Vor einigen Monaten erschütterte ein umfassender Sicherheitsvorfall die Glücksspielbranche. Bis zu 800.000 sensible Kundendaten wären potenziell öffentlich sichtbar, deckte die White Hat Hackerin Lilith Wittmann auf. Die massive Schwachstelle befand sich in der IT-Infrastruktur des Online-Casinos von Merkur. Um an diese Kundendaten zu gelangen, reichte es ihr bereits aus, eine fehlerhafte Schnittstelle ausfindig zu machen. So konnte sie die Daten ohne jegliche Authentifizierung aufrufen.

Die Kundendatei war ein offenes Buch

In dem betreffenden Datensatz befanden sich nicht nur Namen und Adressen, sondern auch E-Mail-Adressen, die vollständigen Zahlungsinformationen der Kunden, ihre Spielhistorie, Daten zu ihren Geräten und Sitzungen sowie mehr als 70000 digitale Kopien von Identitätsdokumenten wie Personalausweisen. All dies lag ungeschützt auf dem Server und hätte von bösartigen Hackern jederzeit heruntergeladen, verbreitet und verkauft werden können. Die Schwachstelle in der Infrastruktur des Online-Casinos wirft die Frage auf, wie umfangreich die Daten tatsächlich geschützt sind und was die Betreiber unternehmen, um mögliche Hackerangriffe zu unterbinden.

Die Betreiber reagierten rasch

Im konkreten Fall reagierte Merkur schnell. Der Betreiber des Online-Casinos deaktivierte die betroffene Schnittstelle noch am selben Tag. Gleichzeitig leiteten die Verantwortlichen eine interne Prüfung ein und engagierten externe Sicherheitsexperten, um ihr System zu durchleuchten. Die Kunden wurden über den Vorfall informiert. Dies entspricht einer professionellen und vorbildlichen Reaktion, doch die Gemeinsame Glücksspielbehörde der Länder, in deren Händen die Aufsicht über deutsche Online Casinos liegt, zeigte sich alles andere als begeistert.

Aufsichtsbehörden warnen

Die Behörde wies darauf hin, dass gesetzlich vorgeschriebene Penetrationstests nicht durchgeführt worden wären. Die Strafen für dieses Versäumnis sind im deutschen Glücksspielstaatsvertrag geregelt. Das Gesetzeswerk regelt das Glücksspiel in Deutschland und sieht bei Verstössen hohe Strafen vor, die bis zum Entzug der Lizenz reichen können. Schliesslich könnten die Folgen für die betroffenen Kunden gravierend sein.

Geraten die Kundendaten in falsche Hände, wäre es damit nicht nur möglich, Identitäten zu stehlen, sondern man könnte damit auch Verträge abschliessen oder gar Kredite aufnehmen. Zudem würde die Gefahr von Phishing-Attacken steigen, warnen Datenschützer. Selbst Erpressungen sind mithilfe der Spielerhistorie oder Warnungen vor Spielsucht möglich.

Komplexe Systeme werden unübersichtlich

Davon abgesehen schaden so ein Vorfall ganz besonders dem Vertrauensverhältnis zwischen Unternehmen und Kunden. Diese sehen die Datenflut im Netz zunehmend kritisch und wollen ihre persönlichsten Informationen abgesichert wissen.

Doch in immer komplexer werdenden Systemen steigt offenbar auch die Gefahr von übersehenen Schwachstellen. Die in diesem Fall betroffene Schnittstelle erfordert eine strenge Zugriffskontrolle. Bleibt diese aus, können auch fremde Personen Zugriff erhalten. Zudem sind die Softwaresysteme oft auf Fremdanbieter angewiesen. Wenn deren Dienste nicht streng geprüft werden, kann ein Problem auftreten, das lange Zeit unentdeckt bleibt.

Wie lassen sich solche Lecks verhindern?

Regelmässige Penetrationstests haben sich in der Vergangenheit als wirksames Mittel gegen unerwünschte Sicherheitslücken erwiesen. Dabei suchen Experten gezielt Schwachstellen und simulieren einen externen Angriff auf das System. Auf Basis dieser Tests entstehen Handlungsempfehlungen, deren Umsetzung für mehr Schutz sorgen soll.

So können Schwachstellen frühzeitig identifiziert und beseitigt werden. Gleichzeitig dienen sie dem Nachweis von Sicherheitsstandards und helfen mit, Sach- und Imageschäden zu verhindern.

Doch zuvor gilt es insbesondere, die Konfiguration von Schnittstellen sicher zu gestalten. Jeder dieser Zugänge muss mit einer Authentifizierung und Autorisierung abgesichert sein. Minimale Berechtigungen verhindern, dass der Kreis der Zugriffsberechtigten zu gross und damit schlecht administrierbar wird. Eine Technik wie Rate-Limiting verhindert zudem, dass ein Angreifer automatisiert grosse Datenmengen von den Servern ziehen kann.

Ein weiterer wichtiger Baustein bei der Absicherung der eigenen Systeme ist die Verschlüsselung. Sie muss sicherstellen, dass sensible Daten sowohl bei der Übertragung als auch beim Speichern geschützt sind. Das gilt hauptsächlich für Zahlungsinformationen und Ausweisdokumente.

Der Faktor Mensch bleibt entscheidend

Doch die besten Schutzmassnahmen helfen wenig, wenn sie nicht regelmässig und nachweisbar überprüft werden. Die IT-Systeme sollten in der Lage sein, ungewöhnliche Muster bei den Zugriffen und Downloads selbstständig zu erkennen und darauf entsprechend zu reagieren. Das kann durch automatisierte Alarme der Verantwortlichen ebenso passieren, wie durch eine zusätzliche Sperre der Verbindungen.

Doch IT-Systeme sind in vielen Bereichen von Drittanbietern abhängig. Diese sollten vorab per Vertrag zu vorher definierten Standards verpflichtet werden. Externe Audits können sicherstellen, dass diese eingehalten wurden, und Schwachstellen aufdecken. Doch bei allen technischen Vorkehrungen darf der Mensch nicht ausser Acht gelassen werden.

Schliesslich werden die Systeme von Technikern aufgesetzt, gewartet und überwacht. Entsprechendes Wissen und Engagement vorausgesetzt, sind sie eine wichtige Komponente beim Aufbau sicherer IT-Systeme. Entwickler, Supportmitarbeiter und Administratoren müssen daher regelmässig geschult und sensibilisiert werden. Nur so ist sichergestellt, dass alle theoretisch möglichen Angriffsziele gut geschützt sind und bleiben.

Das Datenleck, das beim Online-Casino Merkur aufgedeckt wurde, ist zweifellos ein Weckruf für die Branche. Es zeigt, wie schnell man nicht nur die Kontrolle über seine IT verlieren könnte, sondern auch einen nur schwer wieder gutzumachenden Imageverlust erleiden kann. Wer das Vertrauen seiner Kunden erhalten möchte, muss als Betreiber eines Online-Casinos sicherstellen, dass IT-Sicherheit und Datenschutz ein zentrales Element des eigenen Geschäftsmodells sind. Gerade in wirtschaftlich herausfordernden Zeiten ist dies besonders wichtig. Hier gilt es, nicht nur passiv, sondern auch aktiv zu agieren. Die beständige Suche nach Verbesserungen kann einen erfolgreichen Angriff von aussen verhindern.