Sicherheitslücke bei Merkur Casinos: Datenschutz-GAU trotz strenger Regulierung

Umfassender Datenleck bei Merkur-Gruppe
Die Merkur AG (ehemals Teil der Gauselmann Gruppe) und deren Dienstleister haben durch gravierende Sicherheitslücken in ihren Casinosystemen sensible Kundendaten ungeschützt im Internet verfügbar gemacht. Betroffen sind Nutzer mehrerer Online-Casinos wie merkurbets.de, crazybuzzer.de und slotmagie.de.
Die Plattformen nutzen allesamt die Casinosoftware der maltesischen Firma „the mill adventures“ – und über eine GraphQL-Schnittstelle hatten Hacker ungehinderten Zugriff auf diese Daten deutscher Spieler:
- Vollständige Namen der Spieler
- Spieler-IDs (die auch von der Glücksspielbehörde GGL verwendet werden)
- Detaillierte Zahlungsdaten von über 400.000 Nutzern verschiedener Zahlungsdienstleister
- Komplette Spielsessions mit allen Spielzügen
- IP-Adressen und Browser-Details
- Über 70.000 Ausweisfotos, Selfies und Adressnachweise aus dem KYC-Prozess
Besonders brisant: Für den Zugriff auf diese Daten war nicht einmal ein Login erforderlich. Die Informationen konnten über einfache Abfragen wie „users“, „sessions“ und „paymentOptionsV2“ abgerufen werden.
Ein- und Auszahlungen theoretisch manipulierbar
Noch alarmierender ist, dass auch eine Ein- und Auszahlungswebseite im System von „the mill adventures“ öffentlich zugänglich war. Theoretisch hätte jede beliebige Person in jedes Nutzerprofil Ein- und Auszahlungen tätigen können, wobei Auszahlungen immerhin durch einen manuellen Freigabeprozess zusätzlich abgesichert waren.
Auch illegale Casinos betroffen
Die Sicherheitslücken betrafen nicht nur die legalen, in Deutschland lizenzierten Angebote der Merkur AG, sondern auch illegale Instanzen der „the mill adventures“-Software. Die abgeflossenen Daten ermöglichen es nun sogar, unregulierte Casinoangebote konkreten Betreibern zuzuordnen. Nach ersten Erkenntnissen werden einige der international lizenzierten Casinos sogar offenbar von deutschen Staatsbürgern betrieben.





Behörden reagieren mit Abmahnung
Die Sicherheitslücken wurden durch einen IT-Sicherheitsexperten entdeckt und an die Gemeinsame Glücksspielbehörde der Länder (GGL) gemeldet. Hier hat man daraufhin die betroffenen Anbieter öffentlich abgemahnt, weil sie entgegen den Vorschriften des Glücksspielstaatsvertrages ihre Systeme nicht jährlich durch einen Penetrationstest (Pentest) überprüfen ließen. Es wirft allerdings zusätzlich die Frage auf: Wieso wurden diese Vorschriften von der GGL nicht kontrolliert?
Die Merkur AG hat inzwischen ihre Nutzer per E-Mail über den Datenabfluss informiert und die betroffenen Casinos in einen Wartungsmodus versetzt. Ob die Daten bereits vor der Entdeckung durch den Sicherheitsexperten von anderen Parteien abgegriffen wurden, ist unklar.
Das solltest du auch lesen:
-
Urlaubs-Slots – Die besten Spielautomaten mit Urlaubs-Thema
Lesezeit: ~ 3 Minuten
-
Retro Slots – Die besten Spielautomaten im Retro Look im Überblick
Lesezeit: ~ 3 Minuten
-
Slots mit mittlerer Volatilität
Lesezeit: ~ 3 Minuten
-
N1 Interactive Ltd. Casinos
Lesezeit: ~ 3 Minuten
-
Slots mit hoher Volatilität
Lesezeit: ~ 3 Minuten
Forschung profitiert von Datenschatz
Die Sicherheitsexpertin, die die Lücken entdeckte, hat nach eigenen Angaben nun einen über 200 GB großen Datensatz aus Online Casinos zur Verfügung, der für Forschungszwecke genutzt werden soll. Erste Auswertungen deuten darauf hin, dass Glücksspielanbieter zwischen 70% und 90% ihres Umsatzes mit weniger als 10% der Spieler erwirtschaften – nämlich den Spielern, die regelmäßig 250€ und mehr pro Monat für Glücksspiel ausgeben.
Regulierung auf dem Prüfstand
Dieser Fall zeigt deutlich, dass selbst strenge Glücksspielregulierungen und Aufsichtsbehörden keinen ausreichenden Schutz vor Datenschutzverletzungen bieten. Obwohl der deutsche Glücksspielstaatsvertrag von 2021 umfassende Sicherheits- und Datenschutzanforderungen an lizenzierte Anbieter stellt, konnten diese massiven Sicherheitslücken über längere Zeit unentdeckt bleiben – und die DE Lizenz hatte damit einen schwächeren Datenschutz als andere, erfahrene internationale Betreiber mit Casinos ohne Lizenz aus Deutschland, die beispielsweise Crypto Casinos oder andere Online Spielhallen betreiben.
Experten fordern eine Überprüfung der Kontrollmechanismen und strengere Sanktionen bei Verstößen gegen Datenschutz- und Sicherheitsvorschriften im regulierten Glücksspielmarkt. Die GGL muss liefern und ihre Überwachungspraktiken verbessern. Noch dazu wird es nötig sein, transparenter mit den vorliegenden Daten umzugehen, um den Spielerschutz zu stärken.
Für die betroffenen Spieler bedeutet der Vorfall nicht nur ein potenzielles Risiko für Identitätsdiebstahl und finanzielle Schäden, sondern auch eine Verletzung ihrer Privatsphäre in einem besonders sensiblen Bereich.