Sicher­heits­lücke: On­line-Casi­nos der Mer­kur Group von massivem Daten­leck betroffen

Posted on: 17/03/2025, 05:55h. 

Last updated on: 16/03/2025, 07:22h.

Kerstin Schäfer Read More
Expertise: Casinos, Gesetzgebung, Poker, Spiele.
  • Am Wochenende waren die Online-Casinos der Merkur Group nach einem massiven Datenleck zeitweilig offline.
  • Berichten zufolge waren die Daten von über einer Million Spielern zeitweise öffentlich abrufbar.
  • Für den Glücksspielkonzern könnte dies neben einem Imageschaden auch regulatorische Folgen haben.

Am Wochenende erlebte das Online-Geschäft des Glücksspielkonzerns laut übereinstimmenden Berichten einen Super-GAU. Nach einem erheblichen Datenleck sah sich die Merkur Group gezwungen, die Gaming-Features einer Reihe ihrer Online-Casinos zeitweise vom Netz zu nehmen.

Merkur Online-Statement
Merkur wies online auf Probleme hin (Screenshot: Merkur)

Grund für die einschneidende Maßnahme sei ein massives Datenproblem im Unternehmen gewesen. Aufgrund dessen sei es über Stunden möglich gewesen, sensible Kundendaten online abzufragen.

Das Datenleck habe dazu geführt, dass von Merkur betriebene Websites wie crazybuzzer.de, merkurbets.de und slotmagie.de offline gingen. Nach Angaben der IT-Expertin Lilith Wittmann nutzen die Merkur-Marken eine Casino-Software des aus Malta stammenden Dienstleisters the mill adventures.

Wie umfassend die Datenpanne ist, zeigt eine von Wittmann aufgestellte Liste. So seien durch GraphQL-Abfragen 200 GB an Informationen zugänglich gewesen:

Online abrufbare Details:
– Namen und Geburtsdaten
– Kontoinhaber
– E-Mail-Adressen
– Adressen und Telefonnummern
– IBAN- und Kreditkartendetails
– Ausweisfotos

Hinzugekommen seien Informationen über das Spielverhalten der Kunden. Damit habe Zugang bestanden zu allen bisher erfolgten Online-Sessions, den dazugehörigen IP-Adressen sowie Browser-Informationen.

Besonders kritisch scheint der Einblick in die Zahlungsinformationen. Auf diese Weise hätten Personen in allen Spielerprofilen Ein- und Auszahlungen vornehmen können. Letztere wären aufgrund des zusätzlichen manuellen Freigabeprozesses immerhin erschwert worden.

Erhöhtes Betrugsrisiko für Betroffene?

Für die betroffenen Spieler könnte durch das Datenleck bei den Online-Casinos von Merkur ein ernsthaftes Sicherheitsrisiko bestehen. So könnte der Zwischenfall zu einem erhöhten Risiko von Betrug und Identitätsdiebstahl bei ihnen führen. Den Berichten zufolge ist bisher nicht klar, inwieweit Kriminelle die sensiblen Daten abgriffen oder sogar bereits einsetzten.

Pikant an der Kooperation von Merkur mit the mill adventures dürfte dessen Offenheit gegenüber Betreibern von nicht lizenzierten Online-Casinos sein. Laut Berichten stellt der maltesische Dienstleister seine IT-Lösung auch Schwarzmarkt-Anbietern zur Verfügung. In der Vergangenheit distanzierte sich Merkur mit Nachdruck von der illegalen Branche. Tröstlich dürfte für den deutschen Konzern sein, dass die illegale Konkurrenz ebenfalls von dem Datenleck betroffen war.

Sollte sich die Datenlücke bestätigten, könnten die Behörden mit Ermittlungen beginnen. Dabei würde Merkur im Zentrum der Prüfung stehen. Sollten dem Unternehmen Verstöße gegen die Datenschutzrichtlinien nachgewiesen werden, drohen ernsthafte regulatorische Konsequenzen. Die Glücksspielbehörde GGL äußerte sich zu dem Fall bisher nicht.

Spieler hingegen können seit Samstagabend wieder auf die Online-Casinos zugreifen. Gut möglich, dass sie dies mit einem mulmigeren Gefühl tun. Für Wittmann scheint das Datenleck jedoch auch etwas Gutes zu haben. Sie betonte, dass das umfassende Datenmaterial umfassendere Forschung zum Thema Online-Glücksspiel erlaube.