🕑 7 Min. Lesezeit
Wenn du denkst, dass deine Daten bei einem lizenzierten deutschen Anbieter sicher sind, dann habe ich schlechte Nachrichten. Im Jahr 2025 hat eine Hackerin namens Lilith Wittmann gezeigt, wie erschreckend einfach es sein kann, an die sensibelsten Informationen von Casino-Kunden zu gelangen. Was sie bei Merkur-Casinos gefunden hat, ist ein Albtraum für jeden, der dort jemals ein Konto hatte.
Ich erkläre dir, was passiert ist, wer betroffen ist und was du jetzt sofort tun solltest.
Was genau ist passiert?
Die IT-Sicherheitsforscherin Lilith Wittmann hat im Frühjahr 2025 die sogenannten GraphQL-Schnittstellen mehrerer Merkur-Plattformen untersucht. GraphQL ist eine Abfragesprache, über die Apps und Websites mit ihren Datenbanken kommunizieren. Und genau hier lag das Problem: Diese Schnittstellen waren so schlecht abgesichert, dass Wittmann ohne großen Aufwand auf riesige Datenmengen zugreifen konnte.
Wir reden hier nicht von ein paar E-Mail-Adressen. Wir reden von rund 200 Gigabyte an hochsensiblen Daten. Ausweiskopien. Bankverbindungen. Komplette Spielsessions. Kontoauszüge. Alles, was du bei der Verifizierung hochladen musstest, lag praktisch offen herum.
Betroffen waren die Plattformen Slotmagie, Merkurbets und Crazy Buzzer – allesamt Marken der Gauselmann-Gruppe, besser bekannt unter dem Namen Merkur. Schätzungen gehen davon aus, dass rund eine Million Spieler betroffen sind.
💬 Meine Erfahrung nach 23 Jahren im Casino
Ich habe in meiner Zeit bei verschiedenen Betreibern erlebt, wie mit Spielerdaten umgegangen wird. Bei manchen Unternehmen lagen Ausweiskopien auf gemeinsam genutzten Netzlaufwerken, auf die jeder Mitarbeiter Zugriff hatte. Die Digitalisierung hat vieles besser gemacht – aber wenn die IT-Sicherheit nicht mitkommt, wird es gefährlicher als je zuvor. Bei 200 GB Daten reden wir nicht über ein kleines Leck. Das ist ein offenes Scheunentor.
Die Software dahinter: The Mill Adventures
Besonders brisant ist die Software, die hinter den betroffenen Plattformen steckt. Sie heißt „The Mill Adventures“ und wird von einem maltesischen Unternehmen entwickelt. Wittmann fand heraus, dass dieselbe Software nicht nur bei den regulierten deutschen Merkur-Casinos im Einsatz war, sondern auch bei illegalen Offshore-Casinos, die keine deutsche Lizenz besitzen.
Das bedeutet: Die gleiche Technik, die bei lizenzierten Anbietern für Sicherheitslücken gesorgt hat, lief parallel auch auf unregulierten Plattformen. Für Spieler, die auf solchen Seiten aktiv waren, ist die Lage noch unübersichtlicher – denn dort gibt es keine Aufsichtsbehörde, die den Vorfall verfolgt oder Maßnahmen einleitet.
Für die Glücksspielregulierung in Deutschland ist das ein Desaster. Es wirft die Frage auf, wie gründlich die Gemeinsame Glücksspielbehörde der Länder (GGL) die technische Infrastruktur ihrer Lizenznehmer eigentlich prüft.
Die Reaktion: Abschaltung und Abmahnungen
Nachdem der Skandal öffentlich wurde, gingen die betroffenen Plattformen offline. Die GGL reagierte mit Abmahnungen gegen die Betreiber. Merkur selbst gab zunächst nur knappe Stellungnahmen ab – ein Verhalten, das für die Branche leider typisch ist.
Für die betroffenen Spieler kam die Information über das Datenleck häufig erst durch die Medienberichterstattung. Spiegel, Heise und pokerfirma.com berichteten ausführlich. Eine direkte, proaktive Benachrichtigung aller Betroffenen durch Merkur? Davon war zunächst wenig zu sehen.
💬 Meine Erfahrung nach 23 Jahren im Casino
In der Branche wird immer gerne betont, wie wichtig Spielerschutz ist. Aber wenn es um IT-Sicherheit geht, wird plötzlich gespart. Ich kenne Betreiber, bei denen die IT-Abteilung aus zwei Leuten bestand – für Plattformen mit Hunderttausenden Kunden. Die GGL muss hier deutlich härter durchgreifen. Lizenzen vergeben reicht nicht. Man muss auch kontrollieren, was mit den Daten passiert.
Warum das jeden Spieler betrifft – nicht nur Merkur-Kunden
Jetzt denkst du vielleicht: „Ich spiele nicht bei Merkur, also betrifft mich das nicht.“ Das wäre ein Trugschluss. Der Merkur-Datenskandal zeigt ein grundsätzliches Problem:
Auch regulierte Anbieter sind nicht automatisch sicher.
Eine deutsche Lizenz der GGL garantiert, dass ein Anbieter bestimmte Regeln zum Spielerschutz einhält. Einzahlungslimits, Sperrdateien, Verifizierungspflichten – das alles wird geprüft. Aber die technische Sicherheit der IT-Infrastruktur? Die Qualität der eingesetzten Software? Die Absicherung der Schnittstellen? Das sind Bereiche, in denen offensichtlich gravierende Lücken bestehen.
Wenn ein Unternehmen von der Größe der Gauselmann-Gruppe solche fundamentalen Fehler machen kann, dann kann es theoretisch bei jedem Anbieter passieren. Das ist keine Panikmache – das ist die Realität, die dieser Vorfall offengelegt hat.
Was du jetzt sofort tun solltest
Wenn du jemals ein Konto bei Slotmagie, Merkurbets oder Crazy Buzzer hattest, solltest du jetzt handeln. Aber auch wenn du bei anderen Casinos registriert bist, schaden die folgenden Schritte nicht:
1. Passwörter sofort ändern
Ändere das Passwort bei jeder Online-Casino, bei der du ein Konto hast. Und falls du dasselbe Passwort auch anderswo verwendest (E-Mail, Online-Banking, soziale Netzwerke), ändere es überall. Nutze einen Passwort-Manager und erstelle für jeden Dienst ein eigenes, starkes Passwort.
2. Kontoauszüge und Bankbewegungen prüfen
Schau dir deine Kontoauszüge der letzten Monate genau an. Gibt es Abbuchungen, die du nicht zuordnen kannst? Unbekannte Lastschriften? Wenn ja, kontaktiere sofort deine Bank und lasse die Buchungen zurückgehen.
3. Schufa-Benachrichtigung aktivieren
Bei der Schufa kannst du eine sogenannte Identitätsschutz-Benachrichtigung einrichten. Das bedeutet: Du wirst automatisch informiert, wenn jemand unter deinem Namen einen Kredit beantragt oder ein Konto eröffnet. Das ist besonders wichtig, wenn Ausweiskopien in falsche Hände geraten sind.
4. Ausweisdokumente im Blick behalten
Wenn deine Ausweiskopie im Datenleck enthalten war, besteht ein erhöhtes Risiko für Identitätsdiebstahl. Überlege, ob du deinen Personalausweis vorzeitig erneuern lässt. Das kostet zwar Geld, gibt dir aber eine neue Ausweisnummer.
5. Datenschutzbehörde informieren
Du hast das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. Für Merkur wäre das der Landesbeauftragte für Datenschutz in Nordrhein-Westfalen. Eine Beschwerde hilft nicht nur dir – sie erhöht auch den Druck auf Unternehmen, ihre Sicherheitsstandards zu verbessern.
💬 Meine Erfahrung nach 23 Jahren im Casino
Ich sage dir ehrlich: Viele Spieler werden nichts tun. Sie werden denken, dass ihnen schon nichts passiert. Aber Identitätsdiebstahl ist real. Ich habe in meiner Karriere Fälle gesehen, in denen gestohlene Ausweiskopien genutzt wurden, um unter falschem Namen Konten zu eröffnen. Nimm dir die 20 Minuten und sichere dich ab. Das ist es wert.
Was dieser Skandal für die Branche bedeutet
Der Merkur-Datenskandal 2025 ist ein Wendepunkt. Er zeigt, dass die deutsche Glücksspielregulierung in einem entscheidenden Bereich versagt hat: der technischen Aufsicht. Es reicht nicht, Lizenzen zu vergeben und Einzahlungslimits festzulegen. Die GGL muss regelmäßige, unabhängige Sicherheitsaudits der IT-Systeme aller lizenzierten Anbieter durchführen.
Die Tatsache, dass dieselbe anfällige Software gleichzeitig bei regulierten und illegalen Anbietern lief, ist besonders peinlich. Denn die GGL wird nicht müde zu betonen, dass lizenzierte Anbieter der sicherste Weg zum Online-Glücksspiel sind. Nach diesem Vorfall klingt das hohl.
Für Spieler bedeutet das: Vertrauen ist gut, Vorsicht ist besser. Eine Lizenz schützt dich vor manipulierten Spielen und unfairen Bedingungen. Aber sie schützt dich nicht zwangsläufig vor Datenlecks. Du musst selbst aktiv werden und deine digitale Sicherheit im Blick behalten.
Fazit
Der Merkur-Datenskandal hat rund eine Million Spieler getroffen. 200 GB an persönlichsten Daten – Ausweiskopien, Bankdaten, Spielverläufe – lagen offen, weil grundlegende IT-Sicherheitsstandards nicht eingehalten wurden. Die Hackerin Lilith Wittmann hat damit nicht Schaden angerichtet, sondern einen Missstand aufgedeckt, der ohne sie vermutlich noch lange unentdeckt geblieben wäre.
Wenn du bei einem der betroffenen Anbieter gespielt hast, handle jetzt. Passwörter ändern, Konten prüfen, Schufa-Benachrichtigung einrichten. Und wenn du bei anderen Casinos registriert bist: Nimm das als Anlass, auch dort deine Sicherheit auf den Prüfstand zu stellen.
Denn eines hat dieser Skandal klar gemacht: Bei der Datensicherheit im Online-Glücksspiel gibt es noch viel zu tun.
Quellen: pokerfirma.com, Der Spiegel, Heise Online
Weiterführende Artikel
Guido
Ehemaliger Casino-Mitarbeiter mit 23 Jahren Branchenerfahrung. Schreibt ehrlich und unabhängig über Online Casinos, Sportwetten und Spielerschutz.
