Digitalisierungs-Fail 2: API-Theater mit Wittmann auf Malta

Veröffentlicht am 21. Mai 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Im gestrigen Beitrag Digitalisierungs-Fail 1: Klinik-Hammelburg-Webseite als Online-Kasino habe ich meine erste Story aus der Rubrik "Schwarzer Digitalisierungshumor, was kann schon schief gehen" präsentiert. Ich hab noch einen: Lilith Wittmann hat die API des Handelsregisters von Malta "kreativ" genutzt, um zu demonstrieren, wie man Digitalisierung nicht nutzt. Vorher hat Sie sich wohl mit Glückspiel-Seiten und Behörden "auf Malta" beschäftigt. Kleiner Blick, was schief gehen kann.

Malta, das Land der Glücksritter?

Mir ist die kleine Insel Malta einerseits als Urlaubs-Location ein Begriff (war aber noch nie da). Und ich weiß, dass viele Digital-Firmen da angesiedelt sind – aus Malta bekomme ich immer Anfragen, ob ich nicht für Online-Casinos werben wolle, gäbe fette Kohle.

Und es gibt die Malta Remote Gaming-License, die es dem Inhaber erlaubt, in Malta legal ein Glücksspiel-Unternehmen zu betreiben und ein Online Casino selber eröffnen zu können. Sorgt a "bisserl" für Zoff im "bräsigen" Deutschland, wenn ich diesem Artikel glauben schenken soll.

Mit Online-Casinos, da war doch was?

Herrgott Kerle, wir digitalisieren jetzt mal. Und Lilith Wittmann vom CCC immer mit dabei. Mir war doch was im Hinterkopf – ich hab gesucht und gefunden. So im März 2025 hatte Wittmann eine fette Sicherheitslücke bei drei Online-Glücksspielseiten der Merkur.com AG in Espelkamp, betrieben über einen Dienstleister auf Malta, offen gelegt. Sie hätte Zugriff auf auf Millionen Daten von Glücksspielern gehabt und die deutsche Glücksspiel-Aufsicht CGI informiert. Der WDR berichtete hier.

Maltas Gaming Authority am Wickel

Am 17. März 2026 wurde ein "Sicherheitsverstoß" von der der Malta Gaming Authority (MGA) eingestanden (das ist die Behörde, die die Glückspiel-Firmen in Malta und deren Lizenzen verwaltet). Die deutsche Sicherheitsforscherin Lilith Wittmann hat in einem öffentlichen Beitrag die Verantwortung für den Zugriff reklamiert.

Wittmann-Malta MGA

Ghacks hat zum Beispiel den Vorfall hier aufgegriffen. Weitere Beiträge gibt es hier und hier.

Lilith, versuch's nochmal

Für Digitalisierung brauchst Du eine API, und die sorgt für Ärger. Norddeutsch hatte im Diskussionsbereich einen Kommentar eingestellt, den ich mal hier hin ziehe.

Lilith Wittmann nutzt das API des Handelsregisters von Malta kreativ und Times of Malta berichtet. Das API der MBR – Malta Business Registry – sieht für den Download von Dokumenten Beträge zwischen 1€ und 10€ vor.

Heruntergeladen wurden laut Bericht 1,3 Millionen PDF – für einen Cent. Schon in 2022 untersuchte Lilith das Deutsche (kostenfrei gewordene) Handelsregister (siehe Medium).
Auf Chaos Social gibt es etwas Hintergrund von Lilith. Einen beispielhaften Screenshot Thema API hier, dies als JSON mit der Variable "amount" und Wert 0.01.

Ob hier die EU-Direktive 2019/1024 (PDF, wikimedia) greift mag ich abschließend nicht beurteilen. Die Malta Times beziffert den minimalen Wert des Downloads mit 1,3 Millionen Euro. Die Open-Data-Direktive fordert in Artikel 6,Abs.1 das Prinzip "free of charge", schliesst marginale Kosten jedoch nicht aus, Punkt 36 (S.9) ebenso. Punkt 69 (S.16) fordert neben "free of charge" weiterhin ein API.

Die Tweets von Wittmann vom 4. Mai 2026 finden sich nachfolgend und skizzieren den Vorfall. Gibt "Zoff", wie dieser Tweet vom 20. Mai 2026, in dem Wittmann gegen die Behörde nachlegt, zeigt.

Scheint so, dass "Digitalisierung sicher betreiben" schwieriger als "ein Sack Flöhe hüten" zu sein scheint. Und damit niemand meint, sind nur die Behörden auf Malta sind so unfähig – gerade beim Schreiben der beiden Beiträge hat mich ein Leser auf Facebook auf den Beitrag CISA left 844 MB of plaintext passwords and AWS tokens on public GitHub for six months hingewiesen. Ist doch "lustig", was kann schon schief gehen. Damit packe ich für heute meinen "schwarzen Humor" ein und verweise auf die Diskussionen zu meinem gestrigen Blog-Beitrag Petition "Leben ohne Digitalzwang ins Grundgesetz!" bis 21. Mai 2026 zeichnen, wo es einigen Leuten mit der Digitalisierung im Neuland Deutschland nicht schnell genug gehen kann.

Artikelreihe:
Digitalisierungs-Fail 1: Klinik-Hammelburg-Webseite als Online-Kasino
Digitalisierungs-Fail 2: API-Theater mit Wittmann auf Malta

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.