Malta: Aufsichtsbehörde für internationale Online-Casinos- und Online-Wetten wurde gehackt

Bisher geheime Daten werden Medien und Strafverfolgern zur Verfügung gestellt

Die deutsche ethische Hackerin Lilith Wittmann hat sich öffentlich zu einem Cyberangriff auf die Malta Gaming Authority bekannt und in einem am 20. März 2026 auf X veröffentlichten Beitrag brisante Anschuldigungen gegen die Regulierungsbehörde erhoben.

Die MGA hatte zuvor einen „Einbruch in eines ihrer Systeme“ bestätigt und erklärt, dass erste Anzeichen darauf hindeuteten, dass der Vorfall von einer Person verübt wurde, die sich als Sicherheitsforscher ausgab.

Die Regulierungsbehörde gab bekannt, ihre internen Reaktionsprotokolle aktiviert und technische Ressourcen für eine umfassende Untersuchung bereitgestellt zu haben. iGaming Republic hatte bereits heute Morgen über den ersten Vorfall berichtet .

Hackerin geht an die Öffentlichkeit

In einem am Freitagnachmittag auf X veröffentlichten Beitrag gab Wittmann eine scharfe und kryptische Schilderung des Hacks und bestätigte, dass sie die erlangten Daten mit Medienpartnern und Behörden geteilt habe.

Wittmann schrieb direkt an die Aufsichtsbehörde:

„Sehr geehrte Malta Gaming Authority, ja, ich habe Sie gehackt, und die erlangten Daten wurden mit Medienpartnern und Behörden geteilt… Und ja, wir werden die von Ihnen geschaffenen Strukturen zur Unterstützung organisierter Kriminalität aufdecken, während Sie sich als ‚legitimer öffentlicher Dienst‘ ausgeben.“

Wittmann warnte zudem, dass jeder Versuch ihrer Auslieferung nach Malta die sofortige Freigabe ihres gesamten Archivs an iGaming-bezogenen Daten zur Folge hätte. Nach maltesischem Recht wird das Hacken eines öffentlichen Dienstes mit einer Freiheitsstrafe von bis zu zehn Jahren geahndet.

„Ich hoffe, die deutschen Behörden sind ausnahmsweise mal klug und liefern mich nicht nach Malta aus, wo mir wegen Hacking eines öffentlichen Dienstes bis zu zehn Jahre Haft drohen. Jede polizeiliche Maßnahme aus Malta würde zudem die sofortige Freigabe meines gesamten Archivs an iGaming-bezogenen Daten zur Folge haben.“

Wittmann erklärte, sie glaube, die Daten seien von so großer Bedeutung für das öffentliche Interesse , dass der Verstoß letztendlich als gerechtfertigt angesehen werden werde.

Sie gab keine weiteren Details zu bevorstehenden Veröffentlichungen im Zusammenhang mit dem bekannt, was sie als „von Ländern wie Malta unterstützte organisierte kriminelle Netzwerke“ bezeichnete, und bat darum, vorerst nicht kontaktiert zu werden.

„PS. Das Hacken der mga war genauso einfach wie das Hacken der CDU.“

MGA-Reaktion

Die MGA teilte Anfang dieser Woche mit, dass sie nach Feststellung des Sicherheitsverstoßes alle notwendigen Eindämmungs- und Abhilfemaßnahmen ergriffen habe und bestätigte, dass die Untersuchungen zur vollständigen Aufklärung des Sachverhalts und zur Gewährleistung aller erforderlichen Schutzmaßnahmen noch andauern.

Die Behörde erklärte, sie nehme die Angelegenheit sehr ernst und arbeite eng mit ihren technischen Teams und den zuständigen Behörden zusammen, um die Situation umfassend zu beurteilen.

Die MGA fügte hinzu, dass weitere Informationen für betroffene Unternehmen zu gegebener Zeit folgen werden. Die Aufsichtsbehörde äußerte sich zum Zeitpunkt der Veröffentlichung dieses Artikels nicht direkt zu den Vorwürfen gegen Wittmann im Zusammenhang mit organisierter Kriminalität.

Nicht ihr erstes Rodeo

Es ist nicht das erste Mal, dass Wittmann den iGaming-Sektor ins Visier nimmt. Im Februar 2025 entdeckte sie eine kritische Sicherheitslücke in den Online-Casino-Plattformen der Merkur Group, wodurch Daten zahlreicher Spieler offengelegt wurden. Sie meldete den Vorfall noch am selben Tag der deutschen Glücksspielbehörde GGL und veröffentlichte zwei Wochen später einen ausführlichen Blogbeitrag.

Nach dieser Untersuchung legaler und illegaler Online-Casinos behauptete Wittmann, dass der Softwareanbieter The Mill Adventure daraufhin den Zugang für nicht regulierte Betreiber kappte, was zur Schließung mehrerer in Deutschland tätiger, nicht lizenzierter Plattformen führte.

Das Muster der zunehmenden Zielsetzungen, von einem lizenzierten Betreiber bis hin zu einer nationalen Regulierungsbehörde, markiert eine bedeutende Verschiebung des Handlungsspielraums. Wittmann hat nicht bestätigt, ob ihre Aktivitäten als Generalagentin mit einer Strafverfolgungsbehörde koordiniert wurden, wie es im Fall der Merkur-Offenlegung der Fall war.

Was kommt als Nächstes?

Der Verstoß ereignet sich zu einem heiklen Zeitpunkt für Maltas Glücksspielindustrie. In diesem Sektor sind Unternehmen wie die Kindred Group, Betsson und LeoVegas ansässig; derzeit sind 304 Unternehmen von der MGA lizenziert und halten zusammen 312 Glücksspiellizenzen.

Die Branche erwirtschaftet eine geschätzte Bruttowertschöpfung von 714,4 Mio. € und beschäftigt über 14.000 Menschen, was 4,9 % der maltesischen Erwerbsbevölkerung entspricht.

Die Ermittlungen bringen die MGA in eine schwierige Lage. Die Behörde stand bereits zuvor wegen der Verbindungen ihrer Lizenznehmer zum organisierten Verbrechen in der Kritik.

Anfang 2024 beschlagnahmte die italienische Polizei Vermögenswerte in Höhe von 400 Millionen Euro von einer Person mit Verbindungen zur ‚Ndrangheta-Mafia. Der Mann soll über in Malta registrierte Unternehmen Online-Glücksspieldienste angeboten haben. Die MGA stellte damals klar, dass die Person keinerlei Verbindung zu einem in Malta lizenzierten iGaming-Unternehmen hatte.

Der Umfang und Inhalt der Datenschutzverletzung, einschließlich der Frage, auf welche Systeme zugegriffen und welche Daten entwendet wurden, wurde von keiner der Parteien offengelegt.

Die MGA hatte kürzlich ihre Aufsichtsprioritäten für 2026 veröffentlicht und darin einen risikobasierten, evidenzgestützten Ansatz skizziert, der sich auf Compliance, Spielerschutz und Integrität von Sportwetten konzentriert. Cybersicherheit wurde nicht als Hauptthema aufgeführt.

Wittmann hat angekündigt, dass weitere Veröffentlichungen folgen werden. Die MGA teilt mit, dass sie die betroffenen Stellen zu gegebener Zeit informieren wird.