Datenschutz Skandal bei Merkur.com AG: Über 800.000 Spieler betroffen

Am 15. März 2025 kam es zu einem plötzlichen Ausfall mehrerer Glücksspiel Plattformen der Merkur.com AG. Die Webseiten von Slotmagie, Crazybuzzer und Merkurbets gingen am Nachmittag in den Wartungsmodus, ohne dass die Betreiber zunächst eine Erklärung abgaben. Später stellte sich heraus, dass eine schwerwiegende Sicherheitslücke entdeckt worden war, die sensible Daten Hunderttausender Spieler ungeschützt im Netz zugänglich machte.
Die von Sicherheitsforscherin Lilith Wittmann entdeckte Schwachstelle betraf über 800.000 Spieler. Neben den persönlichen Daten waren auch Ein- und Auszahlungen sowie Informationen zur Identitätsprüfung betroffen. Besonders brisant war der Zugriff auf mehr als 70.000 Kopien von Personalausweisen und weitere Dokumente, die für „Know-Your-Customer“-Verfahren genutzt werden.
Nach Angaben der Merkur.com AG bestand die Schwachstelle über einen längeren Zeitraum, wodurch nicht ausgeschlossen werden kann, dass weitere unbefugte Zugriffe stattgefunden haben. In der Glücksspielbranche sind hohe Sicherheitsstandards vorgeschrieben, dennoch zeigte sich hier eine gravierende Nachlässigkeit im Umgang mit Kundendaten.
Die betroffenen Casinos nutzen eine Software der maltesischen Firma „The Mill Adventures“, deren GraphQL-Schnittstelle nicht ausreichend geschützt war. Diese ermöglichte unkontrollierte Abfragen und damit den Zugriff auf sensible Informationen. Auch mutmaßlich illegale Online-Casinos, die diese Software nutzen, waren am Samstagabend nicht mehr erreichbar.
Reaktion der Merkur.com AG
Am Samstagabend waren Slotmagie und Crazybuzzer ab etwa 22 Uhr wieder online. Merkurbets zeigte zunächst eine Meldung, die auf einen Ausfall des Länderübergreifenden Glücksspielaufsichtssystems (LUGAS) hinwies. Gegen 22:30 Uhr konnten Spieler wieder auf alle drei Plattformen zugreifen, allerdings nur, wenn sie zuvor ihre Cookies löschten oder den Inkognito-Modus verwendeten.
Merkur.com AG betonte, dass die kurzfristige Abschaltung der Plattformen mit LUGAS zusammenhing und nicht direkt mit der bekannt gewordenen Datenpanne. Experten halten es jedoch für wahrscheinlich, dass die Betreiber so Zeit gewinnen wollten, um Sicherheitsmaßnahmen zu implementieren.
Spieler, die bei einem der betroffenen Casinos registriert sind, sollten ihre Bankkonten auf unautorisierte Transaktionen überprüfen und wachsam gegenüber möglichen Identitätsdiebstählen sein. Der Vorfall zeigt, wie wichtig ein striktes Berechtigungsmanagement und umfassende Schutzmaßnahmen im Online-Glücksspiel sind.
Die Enthüllung der Sicherheitslücke dürfte nun verstärkt Aufmerksamkeit der Glücksspielaufsicht auf die betroffenen Anbieter lenken. Regulierungsbehörden werden voraussichtlich prüfen, ob Verstöße gegen Datenschutzrichtlinien oder gesetzliche Vorgaben vorliegen. Sollte dies der Fall sein, drohen den Verantwortlichen empfindliche Strafen.
Der Fall wirft erneut die Frage auf, wie sicher die Kundendaten bei Online-Casinos tatsächlich sind. Insbesondere die Nutzung von Technologien wie GraphQL erfordert streng kontrollierte Sicherheitsvorkehrungen, um unbefugten Zugriff zu verhindern. In diesem Fall waren diese Maßnahmen offensichtlich nicht ausreichend – mit potenziell schwerwiegenden Konsequenzen für die betroffenen Spieler.