Cyberattacke auf Online Casino: Hackerangriff Merkur Bets – ohne Schaden für Kunden. Möglicherweise zumindest! (Bild © merkurbets.de)
Die Marke Merkur Bets ist Opfer von Hacktivisten geworden. Mutmaßlich haben Hacker beim deutschen Glücksspielanbieter Sicherheitslücken aufgetan, aber keine Daten geklaut und an Dritte verkauft, das meldet der Betreiber. Was ist eigentlich passiert und wie kam es überhaupt zu dem Vorfall? Es handelt sich um eine aktuelle Datenschutzverletzung auf der Plattform merkurbets.de. Dabei wurden die IT-Systeme von Hackern infiltriert. Sie verschafften sich widerrechtlich Zugang zu Kundendaten. Da es sich bei den Aktivisten um hochprofessionelle IT-Experten jedoch nicht um Cyberkriminelle aus der Szene handelte, informierte wahrscheinlich eine Person aus der Gruppe die Gemeinsame Glücksspielbehörde der Länder (GGL) in Halle/Saale über die Schwachstelle und diese machte Cashpoint als Betreiber des lizenzierten Online Casinos Deutschland sowie Wettanbieter auf die Sicherheitslücke aufmerksam.
Aktivisten greifen Sportwetten und Online Casino-Seiten von Merkur Bets an
Die Hackergruppe legte zu keiner Zeit die Webseite lahm, es wurden lediglich Angriffspunkte aufgedeckt, welche ein Einfallstor darstellten, um an sensible Personendaten der Mitglieder zu kommen. Das Unternehmen weist in einer Stellungnahme darauf hin, dass zu keiner Zeit Daten von Kunden nachteilig verwertet wurden. Kenntnis erlangte der Glücksspiel- und Wettanbieter nach Mitteilung der zuständigen Aufsichtsbehörde, der Glücksspielbehörde GGL, am 28.02.2025.
Einer der Drahtzieher des Hackerangriffs hatte das Vorgehen und den erworbenen Zugang der Behörde angezeigt. Noch am selben Tag habe man die ausgemachten Sicherheitslöcher durch spezialisierte Fachkräfte schließen lassen. Die Cyberattacke auf Online Casino und Wettangebote selbst ereignete sich innerhalb des Monats Februar und in den ersten Märztagen des Jahres 2025. Ein erneuter Hinweis auf ein erfolgreiches Hacking der Internetadrresse merkurbets.de erreichte die GGL am 12.3.2025.
Wie hat das Unternehmen auf den Vorfall reagiert?
Nach Bekanntwerden des Vorfalls nahm der Glücksspielanbieter eine eingehende Sicherheitsüberprüfung vor und beseitigte die Sicherheitsmängel. Entsprechend den gesetzlichen Vorgaben wurden die zuständigen Datenschutzbehörden in Kenntnis gesetzt. Darunter die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) sowie auch die Glücksspielaufsichtsbehörde. Aufgrund des Firmensitzes von Cashpoint (gehört zur Merkur Group) auf Malta wurde auch die maltesische Datenschutzbehörde (IDPC) informiert.
Man sei seitdem in ständigem Dialog mit den verantwortlichen Stellen und würde an weiteren Schutzvorkehrungen arbeiten. Durch die umgehende Beseitigung sämtlicher aufgedeckter Sicherheitslücken gemeinsam mit IT-Sicherheitsexperten gelang es, die Schwachpunkte in den Systemen systematisch aufzuarbeiten und zu beheben. Im weiteren Verlauf erfolgten Optimierungen der Systeme und Prozesse. Seitens des IT-Teams werden die Sicherheitsmaßnahmen laufend überwacht und unternehmensinterne Verfahrensweisen auf den neuesten Stand gebracht.
(Bild © merkurbets.de)
Der GGL lizenzierte Anbieter Merkur Bets informiert auf seiner Webseite zu einem sicherheitsrelevanten IT-Vorfall!
(Bild © merkurbets.de)
Vorsicht bei Identitätsdiebstahl: Die hinterlegten personenbezogenen Daten „könnten für betrügerische Zwecke, zum Beispiel Vertragsabschlüsse, genutzt werden.“ Darüber informiert der Glücksspielanbieter seine Kunden!
Regelmäßige Schulungen der Mitarbeiterinnen und Mitarbeiter sollen dazu beitragen, künftig derartige Schwachstellen im System zu vermeiden. Leider hat sich das vorherige Prinzip regelmäßiger Sicherheitsaudits mit Experten als nicht ausreichend erwiesen, um eine Cyberattacke auf Online Casino und Sportwetten ausschließen zu können. Zukünftig sollen häufiger Audits mit zusätzlichen Sicherheitsexperten erfolgen, um mögliche Lücken schnell zu entdecken, abzustellen und deren Wiederholung in Zukunft zu vermeiden.
Im Januar 2023 berichtet Spinsfacotry über einen ähnlichen Vorfall der damaligen Novmatic Tochter Admiral (heute Tipico). Damals musste das Online-Angebot längere Zeit offline gehen, um die Sicherheitslücken zu schließen.
Glimpflicher Ausgang für Cyberattacke auf Online Casino
Nach derzeitigem Kenntnisstand war die Attacke in erster Linie ein Angriff auf das Unternehmen und richtete sich nicht spezifisch auf Kunden. Dafür, dass die erbeuteten Datensätze zu betrügerischen Aktivitäten genutzt wurden oder noch werden, gibt es keine Anhaltspunkte. Die Benachrichtigung ging überdies von der Gemeinsamen Glücksspielbehörde der Länder (GGL) und nicht von den Angreifern selbst aus. Allerdings verfolgt Cashpoint das Ganze mit großer Sorgfalt und ist sowohl mit den internen Spezialisten für IT-Sicherheit als auch mit den Aufsichtsbehörden in engem Kontakt.
Diese persönlichen Kundendaten konnten Hacker einsehen:
- Den kompletten Namen sowie die hinterlegte Meldeadresse.
- Zahlungsdaten (zum Beispiel IBAN, Kreditkarten, PayPal Adresse) sowie Zahlungshistorie.
- Daten aus dem hinterlegten Ausweisdokument.
- Die zur Online Casino Verifizierung gespeicherten Daten aus der Video-Verifizierung oder eines anderen Verfahrens.
- Spezifische Spielerdaten zum Verhalten, Suchtrisikobewertung und andere Details.
Merkur Bets informiert unter anderem im Statement zu dem Vorfall: „Ihre Passwörter wurden nicht entwendet und sind weiterhin sicher, sodass keine Änderung Ihrer Passwörter erforderlich ist. Sollten Sie dennoch ein höheres Sicherheitsgefühl wünschen, empfehlen wir Ihnen, Ihre Passwörter in regelmäßigen Abständen zu aktualisieren.“
Hinterlasse einen Kommentar