozesse, der IT-Infrastruktur und der Software durch unabhängige und produktneutrale Dritte. Dabei bieten sich u.a. internationale Prüforganisationen wie die TÜV TRUST IT an, die als neutrale und produktunabhängige Instanz auf Basis von internationalen Standards Qualitäts- und Sicherheitsanalysen durchführt. Da es keinen allgemein gültigen Standard für die Gaming-Industrie gibt, muss dieser erst entwickelt werden. Dabei wurde soweit wie möglich auf bereits international anerkannte Standards zurückgegriffen und mit der Branchenerfahrung auf die speziellen Anforderungen der Dienstleistungen angepasst.

Um mit dem Zertifikat den speziellen Anforderungen der Gaming-Industrie gerecht zu werden, müssen die verschiedenen Interessengruppen einbezogen werden. Die staatlichen Stellen möchten bei den Produkten der Gaming-Industrie die rechtlichen Vorgaben gewahrt sehen. Die Randbedingungen unter denen eine Lizenz oder Genehmigung zum Betrieb des Angebotes erteilt wird, müssen unter allen Umständen respektiert und eingehalten werden. Somit ist klar, dass ein Zertifizierungsstandard für die Gaming-Industrie einen großen rechtlichen Anteil haben muss, der die einzuhaltenden rechtlichen Anforderungen beinhaltet.

Die Betreiber selbst haben natürlich ein sehr hohes Interesse daran, das über die Online-Schnittstellen der Betrieb und der ordnungsgemäße Ablauf des Angebotes nicht gefährdet wird. Weiterhin müssen die persönlichen Daten des Spielers wie bspw. seine Identität und seine Finanzdaten besonders geschützt werden und ein Angreifer darf nicht in den Besitz dieser Daten gelangen. Weiterhin muss die Möglichkeit der Manipulation des Spiel- oder Turnierablauf über die Online-Schnittstellen ausgeschlossen sein. Die Integrität des Produktes selbst muss zu jeder Zeit gewährleistet sein.

Die dritte Interessengruppe sind Spieler. Sie möchten ebenso wie der Betreiber sichergestellt wissen, dass das Produkt manipulationsresistent ist und neben anderen Spielern, auch der Betreiber selbst nicht in den Spielablauf eingreift und zum Schaden des Spielers Änderungen vornimmt. Zudem besteht bei einigen Spielern der Verdacht, dass ggf. die spezielle Clientsoftware einiger Anbieter Spionageaktivitäten auf dem Computer des Nutzers vornimmt. Einen kompletten Überblick über diese verschieden Anforderungen an einen wirkungsvollen Standard erhält man durch die Anwendung von modifizierten Threat-Analysen bzgl. der betrachteten Dienstleistungen, wobei die dann resultierenden Threat-Modelle sich aus allgemeinen Anteilen (Verstöße gegen grundsätzliche rechtliche Randbedingungen) und produktspezifischen Bedrohungen zusammensetzen. Wir bieten an, dieses Threat-Modell auf Basis unserer Vorarbeiten zusammen mit der Gaming-Industrie weiter zu entwickeln.

Somit ist evident, dass ein Standard neben den rechtlichen Belangen auch die Analyse der relevanten Prozesse des Unternehmens in Bezug auf die Dienstleistung, als auch die technische IT-Infrastruktur und die eingesetzte Software beinhalten muss. Dabei sind die drei Segmente nicht trennscharf voneinander getrennt sondern haben große Bereiche, in den sich die Anforderungen ergänzen und überlappen. Um diesen Standard so robust wie möglich zu gestalten, wird er sich auf bereits erprobte und bewährte Standards beziehen.

Für den Bereich Informationssicherheit werden die Anforderungen der ISO/IEC 27001 zu Grunde gelegt. Analysen auf Basis dieser Norm beleuchten alle relevanten organisatorischen Prozesse innerhalb des Unternehmens, soweit sie mit der zu zertifizierenden Dienstleistung in Verbindung stehen. Für spezielle technische Elemente werden die Anforderungen aus dem Standard ISO/IEC 18028 und dem Industriestandard PCIDSS V2.1 berücksichtigt. Um ein entsprechend hohes Niveau zu garantieren, müssen zusätzlich noch die für die sicherheitstechnischen Analysen von Online-Kommunikation maßgeblichen Standards wie OWASP V3.0 (Open Web Application Security Project) und OSSTMM V3.0 (Open Source Security Testing Methodology Manual) berücksichtigt werden. Die einzelnen Standards weisen natürlich Überschneidungen auf, die entsprechend berücksichtigt werden.

 

Damit hat der Standard folgende Bestandteile:

·      länderspezifische rechtliche Anforderungen (z.B. Datenschutz, Risikomanagement)

·      technische und organisatorische Industrieanforderungen (z.B. aus PCIDSS)

·      Anforderungen aus speziellen, internationalen Normen des Informationsschutz (z.B. ISO 27001, ISO 18028)

·      technische und prozessuale Anforderungen aus dem Bereich der IT-Sicherheit (z.B. OWASP, OSSTMM)

·      spezielle Anforderungen aus dem Bereich der Gaming-Industrie

 

Gerade der letzte Punkt ist nun von besonderem Interesse. Während die vier ersten Bereiche der vorangehenden Liste mehr oder weniger der Gaming-Industrie von Außen vorgegeben werden, kann die Gaming-Industrie beim letzten Punkt aktiv mitwirken. Durch die Definition von industriespezifischen Anforderungen der Betreiber selbst, kann somit bei erfolgreicher Zertifizierung dokumentiert werden, dass die geprüfte Dienstleistung und das Unternehmen ein Höchstmaß an Transparenz, Sicherheit und Compliance erfüllt. Durch die Formulierung von industriespezifischen Anforderungen können zudem unseriöse Anbieter in diesem Industriesektor besser abgegrenzt und für den Kunden sichtbar gemacht werden.

Wir bieten der Gaming-Industrie an, aktiv an dem Standard (Trusted Gaming Provider) mitzuwirken und ihn somit die Grundlage für einen wirkungsvollen Schutz für die Provider und die Kunden zu etablieren. Mit dieser Initiative möchten wir die Gaming-Industrie dabei unterstützen aus der passiven in eine aktive Rolle zu wechseln und proaktiv zu handeln. Wir schlagen daher vor ein Team zu bilden, welches auf Basis des bestehenden Standards mit der aktiven Weiterentwicklung befasst und ähnlich wie in anderen Industriebereichen, aus den Interessengruppen selbst der Regulierung proaktiv entgegengewirkt wird. Das bisherige Team besteht aus erfahrenen Protagonisten aus den Bereichen der technischen und organisatorischen Informationssicherheit und speziellen Experten im Bereich Gaminglaw.

Kontakt über: gaming-standard(at)it-tuv.com