Glücksspiel

Ich schon wieder mit einem Thema, das den Fußball „nur“ von der merkantilen Seite her betrifft. Lilith Wittmann hat bei einem Online Spielcasino die frei zugänglichen Daten heruntergeladen. Und stellt diese jetzt für Untersuchungen bzgl. des Suchtpotentials und der Wirksamkeit der Maßnahmen dagegen der Wissenschaft zur Verfügung.
https://lilithwittmann.medium.com/casinonutzer-der-merkur-gruppe-verlieren-nicht-nur-ihr-geld-sondern-auch-ihre-daten-ef6710184f7c

Die Daten waren nach Wittmanns eigenem Artikel nicht frei zugänglich, sondern nur absolut unzureichend geschützt. Das Stehlen dieser höchstpersönlichen Daten verstößt gegen geltendes Recht. Wittmann grüßt auch noch höhnisch einige Nutzer, deren Bankkontodaten sie abgesaugt hat. Sie erlaubt sich das, weil sie diese Leute (Manager illegaler Casinos) als moralisch diskreditiert ansieht. So wichtig das Thema ist, Wittmann ist nicht weniger widerlich als diejenigen, die sie attackiert. Hier hat eine Sau einer andern Sau in den Trog gespuckt und verkauft das auch noch als der Wissenschaft dienlich. Leidtragende sind die Nutzer, die jetzt neben ihrem Geld auch noch ihre Daten verloren haben.

Rechtslage gemäß BDSG und DSGVO

1. Strafbarkeit nach § 42 BDSG:

• Wenn nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen ohne Berechtigung veröffentlicht oder Dritten zugänglich gemacht werden, kann dies mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe geahndet werden, insbesondere wenn gewerbsmäßig gehandelt wird

• Selbst wenn keine gewerbsmäßige Absicht vorliegt, ist das unbefugte Verarbeiten oder Erschleichen solcher Daten strafbar, wenn dies mit der Absicht geschieht, sich zu bereichern oder andere zu schädigen

2. Meldepflicht gemäß Art. 33 DSGVO:

• Datenschutzverletzungen müssen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht

• Das unbefugte Offenlegen oder Weitergeben von personenbezogenen Daten kann als Datenschutzverletzung gelten und rechtliche Konsequenzen nach sich ziehen.

Ich sehe hier keinen Punkt der zutrifft. Aus dem Artikel ist nicht ersichtlich, dass die Daten einer großen Anzahl an Personen zugänglich gemacht wurden oder weitergegeben wurden (außer an die Behörden natürlich).

Mein Mitleid mit Leuten, die (vermeintlich) illegale online casions betreiben und Software einsetzen, denen Datenschutz offensichtlich egal ist, hält sich in Grenzen. Aber das muss ja jede/r für sich entscheiden.

Wittmanns Verhalten wie von ihr geschildert ist strafbar nach § 202a StGB und Art. 83 V DSGVO (https://www.gesetze-im-internet.de/stgb/__202a.html und https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679&qid=1742044280332).
Dass sie um 202a StGB weiß, merkt man schon daran, dass sie mehrmals versucht, das Eindringen in den Server über die GraphQL Schnittstelle in „öffentlich zugänglich“ umzudeuten, was ziemlich daneben ist, ihr aber erlaubt, die eher falsche Hoffnung zu hegen, nichts illegales getan zu haben.

„Mitleid mit den Betreibern der Casinos“? Sorry, das interpretierst Du gegen seinen Wortlaut in meinen Post hinein. Ich habe Mitleid mit den Nutzern der Plattform geäußert. Deren Daten fliegen jetzt bei jemanden rum, auf deren Integrität ich nicht zu viel geben würde.

Und bezüglich der Verbreitung der Daten: diese Daten ‚wissenschaftlich nutzbar‘ zu machen, was sie angekündigt hat, bedeutet - wenn ernstgemeint - tatsächlich öffentlicher Zugang zu den Daten. Wissenschaft kann nicht anders, als alle Fakten der Forschung offen zu legen. Allerdings hier ohne Einverständnis der betroffenen Plattformnutzer und daher illegal.

Ansonsten sind ihre Ziele okay, nur die Mittel und ihre offensichtliche Selbstwahrnehmung halte ich für bedenklich.

Lilith Wittmann ist ja nicht irgendjemand, das ganze wurde ja unter responsible Disclosure gemacht und die Daten werden aus diesem Umfeld ja auch nicht nachverfolgbar auf die einzelnen Nutzer der Wissenschaft zur Verfügung gestellt. Ich würde auch von der Glücksspielbehörde erwarten, dass diese die Daten anonymisiert erhebt und der Forschung zur Verfügung stellt. Frau Wittmann hat im Text eine ähnliche Erwartung. Ich würde von der Glücksspielbehörde auch erwarten dass sie mehr darauf schaut, dass Arbeitslosengeldempfänger nicht wetten dürfen. Einfach darauf bestehen, dass die Daten für Stichproben (besser noch vollständig) der Aufsichtsbehörde zur Verfügung stehen.

Das und die ständige Förderung nach mehr Sicherheit für die Onlinenutzer sind ja der Hintergrund dieser Aktion.

Die Häme von Lilith bezog sich auf die Abschöpfer der Gewinne der illegalen Casinos, was eventuell auch deren Betreiber sein könnten. Die illegalen Casinos wurden ja auch den Behörden gemeldet.

Das will ich alles nicht bestreiten und die Zielsetzung teile ich ja auch. Aber responsible disclosure legalisiert nicht, was sie gemacht hat. Die Daten gehören nicht in ihre Hände. Das Illegale mit Zielsetzung und Moral rechtfertigen, kann jeder, da findet sie viele Mitstreiter auch in politischen oder gesellschaftlichen Ecken, die sie wahrscheinlich gar nicht angenehm findet. Die Häme ist in der Tat nicht der Punkt, da habe ich zu sehr auf Form statt Inhalt geachtet.

Nur wenn responsible disclosure, es nicht legalisiert(ja die Rechtslage ist da schwierig und meiner Meinung nach falsch), dann hast Du bald nur noch Black Hat Hackers.
Ein Nebenaspekt wäre dabei auch, dass es keine Sicherheitsforschung mehr gäbe.
Hacker sind ja in der Regel auch Pentester. Um Erfahrung zu sammeln, was sie in ihrem nächsten Job testen können sind sie geradezu darauf angewiesen in der „freien Wildbahn“ sich umzuschauen.

Eine Möglichkeit das zu kanalisieren und zu legalisieren könnte sein, PenTesting und Lückenforschung auf eine staatliche Stelle zu übertragen. Aber dafür fehlt der politische Wille, das staatliche Budget und selbst die Anbieterseite ist über so einen Vorschlag nicht glücklich. (In etwa so wie viele Imbissbuden die Lebensmittelkontrollen des Ordnungsamts lieben)

Und ja ich bin ein großer Kritiker der Glücksspielbranche, vor allem wenn es um quasi unendliche Einsätze geht.

Bitte mal nachprüfen, bevor man sowas schreibt mal Bitte informieren wer für was überhaubt zuständig ist:
Gemeinsame Glücksspielbehörde der Länder

Die haben mit Arbeitslosengeldempfänger gar nix am Hut, gehört auch nicht zu deren Aufgabenbereich.

Auf einer Homepage für Infos über Sozialleistungen habe ich folgendes gefunden:
" Glücksspielverbot für ALG-Empfänger? – Fall aus dem Jahr 2011

Grundsätzlich darf jeder Mensch in Deutschland lizensierte und legale Glücksspielangebote wahrnehmen. Dennoch sieht das Glücksspielgesetz einige Maßnahmen vor, um bedrohte und suchtanfällige Spieler zu schützen. Generell sollen deutsche Bürger nicht über ihre finanziellen Verhältnisse spielen dürfen.

Diese Faustregel war der Knackpunkt eines Rechtsstreits im Jahr 2011 zwischen West-Lotto und Tipico. Das Landesgericht Köln entschied damals, dass Menschen mit geringem Einkommen oder Schulden vom Glücksspiel ausgeschlossen werden sollen. Das Urteil wurde allerdings in höherer Instanz vom Oberlandesgericht gekippt. Somit ist es also auch Menschen, die Hartz 4 oder andere Sozialhilfen beziehen, erlaubt, am Glücksspiel teilzunehmen.

Die Richter des Oberlandesgericht kippten das Urteil aus erster Instanz, da in ihren Augen ein pauschales Verbot glücksspielerischer Aktivitäten für Empfänger von Sozialleistungen nicht gesetzeskonform war. Zwar sollen arme, überschuldete und einkommensschwache Menschen vor den potenziellen Gefahren des Glücksspiels geschützt werden, dafür bedarf es jedoch einer individuellen Prüfung. ALG-Empfänger allesamt abzuweisen war nach Meinung des Gericht eine Form der Diskriminierung."

Es wurde also mal über sowas geurteilt, aber so eine Einzellfallprüfung ist nun mal nicht machbar und würde vermutlich sehr schwer vor Gericht durchsetzbar sein, da hier am Ende eine sehr starke Grundrechteinschränkung vorliegt.

Naja, doch ich würde erwarte, dass jemand der wetten will eine Schufa-Auskunft abgeben muss. Die Datenbank dafür müsste imho die Glücksspielbehörde führen.
Jeder kleine Junkie wird in die Illegalität getrieben, wird gezwungen sich gestreckten Stoff in den Körper zu ballern, weil der Staat gegen Sucht handeln will.
Aber beim Glücksspiel darf man sich grenzenlos Verschulden, die Arbeit aufgeben um mehr Zeit zum wetten zu haben.

Soll man dann auch jedes Mal, wenn man sich nen Lotto Schein kauft oder n Jahreslos der Fernsehlotterie, eine Schufa Auskunft abgeben? Das ist doch ziemlich übertrieben.
Das einzige, was wirklich helfen würde, wäre Glücksspiel komplett zu verbieten.

Alle Prohibitionen haben bislang gezeigt, dass sie zu einer Suchtzunahme führen. Daher sollte es einfach geregelt werden, und Umgebungen der Regeln(z.B. bei den Glücksspielautomaten mit Sonder spielen etc.) sollten bestraft werden.
Nein natürlich soll man nicht für einen Lottoschein eine Schufa-Auskunft abgeben müssen, aber es sollte (eventuell anonymisiert) registriert werden wieviel Geld in einem gewissen Zeitraum verzockt wird.

Danke für deine Ausführung.
Der Bundesgerichtshof (BGH) hat klargestellt, dass ein Verstoß nach § 202a StGB nur vorliegt, wenn Zugangssicherungen überwunden werden. Bei versehentlich zugänglichen Daten ohne Schutzmaßnahmen ist der Tatbestand nicht erfüllt, selbst wenn es sich um sensible oder personenbezogene Daten handelt.
Hrr-Strafrecht, Strafrechtsiegen

Die Frage ist ja, ob die Daten besonders gesichert waren und diese Zugangssicherung überwunden wurde oder nicht. Kann ich nicht beurteilen.

Fair Point. Nach Art. 6 DSGVO ist die Verarbeitung von personenbezogenen Daten nur mit einer Rechtsgrundlage zulässig. Die Verwendung für wissenschaftliche Projekte könnte unter bestimmten Bedingungen rechtmäßig sein (z. B. Art. 89 DSGVO – Verarbeitung zu Forschungszwecken), jedoch erfordert dies in der Regel die Zustimmung der betroffenen Personen oder eine gesetzliche Grundlage.

Das sagt die BGH Entscheidung, die Du verlinkt hast, eigentlich nicht. Sie sagt eher das Gegenteil: " Vom Tatbestand ausgeschlossen sind lediglich solche Fälle, in denen die Durchbrechung des Schutzes für jedermann ohne weiteres möglich ist, nicht aber solche, in denen die Zugangssicherung aufgrund spezieller Kenntnisse oder Möglichkeiten im Einzelfall leicht überwunden wird". Für Wittmann war es ein leichtes, aber man kann wohl kaum behaupten, dass die Existenz der GraphQL Schnittstelle bzw. entsprechende Queries „Jedermann-Wissen“ sind. Die Schnittstelle ist eine Hintertür. Die andere Entscheidung, die Du verlinkt hast, ist eine Amtsgerichtsentscheidung, die keine Bedeutung über ihren Fall hinaus hat und auf einem Tatbestand zu beruhen scheint, wo das Passwort (bildlich gesprochen) an die Eingabemaske angeheftet war.

Da würde ich einiges drauf wetten (selbstverständlich nur bei legalen Buchmachern), denn Wittmann behauptet ja, dass die Daten öffentlich zugänglich war, weil die GraphQL Schnittstelle offen war. Dieses (offensichtlich falsche) Argument mit der Schnittstelle bräuchte sie nicht, wenn die Daten über den Vordereingang ungeschützt zugänglich gewesen wären.

Was mich halt ärgert ist, dass sie ihrem Anliegen schadet, weil sie glaubt, selbst über dem Recht zu stehen. Warum soll ich mich über illegale Wettbüros aufregen, wenn die Gegenseite auch nicht besser ist. Das frustriert. Wenn meine Daten bei einem dieser Wettbüros gelegen hätten, würde es mich anpissen, dass sie sie gestohlen hat. Und damit verliert man sogar bei den eigentlichen Opfern, sofern diese Spielsucht haben und Hilfe bräuchten.

Kennst Du Dich hier aus?

Dann hast Du bestimmt auch das hier schon gelesen:

https://www.heise.de/hintergrund/Man-hat-sich-einen-Dreck-um-die-Sicherheit-der-Daten-der-Spieler-geschert-10321798.html

Wenn Du Deine Wut über die Dame mal beseite schiebst, dann überlege ob Du gerne „ungeschwärzte Kontoauszügen über Schreiben von der Arbeitsagentur bis hin zu medizinischen Diagnosen“ von Dir von jahrealten Legitimationen auf Servern gespeichert hättest. Dies als Beispiel.

Eine Schnittstelle ist keine Hintertür, denn sie ist dazu da mit Diensten zu kommunizieren. Und wenn Du heute mal eine bekannte KI befragst, dann bekommst Du Code, mit dem Du diese öffentliche Schnittstelle auch befragen kannst.

Was hat das mit meinem Post zu tun? Wo widerspricht das meiner Missbilligung der Betreiber? Du tappst genau in die Moralfalle, die ich bei Wittmann kritisiere: die anderen sind so böse, da brauch ich mich um meine eigene Moral nicht zu kümmern. Und mich stellst Du indirekt als Supporter der Betreiber da, weil ich Wittmann kritisiere. Dabei ist das nun wirklich nirgendwo zu lesen, im Gegenteil. Aber das ist Teil der Moralfalle. Genauso Deine Frage, ob ich gewisse Dokumente auf gewissen Servern gespeichert haben möchte. Habe ich geschrieben, dass ich das toll finde? Nein, habe ich nicht. Ich habe geschrieben, dass ich es nicht toll finde, dass diese Dokumente jetzt auf einem Server mehr gespeichert sind. Dem von Wittmann. Bin ich da nicht klar genug gewesen? Mir kommt es so vor, als ob ich es war.

Da hast Du inhaltlich Recht, aber die Rechtsprechung hebt darauf ab, ob ein Schutzmechanismus implementiert war oder nicht. Dass jemand, der weiß, wie der Server funktioniert, problemlos reinkommt, ist da nicht von Belang. Aus dieser Sicht sind alle Schnittstellen potentielle Hintertüren, denn falsch konfiguriert lassen sie sich missbrauchen. Ist ja auch bei einer Vielzahl großer Hacks in der Vergangenheit so passiert. Es wird in der Tat interessant sein zu sehen, ob die Verfügbarkeit der KI für alle die Anforderungen der Rechtsprechung an das Tatbestandsmerkmal „Durchbrechung des Schutzes“ erhöht. Die Anforderungen an die Systemadministratoren wird das auf jeden Fall erhöhen (oder hat es schon).

Ist Dir der Ablauf des Prozederes klar, wenn eine Sicherheitslücke gefunden wird und man dies dem Betreiber mitteilen will? Das geht nicht so einfach, da sehr viele erst einmal die Gegenoffensive (u. a. Anwälte) wählen. Firewall-Appliances sind hier oft in den Medien. Aber das führt zu weit.

Das ist nicht so. Wenn ich durch einfache Abfrage der API dieses Forums (ja, die hat es) Deine E-Mail-Adresse erfahren würde und Dich dann mal anschreibe, wenn würdest Du verantwortlich machen?

Meinen Absatz zu den Dokumenten nehme ich zurück, doch Deinen Einwurf der Moralfalle entlockt mir nur ein Schulterzucken.
Wer unsichere Systeme ins Netz stellt und dadurch sensiblen Daten zugänglich macht, der sollte sich verantwortlich zeigen.

Naja, schon Dich für den kriminellen Part. Über die Forumsbetreiber würde ich mich nur ärgern. Vielleicht hätte ich einen zivilrechtlichen Anspruch gegen sie, ist mir aber jetzt egal. Was ist denn, wenn Du das Haus verlässt, dabei die Vordertür abschließt, aber hinten die Tür zum Garten nicht verriegelst oder gar offenlässt? Wenn da jemand hinten reinspaziert und was aus dem Haus rausnimmt: wer ist der Dieb? Wenn in Deinem Haus meine wertvolle Brieftasche läge und die auf diese wegkäme - wen zeigte ich bei der Polizei an? Dich doch nicht.

Wittmann wollte das nicht. Sie hat die Lücken nur den Behörden mitgeteilt (‚vorab‘) und dann die Daten abgesaugt, so verstehe ich den Artikel. Nirgends steht, dass sie den Betreibern den Gefallen tun wollte, sie auf ihre Sicherheitslücken aufmerksam zu machen.

Du scheinst irgendwie zu glauben, indem ich Wittmann angreife, verteidige ich automatisch die Betreiber. Meine These ist eher, dass da ein selbstgerechtes A ein paar anderen A auf die Füße tritt, aber dass die eigentlichen armen Schweine in der Geschichte nach dieser Keilerei schlechter dastehen als vorher, weil ihre Daten jetzt in den Händen beider A sind.

Fahr bitte in deiner Wortwahl gegenüber Lilith Wittmann mal runter, das ist ja nicht zu ertragen.

Danke Max, ich wollte schon gar nichts mehr schreiben, denn das Niveau ist schon tief.

Echtweltvergleiche mit IT sind meist schwierig, doch hier liegt ein Verständnisfehler vor. Ich probiere es hiermit:
Ich klingle öfter an Deiner Haustür und unterhalte mich mal mit Dir, mal mit anderen Bewohnern. Durch meine Fragestellung bekomme ich Informationen, welche ich beim nächsten Besuch einsetze um weitere Informationen zu erhalten. Und vielleicht bringe ich jemand dazu, mir sogar einfach die Brieftasche zu geben. Ich muss gar nicht in das Haus.

Um hier mehr Wissen aufzubauen, kann ich folgenden Podcast empfehlen:

https://www.heise.de/thema/Passwort_Podcast

Das ist jetzt aber schon nicht mehr Rasenfunk-Gebiet und ich schrieb das nur, da weiter oben gleich mit Paragraphen argumentiert wurde.

Nein, das tue ich nicht.

Ohne Personen wie Wittmann und andere möchte ich keine ePA haben.