"Man hat sich einen Dreck um die Sicherheit der Daten der Spieler geschert"
Lilith Wittmann hat bei Online-Casinos schwere Sicherheitslücken gefunden. Das Gespräch mit ihr dreht sich nicht nur um Technik, sondern auch eine Behörde.
Die "Krawall-Influencerin" (Selbstbezeichung) Lilith Wittmann hat wieder einmal gravierende SicherheitslĂĽcken aufgedeckt.
(Bild: privat)
In der vergangenen Woche warnten mehrere Online-Casinos der Merkur-Gruppe ihre Nutzer vor unbefugtem Zugriff auf die Daten der Spieler. Kurz danach ging die Softwareentwicklerin und Sicherheitsforscherin Lilith Wittmann mit einem umfangreichen Blogbeitrag an die Öffentlichkeit: Sie hat die Lücken entdeckt und dadurch Zugang zu den kompletten Datensätzen von knapp einer Million Spieler.
Im Interview mit heise online erklärt sie nicht nur, wie einfach die Lücken zu finden waren, sondern auch, wie der gesetzlich geforderte Spielerschutz eigentlich funktionieren sollte. Es geht um die gemeinsame Glücksspielbehörde der Länder (GGL) und das länderübergreifende Glücksspielaufsichtssystem (LUGAS). Auch die sogenannten KYC-Verfahren (know your customer) privater Unternehmen spielen dabei eine Rolle – all diese Parteien sind von den inzwischen behobenen Sicherheitslücken direkt oder indirekt betroffen.
Wie haben Sie die LĂĽcke ursprĂĽnglich entdeckt?
Ich habe mich vor zwei Monaten erstmals bei in Deutschland legalen Online-Casinos angemeldet, weil ich mir die staatliche Infrastruktur dahinter ansehen wollte. Es gibt da zum Beispiel die zentrale LUGAS-Datei, in der Spielerdaten gespeichert werden. Auch die KYC-Prozesse wollte ich ausprobieren. Aber soweit bin ich gar nicht gekommen, weil ich schon auf der Startseite in der Browser-Konsole die erste SicherheitslĂĽcke gesehen habe.
Worin bestand die LĂĽcke, und wie konnten dadurch Daten von Spielern abgerufen werden?
Es hat nicht lange gedauert, bis ich die API der Anbieter in der Hand hatte. Die war auch schön selbstdokumentierend, weil sie auf GraphQL aufbaut. Dann habe ich ein paar potenzielle Queries ausprobiert, und immer mehr Daten in der Hand gehabt, als ich hätte haben sollen. Dann hatte ich die ID von Usern und habe die bei Schnittstellen zu Drittanbietern ausprobiert. Nach mehreren Tagen hatte ich dann alle Daten. Im Endeffekt hatte sich weder bei Merkur noch bei deren Partner und Software-Provider jemand überlegt, wie eine sichere Architektur aussehen könnte. Es scheint, als hätten da immer andere Teams die Integration mit Drittanbietern oder für Zahlungsanbieter gebaut. Sonst hätte man gemerkt: "Oh, wir benutzen da die User-ID zur Authentifizierung, aber die geben wir ja an anderer Stelle ja auch aus."
Session-IDs per API abrufbar
Wurden da für den Schutz persönlicher Daten die richtigen Werkzeuge eingesetzt?
GraphQL ist ja nur eine andere API-Technologie als etwa eine Restful-API. Man kann mit jeder API-Technologie etwas sicheres und sinnvolles bauen. In dem Fall hat man sich entschieden, das nicht zu tun, sondern einfach etwas zusammenzuhacken. Dass GraphQL selbstdokumentierend ist, sehe ich nicht als Problem. Man muss sich nur überlegen, wie man verifiziert, dass ein User Zugang zu einem bestimmten Datenobjekt hat. Da man GraphQL-Abfragen quasi unbegrenzt tief verschachteln kann, muss man das auf jeder Ebene prüfen. Zudem hat der Anbieter an einigen Stellen "security bei ID" und "security by session" verwendet. Das kann in Einzelfällen okay sein, aber nicht, wenn man die Session-ID an anderer Stelle über die API herausgibt.
Wo liegt dabei das Problem?
Manche sagen, wenn man eine genügend lange, einmalige und zufällige ID hat, dann kann man die ja nicht erraten, und man müsste so eine UUID nicht zusätzlich absichern. Ich sehe das generell recht kritisch. Gleichzeitig hat der Anbieter auch Datenbanken zusammengeführt, und darin gab es dann Personen, die eine Ziffer zwischen 1 und 1 Million als ID hatten. Die hat man ins selbe System geholt, und das ist dann besonders absurd: Zum einen sind die IDs an vielen Stellen offengelegt, und zum anderen kann man sie zum Teil einfach weiterzählen. Die eingesetzten Werkzeuge waren also nicht das Problem, sondern dass man damit nicht umgehen konnte.
Welche Rolle spielen da die Drittanbieter, von denen Sie ja auch Daten kopieren konnten?
Auch die hatten nicht das beste Sicherheitskonzept, denn sie haben User auf Basis der ID von the mill authentifiziert. "Security-by UUID" kann schon okay sein, wenn man es bei einem in sich geschlossenen System macht, bei dem man alles kontrolliert. Aber gerade wenn man Software baut, die dazu dient, sie in andere Systeme zu integrieren, sollte man sich nicht darauf verlassen. Da hätten auch die Drittanbieter mehr drauf achten müssen, damit man sich nicht auch bei ihnen verifizieren und dort Daten kopieren kann.
Responsible Disclosure war keine Option
Wie lief die Meldung an die GGL ab, und warum gab es kein Responsible Disclosure an den Betreiber direkt?
Ich habe mich in diesem Fall konkret dafür entschieden, mit der Aufsichtsbehörde zusammenzuarbeiten. Das musste ich auch, weil ich Zugriff auf die LUGAS-Referenzen hatte. Diese erlauben es, bei der GGL ganz viele Daten zu den Spielern abzurufen. Die GGL betreibt einen Safe-Server, an den jeder Anbieter jede Interaktion eines Spielers pseudonymisiert melden muss. Jede Ein- und Auszahlung, jedes Spiel, jeder Gewinn oder Verlust wird in Echtzeit an die GGL gesendet. Über eine DSGVO-Anfrage mit meiner LUGAS- oder Player-ID gibt die GGL mir dann einen Datensatz. Wenn diese IDs öffentlich sind, kann ich mir die Daten von jedem anderen Spieler holen. Das bedeutet: Die GGL, eine öffentliche Behörde, ist in diesen Datenschutzvorfall involviert.
Was ist danach passiert?
Die GGL hat Merkur öffentlich abgemahnt. Laut der Abmahnung hat Merkur den gesetzlich vorgeschriebenen jährlichen Pen-Test nicht ordentlich durchgeführt. Selbst ich dürfte den formal nicht durchführen, da gibt es genaue Vorgaben. Ich finde: Wenn man überhaupt Glücksspiel in Deutschland zulassen möchte, sollte man sich zumindest an die sehr niedrigen rechtlichen Vorgaben halten. Wir reden hier nicht von ein paar versehentlich offen gelassenen Sicherheitslücken, sondern: Man hat sich einen Dreck um die Sicherheit der Daten der Spieler geschert. Zudem bestand die Gefahr, dass die GGL eventuell keine Beweise hätte sichern können, wenn ich zuerst mit einem Responsible Disclosure auf den Anbieter zugegangen wäre. Auch rechtlich gesehen beherrscht eine Behörde die Beweissicherung besser als ich.
Und wann kam dann der Anbieter ins Spiel, welcher die Spieler ja zuerst informiert hat?
Die GGL hat meinen Report genommen, ihn nachvollzogen, einen neuen Report geschrieben, und der ging an den Anbieter. Der Anbieter hat sich dann entschlossen, das öffentlich zu machen, die Lücken zu schließen, und die Spieler zu informieren. Das heißt aber auch, dass der Anbieter sich von seiner Seite aus nicht auf einen Responsible-Disclosure-Prozess eingelassen hat. Man hat mir zum Beispiel nicht schriftlich bestätigt, dass man den Report erhalten hat, es gab nur einen telefonischen Kontakt, das war's dann.
Spieler nutzen privateste Dokumente zur Legitimation
Warum haben manche Spieler private Unterlagen bis hin zu Schreiben der Arbeitsagentur hochgeladen?
Mit KYC-Verfahren soll festgestellt werden, wer jemand ist und wo er lebt. Wenn jemand einen deutschen Personalausweis hat, ist das einfach zu beantworten. Viele Menschen, die bei Online-Casinos spielen wollen, haben das aber vielleicht nicht, sondern beispielsweise einen anderen europäischen Ausweis oder andere Dokumente. Der Anbieter muss aber die Adresse feststellen. Wenn ich legal auf einer in Deutschland regulierten Plattform spielen will, muss ich beweisen, dass ich gerade in Deutschland lebe. Das kann ich machen, indem ich Dokumente hochlade. Wenn ich zum Beispiel einen Brief von meiner Bank habe, dann ist die Wahrscheinlichkeit hoch, dass ich unter dieser Adresse lebe – zumindest für die Casinos ist das wohl hoch genug. Die Spieler laden da aber alles Mögliche hoch, von ungeschwärzten Kontoauszügen über Schreiben von der Arbeitsagentur bis hin zu medizinischen Diagnosen. Nur um sich zu legitimieren und damit spielen zu können. Der Anbieter hat da offenbar nicht nachgesehen, sondern alles gespeichert. Und nach meiner Meinung sind da auch besonders sensible Daten im Sinne von Paragraph 9 DSGVO darunter.
Wer könnte dafür die Verantwortung tragen?
Das ist natürlich zum einen ein Problem bei Merkur, aber auch dessen KYC-Anbieter. Der müsste aus meiner Sicht auch eingreifen, wenn da so sensible Daten hochgeladen werden. Die dürfen auch nicht online zugänglich sein. Es geht einfach gar nicht, dass man sich mit einem Namen und einer Spieler-ID anmelden kann, und dann Zugriff auf einen KYC-Prozess hat. der mehrere Jahre alt ist. Allenfalls könnte man so etwas für den Fall einer Betriebsprüfung in einem Cold Storage aufbewahren, aber keinesfalls so, wie das hier geschehen ist.
Was war denn eigentlich die Idee von KYC fĂĽr legale GlĂĽcksspiele?
Grundsätzlich ist es gut, dass man KYC-Verfahren nutzt, um damit Geldwäsche einzudämmen, Spielerschutz zu gewährleisten, und dafür zu sorgen, dass nicht sehr junge Menschen spielen. Auch die Limits sollen so durchgesetzt werden – mehr als 1.000 Euro im Monat sollte man in der Regel nicht online verspielen dürfen. Wir wissen, dass Spielsucht ein großes Problem ist.
Warum bezeichnen Sie GlĂĽcksspiel in ihrem Blog generell als Blackbox?
Seit der Legalisierung von Online-Glücksspielen werden zwar von staatlicher Seite eine Menge Daten über die GGL-Safe-Server gesammelt, aber nicht für Forschung genutzt. Das finde ich höchst kritisch. Wir legalisieren etwas, das stark süchtig machend ist, und erfassen dann die Daten, werten sie aber nicht aus. Es ist in der Forschung und in der Glücksspielbranche bekannt, dass die Anbieter 70 bis 90 Prozent ihrer Einnahmen mit einem kleinen Anteil der Spieler verdienen. Das kann Spielsucht oder zumindest ein problematisches Spielverhalten sein. Die Anbieter haben aber ein großes Interesse daran, dass diese Leute weiterspielen. Eigentlich wäre es Aufgabe des Staates, problematisches Spielverhalten zu mitigieren.
Passiert da wirklich nichts?
Es gibt staatlich geförderte Studien wie den Glücksspielatlas. Da setzen sich Forscher hin, und machen Umfragen. Wenn da, wie beim Glücksspielatlas 2023, herauskommt, dass viele Menschen ein Spielproblem haben, kommt die Industrie und sagt: Die Daten stimmen gar nicht! Der Staat hat aber alle Daten und könnte das verifizieren. Jetzt haben wir aber Daten aus vielen Casinos. Meine Hoffnung ist, dass ich die Daten Wissenschaftlern oder großen Medienhäusern übergeben kann, damit wir eine datenbasierte Debatte über das gesamte Thema Glücksspiel führen können.
(nie)