Hackerangriff auf deutsche Online Casinos mit Konsequenzen für den Fokus der GGL?

Mitte März 2025 wurde bekannt, dass bei drei deutschen Online Casinos durch massive Datenschutzschwachstellen sensible Informationen von mehr als einer Million Spielern quasi öffentlich zugänglich waren. Im Nachgang dessen steht die Frage im Raum, ob die deutsche Glücksspielaufsicht auch einen verstärkten Blick auf die technische Infrastruktur solcher Plattformen haben sollte. Darüber hinaus wird in der Fachpresse (nicht ohne Kritik) von einem für die Behörde wahrscheinlich ziemlich erfreulichen Nebeneffekt berichtet: Nach dem Hack sollen diverse illegale Anbieter aus dem Netz verschwunden sein.

Zwar war der Vorfall, der die Glücksspielbranche und deren Kundschaft Mitte März 2025 ordentlich durchrüttelte, prinzipiell ein Hack. So richtig viel tun musste die Verantwortliche, Lilith Wittmann, allerdings nicht, um an die sensiblen Daten zu gelangen. Von einem klassischen Einbruch in geschützte Systeme kann hier kaum die Rede sein. Die Software-Entwicklerin, IT-Sicherheitsexpertin und Aktivistin machte in ihrem Exposé zur Aktion klar, dass nicht mehr nötig war, als über das Schnittstellenprotokoll GraphQL gezielte Abfragen zu stellen („users“, „sessions“ und „paymentOptionsV2“). Ein Login war nicht erforderlich. Das System sei somit praktisch „vollständig öffentlich zugänglich“ gewesen. Die Sicherheitslücke lag beim IT-Dienstleister The Mill Adventures aus Malta, der die Software für die Online Casinos als Komplettlösung bereitstellt.

Sie kommunizierte die technische Schwachstelle an die Gemeinsame Glücksspielbehörde der Länder (GGL), was zu öffentlichen Abmahnungen führte. Gerade erst Anfang Februar haben wir uns gefragt, ob solche für jeden einsehbare disziplinarische Mitteilungen fair sind.

• Dass die Sache damit nicht vom Tisch sein würde, war klar. Lilith Wittmann dürfte sich weniger Sorgen machen müssen. Im Fadenkreuz von Presse, Politik und Strafverfolgung stehen eher die Merkur AG, zu der die betroffenen Plattformen gehören, und The Mill Adventures. Tatsächlich werden aber auch Forderungen an die GGL lauter, ihren Fokus stärker auf die technische Infrastruktur von Online Casinos zu richten – ganz im Sinne des Spielerschutzes.
• Darüber hinaus sieht die Fachpresse eine Art „stilles Taktieren“ vonseiten der Regulierungsstelle. Denn nach dem Bekanntwerden der Lücke sind offenbar auch illegale Online Casinos plötzlich aus dem Netz verschwunden. Wie Wittmanns Darstellung vermuten lässt, könnten einige davon sogar deutsche Betreiber haben. Bislang hüllt sich die GGL dazu in Schweigen.

Sollte die GGL auch die Glücksspiel-Software kontrollieren?

Vor allem das Fachmagazin Games & Business richtete seine Kritik nach der Hackerattacke auch an die GGL. In einem ausführlichen Beitrag zum Thema fragte man sich dort, ob die Rolle von Software-Anbietern wie The Mill Adventure im Sicherheitsgefüge von Online Casinos womöglich unterschätzt wird. Sollte die Glücksspielbehörde vielleicht auch die technische Infrastruktur mehr prüfen müssen?

Dass dieser Dritte dabei nicht die notwendige Sorgfalt walten lässt, scheint bei einem erfahrenen Unternehmen wie The Mill Adventure unwahrscheinlich. Dennoch ist es passiert. Und das ausgerechnet bei Systemen, über die täglich Millionenbeträge bewegt werden.

Die Frage, wer letztlich dafür geradestehen muss, führt ins juristische Grau. Betreiber, Technikdienstleister, Aufsicht? Während sich die Zuständigkeiten in der Praxis verwischen, scheint der moralische Kompass eindeutig: Wer mit sensiblen Daten handelt und Glücksspielplattformen betreibt, sollte auch die volle Kontrolle haben.

► Und hier kommt die GGL ins Spiel. Im Artikel von Games & Business ist die Rede von lauter werdenden Forderungen nach Konsequenzen. Es sollten „mehr Transparenz, verpflichtende Sicherheitszertifikate für Software-Anbieter, regelmäßige Audits und ein besserer Überblick darüber, wer im Hintergrund die Technik liefert“ gegeben sein.

Illegale Online Casinos vom Netz, Betreiber aus Deutschland aufgedeckt – aber was macht die GGL?

Während die Öffentlichkeit noch über die massiven Sicherheitslücken bei den regulierten Merkur-Plattformen diskutierte, war im Hintergrund längst eine ganz andere Bewegung im Gange: Eine nicht unerhebliche Zahl illegaler Online Casinos verschwand laut Games & Business plötzlich aus dem Netz. Was auf den ersten Blick wie ein Routine-Update wirkte, entpuppte sich bei genauerem Hinsehen als ein stiller Kahlschlag – offenbar ausgelöst durch denselben Vorfall, der auch die lizenzierten Anbieter aufrüttelte.

In ihrem Exposé beschreibt Lilith Wittmann, dass The Mill Adventure „eine legale und eine illegale Instanz ihrer Casino-Software“ betreibt. Bei beiden Systemen gab es offenbar dieselben Sicherheitslücken.

Besonders pikant: Die Merkur AG, deren Casinos von den Sicherheitslücken betroffen waren, pflegt eine enge Partnerschaft mit The Mill Adventure. Dabei hat man sich in der Vergangenheit (vor allem nach der Veröffentlichung der Paradise Papers 2017) demonstrativ von illegalem Glücksspiel distanziert.

Übrigens kam es in der jüngeren Vergangenheit bereits zwei Mal zu ziemlich brisanten Aufdeckungen rund um Anbieter von Glücksspiel-Software und Schwarzmarktaktivitäten:

1. Ende 2024 enthüllte der BR Verbindungen zwischen dem Berliner Unternehmen SOFTSWISS und illegalen Online Casinos.
2. Anfang 2025 legte ein Datenleck Strukturen illegaler Online Casinos offen, bei denen die Software-Firma Delasport eine tragende Rolle spielen soll.

Mitten in dieser Gemengelage fragt man sich, was eigentlich die GGL tut. Das Fachmagazin Games & Business äußert sich zwar vorsichtig, doch zwischen den Zeilen ist Kritik spürbar: Warum wurden Casinos abgeschaltet, die nie eine Lizenz in Deutschland hatten? Und warum so plötzlich? Wollte man vonseiten des Software-Anbieters weitere Datenskandale ausschließen? Oder hatte die GGL etwa ihre Finger im Spiel?

Fakt ist: Durch das Entfernen der Seiten wurde ein erheblicher Teil des Schwarzmarkts auf einen Schlag ausgeschaltet. Ob dies auf Druck der Behörde geschah oder als Selbstschutzmaßnahme von The Mill Adventure, bleibt offen. Doch gerade dieses Schweigen macht den Fall so spannend.

Einige Beobachter vermuten laut Games & Business, dass die GGL sich bewusst zurückhält, um den Markt „leise“ zu bereinigen. Denn wenn illegale Anbieter aus freien Stücken verschwinden, erspart das komplizierte Verfahren, langwierige Ermittlungen – und Schlagzeilen. Na ja, letzteres stimmt natürlich nicht ganz.

Fazit

Quelle des Bildes: https://pixabay.com/illustrations/development-icon-development-concept-3335977/

Zentrale Textquellen: https://gamesundbusiness.de/zahlreiche-casino-websites-offline-gluecksspiel-software-bald-im-fokus-der-ggl, https://lilithwittmann.medium.com/casinonutzer-der-merkur-gruppe-verlieren-nicht-nur-ihr-geld-sondern-auch-ihre-daten-ef6710184f7c, https://igamingbusiness.com/tech-innovation/cybersecurity/merkur-player-data-breach-cyber-security-questions/