Einleitung
Das OASIS-Spielersperrsystem (Online-Abfrage Spielerstatus) ist ein zentrales Instrument zur Bekämpfung von Spielsucht und wird laut Glücksspielstaatsvertrag von allen lizenzierten Sportwetten- und Automatenspiel-Anbietern in Deutschland genutzt. Doch Schwächen in der Umsetzung bei einigen Anbietern eröffnen gefährliche Möglichkeiten für Missbrauch – mit weitreichenden Konsequenzen für Spieler, den fairen Wettbewerb und die Glaubwürdigkeit des Systems.
Problem: Missbrauch durch unzureichende Identitätsverifizierung
Gemäß der OASIS-Dokumentation ist die Grundlage für die Anlage einer Sperre eindeutig geregelt:
„Grundlage für die Anlage einer Sperre bildet der Identitätsnachweis des Spielers beim Veranstalter. Die in den amtlichen Dokumenten nicht enthaltenen Angaben sollen aus anderen Identitätsnachweisen des Spielers ergänzt werden.”
Dennoch zeigen Untersuchungen, dass einige Anbieter dieses Prinzip nicht korrekt umsetzen. In der Praxis erlauben sie, dass unverifizierte Nutzer über den „Panik-Button” eine 24-Stunden-Sperre auslösen können, ohne eine Identitätsprüfung vorzunehmen. Bereits die Eingabe von Vor- und Nachnamen sowie Geburtsdatum reicht aus, um eine Sperre auszulösen – unabhängig davon, ob die Person tatsächlich verifiziert ist. Noch schlimmer: Einige Anbieter ermöglichen durch das Ausnutzen dieser Sicherheitslücke auch Langzeitsperren im Namen Dritter vorzunehmen. Dokumentierte Beispiele sind dem Anhang zu entnehmen.
Beispiel: Kontrolliertes Testszenario
In einem kontrollierten Test haben wir diese Schwachstelle überprüft – selbstverständlich nur mit ausdrücklicher Zustimmung und der aktiven Beteiligung der betroffenen Person, die während des gesamten Prozesses anwesend war. Der Test zeigte, dass allein durch die Eingabe der genannten Daten eine Sperre ausgelöst werden kann, ohne dass eine Verifizierung oder weitere Prüfung erfolgt.
Gefahr durch gezielte Manipulation
Die fehlende Verifizierung birgt nicht nur Risiken für die betroffenen Personen, sondern ermöglicht auch gezielte Manipulationen des Systems und des Marktes:
- Gezielte Sperren gegen Spieler: Einzelpersonen könnten Dritte ohne deren Wissen sperren lassen, wodurch diese vom Glücksspiel ausgeschlossen werden.
- Wettbewerbsverzerrung: Anbieter könnten Spieler ihrer Mitbewerber gezielt sperren lassen, um deren Geschäft zu beeinträchtigen und den Markt zu manipulieren.
Theoretisches Beispiel: Sperre von prominenten Persönlichkeiten
Mit der beschriebenen Sicherheitslücke könnte es sogar möglich sein, beliebige Personen – etwa prominente Persönlichkeiten wie den Bundeskanzler Olaf Scholz – im OASIS-System sperren zu lassen. Dies würde selbstverständlich erhebliche Konsequenzen nach sich ziehen. Zwar haben wir dies nicht getestet, doch das Beispiel verdeutlicht die Tragweite der Schwachstelle.
Empfehlungen
Es ist unerlässlich, dass Anbieter ihre Integration des OASIS-Systems an die Anforderungen des Glücksspielstaatsvertrags sowie der OASIS-Dokumentation anpassen. Konkret empfehlen wir:
- Verpflichtende Identitätsprüfung: Sperrmaßnahmen sollten nur nach einer vollständigen Identitätsprüfung der betroffenen Person möglich sein.
- Klare Prüfmechanismen: Mechanismen zur Verhinderung unautorisierter Sperren müssen implementiert werden.
- Verstärkte Kontrolle: Die Gemeinsame Glücksspielbehörde der Länder (GGL) sollte die korrekte Implementierung Ihrer festgelegten Mechanismen zuverlässiger kontrollieren.
Fazit
Das OASIS-System ist ein unverzichtbares Instrument des Spielerschutzes. Doch Schwächen in der Implementierung bei einigen Anbietern machen das System anfällig für Missbrauch – zum Nachteil von Spielern, Marktteilnehmern und der Integrität des Glücksspielsektors. Die Anbieter und die zuständigen Behörden müssen dringend handeln, um diese Schwachstellen zu schließen und das Vertrauen in das OASIS-System zu stärken.
Die beschriebene Schwachstelle stellt nicht nur eine Gefahr für Spieler und die Glaubwürdigkeit des Glücksspielsystems dar, sondern bietet auch der illegalen Konkurrenz ein gefährliches Werkzeug. Unseriöse Anbieter könnten diese Lücke nutzen, um lizenzierte Anbieter gezielt zu schwächen und betroffene Kunden in den Schwarzmarkt abzuziehen. Dies gefährdet nicht nur die Spielerschutzmaßnahmen, sondern stärkt unkontrollierte Märkte, die weder Sicherheit noch Transparenz bieten. Es liegt in unser aller Interesse, den regulierten Markt zu schützen und den Spielerschutz zu gewährleisten – fordern wir daher gemeinsam von den Verantwortlichen, die Integrität des OASIS-Systems zu sichern.