Merkur Casinos und Sportwetten konnten öffentliche Abmahnungen durch Pflichterfüllung schnell abwenden! (Bild © gluecksspiel-behoerde.de)
Lässt die Verletzung der Spielerdaten durch Merkur weitere Fragen zur Sicherheit aufkommen? Defenitiv! Die Gemeinsame Glücksspielbehörde der Länder hat eine ellenlange Mängeliste unter ihren öffentlichen Abmahnungen zugänglich gemacht auf der sich Verstäße gegen die Nebenbestimmung zur Sportwetten und Online Casino Lizenz in Deutschland aneinanderreihen. Darunter auch das Unternehmen The Mill Adventure Limited, welches 2024 das Glücksspielangebot von SlotMagie Casino an Solis Ortus Service von der Merkur Group übergeben hatte. Die
Eintrag auf GGL-Liste für öffentliche Abmahnungen
Ein Datenschutzverstoß bei den Merkur Online Casinos Deutschland hat neue Diskussionen über die Gefahren von Cyberangriffen im Glücksspielsektor ausgelöst. Die deutsche Aufsichtsbehörde sowie die davon berührten Anbieter gaben an, dass der Zwischenfall aufgeklärt wurde, aber die Beteiligten glauben, jedoch wurde vor möglichen weiteren Sicherheitsrisiken gewarnt, denn keiner kann garantieren, ob nicht doch jemand möglicherweise Spielerdaten weitergegeben hat.
Spinsfactory berichtete am 15. März 2025 in einem Beitrag zum Datenschutz-Problem bei Merkur Bets und parallel dazu veröffentliche die deutsche Softwareentwicklerin, IT-Sicherheitsexpertin und Aktivistin, Lilith Wittmann, einen Betrag zu dem von ihr aufgedeckten Problem. Diese gewährte einen tiefen Einblick in das Einfallstor des Casinounternehmens. Wie Lilith Wittmann in ihrem Blog auf Medium schreibt, gelang es ihr, über eine GraphQL-Abfrage auf hochsensible Spielerdaten zuzugreifen, darunter Informationen über Bankverbindungen und Registrierungsdaten. Dabei handelte es sich um persönliche Daten von Kunden der Merkur Casinos und Wettangebote CrazyBuzzer, Merkur Bets und SlotMagie.
Schnittstelle GraphQL machte öffentlichen Zugang möglich
Wie die deutsche Nachrichtenseite Heise am 15. März berichtete, präsentierte die deutsche IT-Expertin der Glücksspielbehörde GGL einen Bericht, der den Verstoß detailliert beschreibt, wodurch sie Zugang zu den Daten von über 800 000 Personen erhalten habe. Wobei der Softwareentwickler The Mill Adventure den Vorfall als ein noch nie da gewesenes Ereignis für die Systeme beschreibt und sofort Maßnahmen ergriffen hat, um das Problem zu lösen. Man auch in jeder Hinsicht mit den zuständigen Behörden zusammengearbeitet. Zuletzt stellte das IT-Unternehmen im August 2024 ein speziell auf seine Glücksspielpartner in Deutschland ausgerichtetes Sicherheitspaket vor.
Ungeachtet der Maßnahmen mit Cybersecurity-Experten die Löcher zu stopfen, folgte eine öffentliche Abmahnung durch die Glücksspielaufsicht für jede betroffene Domain. Entsprechend stehen die Unternehmen The Mill Adventure, Cashpoint Malta und Solis Ortus Service auf einer öffentlich verfügbaren Übersicht für öffentliche Abmahnungen gegenüber Erlaubnisinhabern.
Dort heißt es, die Anbieter seien ihrer Verpflichtung zur Durchführung eines jährlichen Pentest (Penetrationstest) nicht nachgekommen, mit dessen Hilfe potenzielle Schwachstellen in einem System aufgedeckt werden können. Dadurch kam es zu einer Sicherheitslücke bei den Spielerdaten. Zu den verletzten Daten gehörten Spieler-IDs, Nicknames, Geschlecht, Zeitpunkt der LUGAS-Registrierung, Zeitpunkt des letzten Logins, Zahlungsstatistiken, Limit-Historien und auch Zahlungsprofile.
(Bild © gluecksspiel-behoerde.de)
Den Fristen zur Fehlerbehebung bis Juni 2025 ist man bei Merkur schnell nachgekommen. Bereits am 17. März wurde die Pflicht von The Mill Adventure und Solis Ortus Service erfüllt.
(Bild © gluecksspiel-behoerde.de)
Den Fristen zur Fehlerbehebung bis Juni 2025 ist man bei Merkur schnell nachgekommen. Bereits am 17. März wurde die Pflicht von Cashpoint Malta und Solis Ortus Service erfüllt.
Wie geht es weiter?
Laut einem Rechtsexperten, der sich gegenüber dem Branchenmagazin IGB geäußert hat, hat die Glücksspielbehörde GGL eine ganze Reihe von Möglichkeiten, um diese Verstöße zu ahnden. Die Behörde wird in ihrer Untersuchung das Ausmaß des Informationsverlustes, die Ursachen dafür und die Durchführung der erforderlichen Sicherheitstests durch die beteiligten Anbieter zunächst prüfen.
Daraufhin könnte die GGL entscheiden, die Erlaubnisse der beteiligten Anbieter auszusetzen und damit das operative Geschäft mit sofortiger Wirkung zu unterbinden. Auch eine verkürzte Erlaubnisdauer ist möglich, wobei die meist auf 5 Jahre ausgelegten erstmaligen Lizenzen für Online Casinos Deutschland ohne bald zu erneuern sind. Dann wahrscheinlich schon mit angepassten Regeln, die im Zuge der Evaluierung des Staatsvertrags kommen könnten.
Hinterlasse einen Kommentar