Einer der größten Skandale der deutschen Casino-Geschichte hat sich am Wochenende in den Online-Casinos der Merkur AG abgespielt. Viele Spieler dürften bemerkt haben, dass Casinos wie Slotmagie, Merkurbets und Crazy Buzzer plötzlich nicht mehr verfügbar waren. Was war passiert? Die Journalistin und Hackerin Lilith Wittmann hatte kurz zuvor aufgedeckt, dass nahezu alle Kundendaten aus den betroffenen Merkur-Casinos öffentlich verfügbar waren.
Sensible Zahlungsdaten, Kontoverbindungen, Ausweiskopien, Spielsessions und einiges mehr konnte Wittmann ungestört herunterladen. Insgesamt befinden sich im sichergestellten Datenschatz über 200 GB. Das ist ein Mega-Skandal, der weite Kreise ziehen dürfte.
Merkur-Casinos lassen sensible Kundendaten frei im Netz stehen
Mehrere Merkur-Casinos in Deutschland werden von maltesischen Firmen betrieben. Als Lizenznehmer fungiert die maltesische Firma „The Mill Adventures“. Wie Lilith Wittmann herausfand, konnte jedermann über die GraphQL-Schnittstelle in den Backends der betroffenen Merkur-Casinos sensible Kundendaten herunterladen.
Die folgenden Daten waren laut Wittmann verfügbar:
- Vollständiger Name des Spielers
- ID des Spielers (wichtig für GGL zur Erfassung statistischer Daten)
- Spielsessions inklusive IP-Adressen, Details zum Webbrowser und allen Spielaktivitäten
- Sensible Zahlungsdaten von folgenden Dienstleistern:
- PayPal (E-Mail-Adresse sowie teilweise postalische Anschrift)
- Trustly (Kontoinhaber, IBAN, teilweise postalische Anschrifte)
- Paysafecard (Name, Geburtsdatum, teilweise postalische Anschrift)
- Skrill (E-Mail-Adresse)
- Payment_IQ (Name, IBAN, Kreditkarten-Daten, teilweise postalische Anschrift)
- Adyen (Name, IBAN, Kreditkarten-Daten , teilweise postalische Anschrift)
Ferner konnte Wittmann auch noch Lücken bei den Dienstleistern zur Überprüfung der Kontodaten (Verifizierung) nutzen. Beim KYC-Spezialisten SumSub konnte Wittmann mehr als 70.000 Ausweisfotos, Selfies und Adressnachweise sicherstellen.
Nach Angaben von Wittmann zeigt eine erste Sichtung der KYC-Daten, dass viele Spieler in einer problematischen Lebenssituation sind. Definitiv wäre es sinnvoll, an dieser Stelle weitere Forschungen durchzuführen, um ein vollständiges Bild zu bekommen. Drängende Frage: Warum hat die GGL, die Zugriff auf die Daten hat, das nicht längst gemacht?
Illegale Online-Casinos in Deutschland betrieben?
In dem langen und detailreichen Bericht von Lilith Wittmann finden sich auch Hinweise darauf, dass direkt in Deutschland illegale Online-Casinos betrieben werden könnten, und zwar von Deutschen. Die Casino-Software von „The Mill Adventures” wird wohl auch für illegale Glücksspielangebote genutzt. Da die Sicherheitslücken auch bei den illegalen Anbietern zu finden sind, konnte Lilith Wittmann nicht nur bei den legalen Merkur-Casinos Daten sicherstellen.
Laut Wittmann deuten die sichergestellten Daten darauf hin, dass einige illegale Casinos nicht im fernen Ausland, sondern unmittelbar in Deutschland betrieben werden. Sollte sich dies beweisen lassen, wäre das ein riesiger Skandal, der kein gutes Licht auf die deutsche Glücksspielregulierung werfen würde.
GGL ist informiert – Casino-Webseiten zeitweise down
Die Gemeinsame Glücksspielbehörde der Länder hat alle sichergestellten Daten von Lilith Wittmann erhalten und öffentliche Abmahnungen für The Mill Adventure Limited und diverse weitere Glücksspielanbieter ausgestellt. Angesichts der Größe des Skandals ist das allerdings vollkommen unzureichend. Es ist schwer vorstellbar, dass derartige Verstöße gegen den Datenschutz ohne massive Konsequenzen bleiben.
Die GGL wird sich fragen lassen müssen, warum sie zahlreiche Online-Casinos lizenziert, die nicht vernünftig mit ihren Kundendaten umgehen. Warum ist die fehlende Datensicherheit nicht früher aufgefallen? Wie geht die GGL gegen die Casino-Betreiber vor? Welche Konsequenzen hat der Datenskandal für die Merkur AG? Wird die GGL sich die seltsame Verquickung von legalen und Online-Glücksspielanbietern bei „The Mill Adventures“ näher anschauen? Werden Lizenzen entzogen?
Eines ist klar: Das Vertrauen in Merkur-Casinos und die deutsche Glücksspielregulierung ist durch den Mega-Datenskandal erschüttert. In den nächsten Wochen muss sich zeigen, ob die GGL dazu in der Lage ist, den Skandal aufzuklären, die Schuldigen zu bestrafen und die Regulierung des deutschen Glücksspielmarkts wirkungsvoll zu verbessern.
