Neuigkeiten zu allen Themen

Am Nachmittag des 15. März 2025 sind die Webseiten der Online-Glücksspielanbieter Slotmagie, Crazybuzzer und Merkurbets in einen Wartungsmodus versetzt worden. Sie gehören der Merkur.com AG, einem der größten deutschen Unternehmen für Glücksspiele aller Art. Die Spielangebote gingen nach Beobachtungen von heise online am Samstagnachmittag zwischen 14 und 16 Uhr vom Netz. Die Webseiten sind noch erreichbar, Spiele sind dort jedoch zum Zeitpunkt dieser Meldung nicht mehr möglich.

Ab etwa 22 Uhr am Samstagabend boten Slotmagie und Crazy Buzzer ihre Spiele wieder an. Merkurbets zeigte seitdem eine neue Wartungsmeldung an, laut derer das Länderübergreifende Glücksspielaufsichtssystem LUGAS ausgefallen sei. Gegen 22:30 Uhr waren auch die Spiele von Merkurbets wieder erreichbar – allerdings nur, wenn man vorher die Cookies der Seite manuell löschte oder sie per Inkognito-Browser ansteuerte.

Am Vorabend hatte die Sicherheitsforscherin Lilith Wittmann in einem Blogpost auf ein bis kurz zuvor existierendes massives Datenschutzproblem hingewiesen: zahlreiche Daten von mehreren Hunderttausenden Spielern waren über APIs der Casinos abrufbar. Bereits am Donnerstag hatte der Anbieter die Spieler über eine Sicherheitslücke und einen damit einhergehenden Datenabfluss am Donnerstagabend informiert.

Zum Einsatz kommt dort eine GraphQL-Schnittstelle, die auch verschachtelte Abrufe von mehreren Objekten zugleich erlaubt. Unberechtigte Abfragen sollten eigentlich durch ein funktionierendes Berechtigungsmanagement verhindert werden, was hier aber nicht der Fall war. Wittmann fand nicht nur Daten wie vollständige Namen und Kontoinformationen, sondern auch Spielverläufe sowie Ein- und Auszahlungen der Spieler. Bei vielen kamen auch Informationen dazu, mit denen diese sich gegenüber dem Glücksspielanbieter legitimierten.

Laut den Reports, mit denen Wittmann die Glücksspielbehörde der Länder (GGL) informiert hatte, waren darin auch unter anderem Kopien von Personalausweisen und Schreiben von Arbeitsagenturen zu finden. Allein bei den Ausweisen sollen es über 70000 Exemplare gewesen sein, insgesamt fanden sich Daten von über 800000 Personen. Legitimation von Kunden, unter anderem durch Ausweise, ist für manche Onlineanbieter im Zuge von "Know-Your-Customer"-Verfahren (KYC) rechtlich vorgeschrieben.

Die Merkur-Gruppe nutzt in Ihren Casinos eine Portalsoftware der maltesischen Firma "The Mill Adventures". Diese verfügte über eine unzureichend geschützte GraphQL-Schnittstelle. Wittmann zufolge betreibt das Unternehmen neben einer legalen Instanz seiner Software auch eine weitere für einige in Deutschland nicht legale Online-Casinos. Nach Stichproben am frühen Samstagabend sind auch diese mutmaßlich illegalen Casinos vorerst nicht mehr erreichbar.

Warum offenbar alle Casinos mit The Mill-Software nun nicht mehr erreichbar sind, bleibt vorerst offen. Den Warnungen, welche die Merkur-Group auf ihren Webseiten und per E-Mail über einen sogenannten "aktuellen Datenschutzfall" informiert, kann man sich nur anschließen: wer bei einem der Casinos Kunde war oder ist, sollte verstärkt auf möglicherweise illegale Aktivitäten auf seinen Bankkonten oder Versuche des Identitätsbetrugs achten.

Wie Lilith Wittmann verlautbarte, ist der unmittelbare und anonyme Zugriff auf die Daten seit einigen Tagen nicht mehr möglich. Es ist jedoch nicht auszuschließen, daß schon vor ihren Zugriffen seit Ende Februar auch andere den Datenschatz der Casinos kopiert haben könnten.

Die Merkur.com AG teilte am Sonntag mit, daß die Ausfälle der Spielangebote durch LUGAS bedingt waren: "Auch wir waren gezwungen, unsere Systeme aus diesem Grund vorübergehend vom Netz zu nehmen. Diese Maßnahme steht in keinem Zusammenhang mit dem Cyberangriff auf unseren Dienstleister."