Video-Lotterien-Terminals: Kein leichtes Spiel

"WINWIN" ist eine Kombination aus Spiel, Entertainment und Gastronomie. Mit dieser Mischung erreichen die Video-Lotterien-Terminals ein neues Kundensegment. Angesprochen werden mit dem Angebot ein unterhaltungsorientiertes aktives Klientel, das Freude am Ausgehen und an der Freizeitgestaltung hat. Die WINWIN Architektur versucht die Kunden mit einem designorientierten Ambiente anzusprechen. Das zugrundliegende Konzept beinhaltet die fließende Verbindung von Spiel- und Gastronomiebereich auf einer Fläche von insgesamt rund 500 bis 650 Quadratmetern.

Ganz harmonisch soll sich das Serviceangebot auch in die gesamte IT-Landschaft integrieren. Die Österreichischen Lotterien verfügen über eine Multi-Tier-Architektur mit Front-Ends, Datenbankservern und Clients. Das Unternehmen setzt auf Standardplattformen, das heißt offene und flexible Elemente. Wichtig ist die modular erweiterte Infrastruktur auf Basis einer multichannelfähigen Plattform, die sowohl internet- als auch mobilfunktauglich ist.

Die WINWIN-Terminals werden derzeit an vier Standorten betrieben, im Magna Racino in Ebreichsdorf, in Lienz, Mayrhofen und in Schärding. Weitere Standorte wie Zell am See sind in Bau bzw. in der Planung. Während die Kunden in erster Linie eine ungestörte Zeit genießen sollen, gibt es bei den Verantwortlichen in der Umsetzung der IT-Sicherheitsrichtlinien kaum Spielraum. Alle Systeme und Anwendungen müssen wasserdicht sein. "An jedem Standort gibt es zwei bis drei Kassen, die jeweils über eine SmartCards Authentication abgesichert werden", berichtet Michael Mrak, Datenschutzbeauftragter der Österreichischen Lotterien in Wien.

"Strong Authentication"

Das Projekt "Strong Authentication" wurde bereits im Herbst 2003 gestartet. Als Projekt- bzw. Aufgabendefinition bei der Ausgestaltung des Video Lottery Terminal Systems definierten die Verantwortlichen ein SmartCard Logon an allen Kassen-PCs (Cashier Terminals) sowie Management-PC´s (Management Terminals).

"Neben Hewlett Packard haben wir auch andere Unternehmen eingeladen uns zu unterstützen, aber HP war der beste Anbieter für den Schutz unserer Infrastruktur", bekräftigt Mrak. Ab Frühling 2004 wurde das Projekt gemeinsam mit HP umgesetzt. Die Evaluierungsphase verlief parallel. Gemeinsam mit den Anbietern wurden die passenden Produkte am Markt ausgewählt. Im Winter 2003 entschied man sich für die Microsoft PKI und im darauf folgenden Sommer für Aladdin SmartCards.

Bei der Detailplanung galt es spezifische individuelle Anforderungen zu definieren: Berechtigungen und Rollen (Registration Officer, Certificate Manager, CA Manager, Auditor) galt es optimal zu integrieren und die jeweiligen Produkte optimal an die Infrastruktur anzupassen. Der Schulungsaufwand für Administratoren und Nutzer sollte sich dabei in Grenzen halten. Mit zum Planungsszenario gehörten ferner das Root Key Backup/Recovery sowie Hinterlegung, Directory, Definition der Verfügbarkeit sowie CA Backup/Recovery. Serverseitig ist heute ein Microsoft Windows Server 2003 als Root-PKI-Server mit Certificate Service sowie Active Directory im Einsatz. Dieser befindet sich in einer Hochsicherheitszone im Rechenzentrum und ist nur in Ausnahmefällen zugänglich.

Umfangreiche Planung und Prozess-Definition

"80 Prozent des Implementierungsaufwandes bestanden in Planung und Definition der PKI relevanten Prozesse und in der Abstimmung dieser Prozesse mit den für die physikalische Sicherheit Verantwortlichen", sagt Michael Mrak. In die Planung der Ablauforganisation zum Handling der Hybridkarten waren gleich mehrere Fachabteilungen involviert. Auch ein sogenanntes "Exceptionhandling" wurde definiert, um auf jeden erdenklichen Sicherheitsvorfall vorbereitet zu sein.

Bei der Implementierung betraf nur 20 Prozent des Aufwandes die Technik. HP hat das Projekt im wesentlichen durch sein Know-how bei der Planung und beim Aufbau bzw. der Inbetriebnahme der Public Key Infrastruktur sowie durch spezifisches Customizing unterstützt. Spezielle Scripts ermöglichen es beispielsweise den Mitarbeitern des Sicherheitsleitstandes SmartCard User zu sperren bzw. zu entsperren - ohne Zutun der IT-Administratoren 24 Stunden rund um die Uhr.

Die Verantwortlichen mussten sich auch mit einer technischen Limitierung auseinandersetzen. "Im Gegensatz zu den Casinos besteht bei WINWIN auf Grund der personellen Situation keine Möglichkeit der organisatorischen Implementierung eines "4-Augen-Prinzips", sagt Michael Mrak. Im Gegensatz zu den Casinos bestand auch nicht die Möglichkeit eines "Zwei Säulen-Prinzips", bei der eine Funktion, d.h. Personengruppe die jeweils andere überwacht. "Aus diesem Grund haben wir uns für die Kombination von PKI und Smartcard-Lösung entschieden, vor allem um die Nachvollziehbarkeit von Transaktionen an den Kassen zu optimieren", so Mrak.

Da die SmartCards gleichzeitig für das Zutrittskontrollsystem genutzt werden, ist es nahezu ausgeschlossen, dass ein Mitarbeiter mit der Karte eines Kollegen arbeitet, zumal jede Karte mit einem individuellen PIN-Code geschützt ist. "Wir wollen einfach mit Sicherheit wissen, wer welche Transaktionen an den Kassen durchführt", definiert Mrak das enge Sicherheitskorsett.

Integrierte PKI-Infrastruktur

Der Hauptvorteil der Public Key Infrastruktur liegt vor allem in der Tatsache, dass die MS-PKI "out of the box" vollständig in das bereits vorhandene Active Directory integriert wurde. Auch die wirtschaftliche Abwägung stimmte: "Die Software war einfach in unsere Infrastruktur zu integrieren, auch ohne weitere Mannmonate externen Consultings zuzukaufen", sagt Mrak. Für den Anbieter Aladdin sprach, dass das Unternehmen auch bei relativ geringen Stückzahlen von 100 Tokens bereit war, mit den Lotterien zu kooperieren.

Heute ersetzen die SmartCards die Anmeldung an den Kassen bei WINWIN. Darüber hinaus dienen sie auch als Schlüssel in den WINWIN Outlets. "Die durch HP entwickelte Anwendung erlaubt es den Mitarbeitern unseres Sicherheitsleitstandes ohne Unterstützung durch die IT im Bedarfsfall Benutzeraccounts zu sperren", beschreibt Mrak einen weiteren Vorteil. Konkret funktioniert das so: In jedem Outlet gibt es zwei Ersatzkarten. Diese liegen in einem Tresor. Wenn ein Mitarbeiter beispielsweise seine Karte vergessen hat, wird sein Benutzeraccount gesperrt und er bekommt eine Ersatzkarte. Der zur Ersatzkarte zugehörige Account wird dann vom Sicherheitsleitstand aktiviert und die Karte wird auch als Schlüssel für das Gebäude freigeschaltet.

Wie arbeitet das Video-Lotterien-Terminal "WINWIN"?

Video Lotterien Terminals ähneln optisch den klassischen Spielautomaten, unterscheiden sich von diesen aber ganz wesentlich in der Spielmechanik. Bei den Video Lotterien Terminals wird die Entscheidung über Gewinn und Verlust vom Zufallsgenerator eines zentralen Rechners - basierend auf vorgegebenen Gewinnpyramiden - getroffen. Der zentrale Rechner bei den Österreichischen Lotterien übermittelt dann die Ergebnisse per Telekommunikation über Game Controller (Server) an die jeweiligen Terminals. Der klassische Spielautomat entscheidet hingegen eigenständig per Zufallsgenerator über Gewinn und Verlust.

Der Kunde kann bereits mit einem Einsatz von 1 Cent am Spiel teilnehmen. Der maximale Spieleinsatz beträgt 9 Euro, der maximale Gewinn 25.000,- Euro. Einsätze werden über Tickets oder mit Banknoten, jedoch ohne Münzen, getätigt. Im Gewinnfall druckt der Terminal ein Ticket aus, das an der Kasse entweder bar, als Scheck oder in Form einer Banküberweisung ausbezahlt wird.

www.lotterien.at
www.winwin.at