Malta Gaming Authority bestätigt Systemverstoß, öffentlicher Claim von Lilith Wittmann

Die Malta Gaming Authority hat am 17. März 2026 einen Systemverstoß in einem ihrer Systeme bestätigt. Am 20. März 2026 folgte ein zweites Statement zu unbefugtem Zugriff und zu öffentlichen Behauptungen im Zusammenhang mit dem Vorfall. Parallel dazu beansprucht die deutsche Sicherheitsforscherin Lilith Wittmann in einem öffentlichen Beitrag die Verantwortung. Offiziell bestätigt ist damit der Zugriff auf ein System der Behörde. Nicht offiziell bestätigt ist bislang, welche Daten konkret betroffen sind und wie weit ein möglicher Datenabfluss reicht.

MGA bestätigt den Vorfall und reagiert mit einem zweiten Statement

In ihrem ersten Statement vom 17. März erklärte die Behörde, dass sie einen Verstoß in einem ihrer Systeme erkannt und sofort interne Reaktionsprotokolle aktiviert habe. Die MGA teilte mit, dass Eindämmungs und Abmilderungsmaßnahmen eingeleitet wurden und technische wie operative Ressourcen in die Untersuchung fließen. Schon in dieser Mitteilung verwies die Behörde darauf, dass die Aktivität nach damaligem Stand mit einer Person in Verbindung stehen könnte, die sich als Sicherheitsforscher ausgibt.

Am 20. März legte die Behörde nach. In diesem zweiten Statement erklärte die MGA, dass ihr öffentliche Aussagen einer Person bekannt seien, die die Verantwortung für den unbefugten Zugriff auf eines ihrer Systeme beansprucht. Zugleich verurteilte die Behörde jede Entnahme, Verarbeitung oder Verbreitung von Daten aus einem solchen Vorgang und bezeichnete die in diesem Zusammenhang erhobenen Vorwürfe als unbelegt. Die Untersuchung läuft nach Angaben der MGA weiter.

Öffentlich beansprucht wurde die Verantwortung von Lilith Wittmann. In einem öffentlich auffindbaren LinkedIn Beitrag schrieb sie, sie habe die Malta Gaming Authority gehackt und Informationen an Medienpartner und Behörden weitergegeben. Diese Darstellung stammt von Wittmann selbst. Die MGA hat den Namen in ihren Statements nicht genannt und die Inhalte der Vorwürfe nicht bestätigt.

Warum der Vorfall für Malta und den europäischen Glücksspielmarkt heikel ist

Der Fall trifft nicht irgendeine Behörde. Die Malta Gaming Authority gehört zu den wichtigsten Aufsichtsstellen für das europäische Online Glücksspiel. Ende Juni 2025 standen laut dem offiziellen Zwischenbericht 304 lizenzierte Unternehmen unter ihrer Aufsicht. Diese hielten zusammen 312 Glücksspiellizenzen. Zugleich arbeiteten rund 14.797 Menschen in Malta bei MGA lizenzierten Betreibern. Ein bestätigter Systemverstoß auf Ebene dieser Behörde berührt damit nicht nur IT Sicherheit, sondern auch Vertrauen, Compliance und Aufsicht über einen zentralen Teil des Marktes. Internationale Marken, die Spieler aus Europa unter MGA Casinos kennen, hängen direkt oder indirekt an diesem Regulierungsrahmen.

Offen bleibt bisher der wichtigste Punkt. Die MGA hat zwar den Zugriff auf ein System bestätigt, bisher aber keine Details dazu veröffentlicht, welches System konkret betroffen war und ob sensible Betreiber, Lizenz oder Personendaten tatsächlich abgeflossen sind. Genau diese Unsicherheit macht den Vorgang so brisant. Solange der technische Umfang des Vorfalls unklar bleibt, wächst der Druck auf die Behörde, die Reichweite des Zugriffs, mögliche Folgen für Lizenznehmer und den Umgang mit eventuellen Datenabflüssen klarer einzuordnen.