Zahlreiche Casino-Websites offline: Glücksspiel-Software bald im Fokus der GGL?

Die IT-Sicherheitsforscherin Lilith Wittmann rückt in den letzten Tagen ins Rampenlicht der iGaming-Branche. Die selbsternannte “Krawall-Influencerin” rüttelt die Szene mit einem scharfen Fingerzeig auf strukturelle Nachlässigkeiten auf.

Es geht um Daten der Spieler, um Verantwortung und um die Frage, ob die Gemeinsame Glücksspielbehörde der Länder (GGL) nun endlich dort hinschaut, wo es bislang offenbar bequemer war wegzusehen, nämlich auf die technologische Infrastruktur hinter den Glücksspielplattformen.

Wie eine Hackerin die Schwachstellen der Glücksspielbranche offenlegte

Was Wittmann vorfand, war so banal wie erschreckend, denn bei der Plattform „The Mill Adventure“, einem Anbieter technischer Infrastruktur für zahlreiche Online-Casinos, stieß sie auf eine offen stehende digitale Tür.

Es war keine aufwendige Hacking-Technik nötig und keine Spionagetools, denn es reichte schon, URLs minimal zu verändern. Dahinter verbargen sich persönliche Daten von Spielern, fein säuberlich abrufbar.

Wittmann dokumentierte alles, sicherte Beweise und informierte sowohl das betroffene Unternehmen als auch die zuständigen Behörden. Als die Reaktion ausblieb, machte sie ihre Erkenntnisse öffentlich. In der Branche hingegen dürfte das für Nervosität gesorgt haben, schließlich zeigte sie ein ganzes Systemversagen.

Welche Daten in falsche Hände geraten konnten und was das bedeutet

Was auf den ersten Blick wie ein technisches Versehen wirken mag, entpuppt sich beim genaueren Hinsehen als brandgefährliche Schlamperei. Denn es handelte sich nicht um belanglose Informationen, sondern um die volle Breitseite sensibler Nutzerdaten.

Ausweiskopien, Adressnachweise, Bankverbindungen, Kreditkartendaten sind das, was Glücksspielanbieter im Rahmen gesetzlich vorgeschriebener Identitätsprüfungen (KYC) verlangen und diese waren frei zugänglich, teilweise sogar inklusive Selfies mit Ausweis.

Diese Daten sind nicht nur privat, sie sind Gold wert, zumindest für Kriminelle. Identitätsdiebstahl, Eröffnung von Konten, Abschluss von Verträgen im fremden Namen. Der Missbrauch ist eine echte Gefahr, eine realistische Konsequenz und noch gravierender wird es durch die Tatsache, dass auch Spielverläufe, IP-Adressen und Zahlungsströme einsehbar waren. Damit lässt sich nachvollziehen, wer wann wo wie viel verspielt hat und das nicht nur bei einem Anbieter, sondern bei Dutzenden, vielleicht sogar Hunderten.

Für die Betroffenen bedeutet das ein mulmiges Gefühl, ein Vertrauensbruch und das Bewusstsein, dass ihre persönlichen Informationen in einem System gespeichert wurden, das nicht einmal die einfachsten Sicherheitsstandards erfüllte. Juristisch dürfte die Geschichte ebenfalls ein Nachspiel haben, denn Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sind hier schwer von der Hand zu weisen.

Lizenzierte Anbieter als sicherer Hafen oder trügerische Ruhe

Wer sich auf legale Anbieter wie Löwen Play Digital verlässt, kann zumindest ein Stück weit aufatmen. Als lizenzierter Anbieter unterliegt das Unternehmen strengen Regeln der GGL. Dazu gehören ein zentrales Sperrsystem, monatliche Einzahlungslimits, Spielzeitkontrollen und Datenschutzvorgaben. All das ist Pflicht und wird auch regelmäßig geprüft.

Bisher gibt es keine Hinweise darauf, dass seriöse Anbieter vergleichbare Sicherheitslücken aufweisen. Ihre technische Infrastruktur gilt als stabil, ihre Prozesse als durchdacht. Dass sie von der aktuellen Unsicherheit profitieren, liegt auf der Hand, denn immerhin sind sie es, die sich freiwillig der Kontrolle unterwerfen. Aber auch hier gilt, absolute Sicherheit gibt es nicht. Kein Anbieter, sei er noch so reguliert, ist immun gegen technische Fehler oder menschliches Versagen. Der Unterschied ist jedoch, dass bei legalen Anbietern im Ernstfall ein Sicherheitsnetz greift. Eines aus Transparenz, Nachvollziehbarkeit und echten Konsequenzen.

Illegale Anbieter verschwinden aus dem Netz – ein Effekt mit doppeltem Boden

Kaum war der Vorfall publik, verschwanden gleich reihenweise Online-Casinos aus dem Netz. Was zunächst wie ein Notfall-Update wirkte, hatte einen interessanten Nebeneffekt, denn viele dieser Anbieter gehörten gar nicht zu den legalen Marktteilnehmern. Sie verfügten weder über eine deutsche Lizenz, noch erfüllten sie die gesetzlichen Anforderungen der GGL.

Dass ausgerechnet diese Seiten nun abgeschaltet wurden, wirft Fragen auf. Offenbar hat The Mill Adventure auf die Sicherheitslücke reagiert, indem es ganze Plattformen vom Netz nahm und womöglich, um sich selbst zu schützen. Oder auf Druck von außen? Klar ist nur, dass die Lücke damit technisch geschlossen und gleichzeitig ein Teil des illegalen iGaming-Markts mit einem Schlag ausgedünnt wurde.

Interessant ist in diesem Zusammenhang auch die Rolle der GGL. Beobachter vermuten, dass die Behörde zumindest vorübergehend eine gewisse Zurückhaltung übt, quasi als eine stille Zustimmung zum Aufräumen durch die Anbieter selbst. Denn wenn eine Plattform auf technischem Weg den Schwarzmarkt dezimiert, erspart das der Behörde mühsame Verfahren. Ob das kluge Regulierung oder stilles Taktieren ist, bleibt offen.

Zwischen Verantwortung und Versagen – die Rolle der Softwareanbieter im Fokus

The Mill Adventure steht nicht zum ersten Mal im Fokus von Kritik. Als White-Label-Anbieter stellt das Unternehmen die komplette technische Infrastruktur für Online-Casinos bereit. Login-Systeme, Zahlungsabwicklungen, Spielangebote, Verifizierungsprozesse bieten sie aus einer Hand an, alles mit einem Klick skalierbar. Doch was auf Betreiberseite bequem ist, kann für die Nutzer brandgefährlich werden, wenn die Basis nicht stimmt.

Denn in diesem Fall stimmte sie nicht. Mit fehlenden Zugangskontrollen, mangelhaften Verschlüsselungen und veralteten Servern liest sich die Liste der Versäumnisse wie ein Worst-Case-Lehrbuch für IT-Sicherheit und das bei einer Plattform, auf der täglich Millionenbeträge bewegt werden.

Hinzu kommt, dass viele Online-Casinos ihre Seiten nicht mehr selbst betreiben, sondern Komplettlösungen einkaufen. Sie lagern die Verantwortung an Anbieter wie The Mill Adventure aus, behalten aber das Label und den Profit. Im Umkehrschluss bedeutet das, dass Spieler oft gar nicht wissen, auf wessen Server ihre Daten am Ende landen.

Die Frage nach der Verantwortung wird damit zur Gretchenfrage der Branche. Juristisch verschwimmen die Zuständigkeiten, doch moralisch ist die Sache klar. Wer eine Plattform betreibt, trägt auch Verantwortung für deren Sicherheit.

GGL unter Druck – kommt jetzt der große Frühjahrsputz im Softwarebereich?

Die GGL steht nun an einem Scheideweg. Aber bisher hält sie sich mit öffentlichen Reaktionen auffallend zurück. Weder sind Sanktionen gegen The Mill Adventure bekannt geworden, noch gibt es klare Signale in Richtung schärferer Regulierung. Doch genau diese Zurückhaltung könnte sich rächen, politisch wie gesellschaftlich.

Denn die Forderungen nach Konsequenzen werden lauter. Sie heißen mehr Transparenz, verpflichtende Sicherheitszertifikate für Softwareanbieter, regelmäßige Audits und ein besserer Überblick darüber, wer im Hintergrund die Technik liefert und das nicht nur innerhalb der Branche, sondern auch in der politischen Debatte.

Womöglich war dieser Vorfall der nötige Weckruf und ein Anlass, die Softwareanbieter nicht länger im Schatten agieren zu lassen, sondern sie vielmehr ins Licht der Regulierung zu holen. Denn während die Casinos an der Oberfläche glänzen, entscheidet sich die echte Sicherheit oft im Maschinenraum, wo bislang nur wenige genau hinschauen.

Bildquelle: Sigmund