Merkur-Datenleck: Ein Fall für mehr Datenschutzbewusstsein

Avi Fichtner, Redakteur
spielbank.com.de Legal
Ein illustrierter Hut, der auf der einen Seite schwarz und auf der anderen Seite weiß gefärbt ist und die zwei Seiten des ethischen und unethischen Hackings darstellen soll.

IT-Sicherheitsforscherin Lilith Wittmann deckt Sicherheitslücken bei Merkur auf und zeigt, wie fragil Cybersicherheit ist und jeden Sektor betreffen kann.

Sensible Daten von Millionen Spielern der Online Casinos Slotmagie und Merkur Bets sind durch ein Datenleck öffentlich zugänglich geworden. Die Softwareentwicklerin Lilith Wittmann, deren Rolle im Zusammenhang mit diesem Vorfall noch nicht abschließend geklärt ist, steht im Mittelpunkt der Ermittlungen. Der Fall zeigt, wie wichtig ein verantwortungsvoller Umgang mit persönlichen Daten ist – denn Datenpannen können überall passieren.

Um welche Daten geht es?

Der Vorfall zeigt, wie leicht der Zugriff auf persönliche Daten sein kann und kein Sektor sicher vor solchen Angriffen ist. Ein genauer Blick auf die entwendeten Informationen zeigt klar die Schwachstellen im System. Denn nicht nur Namen und Adressen, sondern auch IBANs, Kreditkartendetails, Ausweiskopien, Transaktions- und Spielhistorien waren einsehbar.

Lilith Wittmann meldete diese Sicherheitslücken direkt an die GGL (Gemeinsame Glücksspielbehörde der Länder), da sie aufgrund ihres Zugriffs auf LUGAS-Referenzen umfassende Spielerdaten einsehen konnte und eine unverzügliche Reaktion der Aufsichtsbehörde für wichtiger hielt als ein Responsible Disclosure direkt an Merkur. 

Was bedeutet Responsible Disclosure?

Responsible Disclosure bezeichnet den Prozess, bei dem Sicherheitsforscher oder ethische Hacker Schwachstellen in Software, Hardware oder Systemen entdecken und diese vertraulich an die betroffene Organisation melden. Ziel ist es, die Schwachstellen zu beheben, bevor sie von böswilligen Dritten ausgenutzt werden können. Nach der Behebung wird die Lücke öffentlich gemacht, oft mit Anerkennung des Forschers.

Merkur selbst hält sich bislang jedoch bedeckt, verschickte allerdings unmittelbar nach Bekanntwerden des Vorfalls eine E-Mail an seine Nutzer. In dieser E-Mail wird das Geschehene zwar bestätigt, jedoch werden konkrete Angaben zu Umfang und Art der kompromittierten Daten vermieden.

Stattdessen wird die Zusammenarbeit mit den Behörden betont und auf die angeblich geringe Gefahr für die Nutzer hingewiesen. Bleibt die Frage: Wer war letztendlich der oder die Urheberin des Datenlecks?

Die technischen Hintergründe: Wie kam es zum Datenverlust?

Die Softwareentwicklerin und Sicherheitsaktivistin Lilith Wittmann hat öffentlich Sicherheitslücken im System aufgezeigt. Ob sie diese selbst für den Zugriff auf die Daten genutzt hat, oder ob weitere Personen beteiligt waren, ist Gegenstand laufender Ermittlungen. Wittmann selbst hat sich via X zum Ereignis geäußert:

In ihrem Post bekennt sich Wittmann selbst zu dem Angriff und bezeichnet sich als “Hackerin”. Die Ermittlungsbehörden müssen nun klären, ob Wittmanns Handeln einen kriminellen Hintergrund hat oder ob es sich um eine Form des Whistleblowing handelt, um auf systemische Sicherheitslücken im Unternehmen aufmerksam zu machen. Die Merkur-Gruppe ihrerseits hat zwar die Sicherheitslücken bestätigt, den Angriff jedoch als professionell, aber nicht kriminell bezeichnet.

Sicherheitsaspekte bei GGL-lizenzierten Online Casinos: Eigenverantwortung im Fokus

Eine GGL-Lizenz, wie sie auch Merkur besitzt, garantiert zwar ein gewisses Maß an Sicherheit für legale Online Casinos, doch sie ersetzt nicht umfassende Sicherheitsmaßnahmen und individuelle Vorsicht. Die Aufsichtsbehörde kontrolliert zwar die Einhaltung von Standards wie Einzahllimits, Anmeldeverhalten der Spieler und den Umgang mit Spielerdaten gemäß den Allgemeinen Datenschutzbestimmungen.

Sie führt auch regelmäßige Audits durch, um die Einhaltung der Vorschriften zu überprüfen, und kann bei Verstößen Sanktionen verhängen, kann aber nicht jeden Einzelfall und jedes Hacker-Verfahren verhindern. Der Schutz persönlicher Daten bleibt daher die Arbeit beider Parteien zwischen Anbietern und Nutzern. Um das Risiko eines Datenverlusts zu senken, sind folgende Maßnahmen ratsam:

  • Komplexe Passwörter: Starke, eindeutige Passwörter, bestehend aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, sind für jedes Online-Konto unerlässlich.
  • Zwei-Faktor-Authentifizierung: Die Aktivierung einer zusätzlichen Sicherheitsstufe, sofern verfügbar, erschwert unbefugten Zugriff erheblich.
  • Regelmäßige Kontoüberprüfung: Eine regelmäßige Kontrolle der Kontoauszüge auf ungewöhnliche Aktivitäten ist ratsam. Verdächtige Transaktionen sollten umgehend gemeldet werden.
  • Phishing-Schutz: Verdächtige E-Mails und SMS bedürfen besonderer Vorsicht. Links in unbekannten Nachrichten sollten nicht angeklickt werden, und Zugangsdaten dürfen niemals an unbekannte Dritte weitergegeben werden.
  • Sichere Netzwerkverbindungen: Glücksspiele über öffentliche WLAN-Netzwerke sollten vermieden werden. Eine sichere, private Internetverbindung ist zu bevorzugen.
  • Datenschutzrichtlinien: Die Datenschutzbestimmungen der Online Casinos sollten sorgfältig gelesen und verstanden werden.

Auch mit GGL-Lizenz besteht ein Restrisiko. Die genannten Maßnahmen erhöhen jedoch die Sicherheit deutlich und halten die Anfälligkeit für Datendiebstahl klein.

Doppelt hält besser

Ehrlicherweise ist der Fall Merkur mehr als ein kleiner technischer Fehler; er legt Sicherheitslücken offen, die hätten vermieden werden können. Die GGL wird die Sicherheitsstandards der Branche nun stärker überprüfen und verschärfen, dennoch könnten Sammelklagen zu erwarten sein.

All dies zeigt aber auch, dass Datenschutz nicht nur im Online Glücksspiel ein Thema ist, sondern jeden betreffen kann, der persönliche Daten online teilt, etwa in Online Shops oder über soziale Netzwerke. Jeder Nutzer sollte also selbst kritisch prüfen, welche Informationen er preisgibt und wie gut diese geschützt sind. Ausweisdokumente sind besonders sensibel, doch das ist bei Weitem noch nicht alles.

Vor allem wenn es um Online Casino Zahlungen geht, sollte lieber doppelt hingeschaut und geprüft werden. Fest steht, dass Zahlungen mit E-Wallets wie PayPal als äußerst sicher gelten, weil sie als Vermittler zwischen Hausbank und beispielsweise Online Casino fungieren und persönliche Bankdaten nicht weitergeben.

Und Lilith Wittmann? Ethische Hacker können eine wichtige Rolle spielen, um bösartige Angriffe erst gar nicht passieren zu lassen. Sie nutzen ihre Fähigkeiten, um Sicherheitslücken aufzudecken und Organisationen zu helfen, ihre Systeme zu schützen.

Dabei folgen sie strengen ethischen Prinzipien und arbeiten proaktiv daran, Cyberangriffe zu verhindern. Wittmanns Vorgehen macht aber auch deutlich, dass ein klarer rechtlicher Rahmen für ethisches Hacking notwendig ist, um den Schutz sensibler Daten zu gewährleisten und gleichzeitig die Arbeit von Sicherheitsexperten nicht zu kriminalisieren.

Avi Fichtner - Gründer und Redakteur von spielbank.com.de
Avi Fichtner Gründer und Redakteur von spielbank.com.deAktualisiert: 11.04.2025

Avi Fichtner hat sein Hobby zum Beruf gemacht. Aus dem Interesse an Casino Spielen und Poker entstand ein Startup, das heute ein erfolgreiches Unternehmen im Glücksspiel-Bereich ist. Avi und sein Team testen professionell Online Casino Anbieter und teilen ihre persönlichen Erfahrungen. Avi lebt mit seiner Frau und drei Kindern in Berlin und ist passionierter Taucher und Ausdauersportler.

Top oder überbewertet? Deine Meinung zählt.

Diskutiere mit uns und der Community.