Die Malta Gaming Authority (MGA) ist Opfer eines Sicherheitsvorfalls geworden. Die deutsche IT-Sicherheitsexpertin Lilith Wittmann hat inzwischen öffentlich erklärt, für den Angriff auf Systeme der maltesischen Glücksspielaufsicht verantwortlich zu sein. Nach eigenen Angaben verschaffte sie sich dabei Zugriff auf sensible Daten, darunter Unterlagen aus dem Compliance-Bereich von Anbietern sowie Spielerdaten.

Lilith Wittmann, die sich selbst als ethische Hackerin bezeichnet, erhob in einem inzwischen gelöschten Social-Media-Beitrag zudem schwere Vorwürfe gegen die Behörde. Sie behauptete, über Material zu verfügen, das Verbindungen zwischen der Regulierungsbehörde und Strukturen der organisierten Kriminalität im maltesischen Glücksspielsektor belegen solle. Belege dafür legte sie öffentlich zunächst nicht vor.

Die MGA hatte bereits am 17. März in einer öffentlichen Stellungnahme erklärt, in einem ihrer Systeme einen Sicherheitsverstoß festgestellt zu haben. Nach Angaben der Behörde wurden umgehend Maßnahmen ergriffen. Der Vorfall werde mit „größter Ernsthaftigkeit“ behandelt. Nähere Angaben dazu, welche konkreten Daten betroffen sind oder in welchem Umfang Informationen abgerufen wurden, machte die Behörde jedoch nicht.

Am 20. März bekannte sich Wittmann dann in einem weiteren Beitrag ausdrücklich zu dem Angriff. Darin kündigte sie an, die aus ihrer Sicht von der MGA geschaffenen Strukturen zur Unterstützung organisierter Kriminalität offenlegen zu wollen. Diese Darstellung weist die Behörde entschieden zurück.

In einer Folgeerklärung verurteilte die MGA das Vorgehen der Sicherheitsforscherin scharf. Ein solches Verhalten sei inakzeptabel und mit einem rechtmäßigen Umgang mit öffentlichen Institutionen und etablierten Governance-Strukturen nicht vereinbar, hieß es. Zugleich betonte die Aufsicht, die gegen sie erhobenen Vorwürfe seien unbegründet und würden ihre Rolle als Regulierungsbehörde nicht infrage stellen. Man handle innerhalb eines soliden rechtlichen und regulatorischen Rahmens sowie mit Integrität, Unabhängigkeit und Rechenschaftspflichten.

Für Beobachter der Branche ist Wittmann keine Unbekannte. Bereits im März 2025 war sie mit einem gravierenden Datenleck bei deutschen Glücksspielseiten in Verbindung gebracht worden. Damals ging es um ungesicherte API-Schnittstellen, über die laut Berichten rund 800.000 Spielerkonten offengelegt worden sein sollen. Der Vorfall löste damals eine Debatte über die Sicherheitsstandards von Glücksspielanbietern und deren technischen Dienstleistern aus. Auch die Rolle der Aufsicht geriet dabei in den Fokus.

Mit dem aktuellen Fall bei der MGA rückt das Thema Cybersicherheit im regulierten Glücksspiel erneut in den Mittelpunkt. Unabhängig von den Vorwürfen gegen die maltesische Behörde zeigt der Vorfall, wie sensibel regulatorische Systeme sind und welche Folgen Sicherheitslücken für Anbieter, Behörden und Spieler haben können. Ob Wittmanns weitergehende Anschuldigungen Substanz haben, dürfte nun auch davon abhängen, welche Ergebnisse die weiteren Untersuchungen liefern.