{"id":325179,"date":"2026-05-21T00:04:07","date_gmt":"2026-05-20T22:04:07","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325179"},"modified":"2026-05-21T00:37:07","modified_gmt":"2026-05-20T22:37:07","slug":"schwarzer-digitalisierungshumor-api-theater-mit-wittmann-auf-malta-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/21\/schwarzer-digitalisierungshumor-api-theater-mit-wittmann-auf-malta-teil-2\/","title":{"rendered":"Digitalisierungs-Fail 2: API-Theater mit Wittmann auf Malta"},"content":{"rendered":"

\"SicherheitIm gestrigen Beitrag Digitalisierungs-Fail 1: Klinik-Hammelburg-Webseite als Online-Kasino<\/a> habe ich meine erste Story aus der Rubrik \"Schwarzer Digitalisierungshumor, was kann schon schief gehen\" pr\u00e4sentiert. Ich hab noch einen: Lilith Wittmann hat die API des Handelsregisters von Malta \"kreativ\" genutzt, um zu demonstrieren, wie man Digitalisierung nicht nutzt. Vorher hat Sie sich wohl mit Gl\u00fcckspiel-Seiten und Beh\u00f6rden \"auf Malta\" besch\u00e4ftigt. Kleiner Blick, was schief gehen kann.<\/p>\n

<\/p>\n

Malta, das Land der Gl\u00fccksritter?<\/h2>\n

\"\"Mir ist die kleine Insel Malta einerseits als Urlaubs-Location ein Begriff (war aber noch nie da). Und ich wei\u00df, dass viele Digital-Firmen da angesiedelt sind – aus Malta bekomme ich immer Anfragen, ob ich nicht f\u00fcr Online-Casinos werben wolle, g\u00e4be fette Kohle.<\/p>\n

Und es gibt die Malta Remote Gaming-License, die es dem Inhaber erlaubt, in\u00a0Malta<\/em>\u00a0legal ein\u00a0Gl\u00fccksspiel<\/em>-Unternehmen zu betreiben und ein Online Casino selber er\u00f6ffnen zu k\u00f6nnen. Sorgt a \"bisserl\" f\u00fcr Zoff im \"br\u00e4sigen\" Deutschland, wenn ich diesem Artikel<\/a> glauben schenken soll.<\/p>\n

Mit Online-Casinos, da war doch was?<\/h3>\n

Herrgott Kerle, wir digitalisieren jetzt mal. Und Lilith Wittmann vom CCC immer mit dabei. Mir war doch was im Hinterkopf – ich hab gesucht und gefunden. So im M\u00e4rz 2025 hatte Wittmann eine fette Sicherheitsl\u00fccke bei drei Online-Gl\u00fccksspielseiten der\u00a0Merkur.com AG in Espelkamp, betrieben \u00fcber einen Dienstleister auf Malta, offen gelegt. Sie h\u00e4tte Zugriff auf auf Millionen Daten von Gl\u00fccksspielern gehabt und die deutsche Gl\u00fccksspiel-Aufsicht CGI informiert. Der WDR berichtete hier<\/a>.<\/p>\n

Maltas Gaming Authority am Wickel<\/h3>\n

Am 17. M\u00e4rz 2026 wurde ein \"Sicherheitsversto\u00df\" von der der Malta Gaming Authority (MGA) eingestanden (das ist die Beh\u00f6rde, die die Gl\u00fcckspiel-Firmen in Malta und deren Lizenzen verwaltet). Die deutsche Sicherheitsforscherin Lilith Wittmann hat in einem \u00f6ffentlichen Beitrag<\/a> die Verantwortung f\u00fcr den Zugriff reklamiert.<\/p>\n

\"Wittmann-Malta<\/a><\/p>\n

Ghacks hat zum Beispiel den Vorfall hier aufgegriffen<\/a>. Weitere Beitr\u00e4ge gibt es hier<\/a> und hier<\/a>.<\/p>\n

Lilith, versuch's nochmal<\/h2>\n

F\u00fcr Digitalisierung brauchst Du eine API, und die sorgt f\u00fcr \u00c4rger. Norddeutsch hatte im Diskussionsbereich einen Kommentar eingestellt, den ich mal hier hin ziehe.<\/p>\n

Lilith Wittmann nutzt das API des\u00a0Handelsregisters von Malta<\/b>\u00a0kreativ und\u00a0Times of Malta<\/a>\u00a0berichtet. Das API der MBR \u2013 Malta Business Registry \u2013 sieht f\u00fcr den Download von Dokumenten Betr\u00e4ge zwischen 1\u20ac und 10\u20ac vor.<\/p>\n

Heruntergeladen wurden laut Bericht 1,3 Millionen PDF \u2013 f\u00fcr einen Cent. Schon in 2022 untersuchte Lilith das Deutsche (kostenfrei gewordene) Handelsregister\u00a0(siehe Medium)<\/a>.
\nAuf\u00a0Chaos Social<\/a>\u00a0gibt es etwas Hintergrund von Lilith. Einen beispielhaften Screenshot\u00a0Thema API hier<\/a>, dies als JSON mit der Variable \"amount\" und Wert 0.01.<\/p>\n

Ob hier die EU-Direktive 2019\/1024 (PDF, wikimedia<\/a>) greift mag ich abschlie\u00dfend nicht beurteilen. Die Malta Times beziffert den minimalen Wert des Downloads mit 1,3 Millionen Euro. Die Open-Data-Direktive fordert in Artikel 6,Abs.1 das Prinzip \"free of charge\", schliesst marginale Kosten jedoch nicht aus, Punkt 36 (S.9) ebenso. Punkt 69 (S.16) fordert neben \"free of charge<\/i>\" weiterhin ein API.<\/p><\/blockquote>\n

Die Tweets<\/a> von Wittmann vom 4. Mai 2026 finden sich nachfolgend und skizzieren den Vorfall. Gibt \"Zoff\", wie dieser Tweet<\/a> vom 20. Mai 2026, in dem Wittmann gegen die Beh\u00f6rde nachlegt, zeigt.<\/p>\n

\"\"<\/a><\/p>\n

Scheint so, dass \"Digitalisierung sicher betreiben\" schwieriger als \"ein Sack Fl\u00f6he h\u00fcten\" zu sein scheint. Und damit niemand meint, sind nur die Beh\u00f6rden auf Malta sind so unf\u00e4hig – gerade beim Schreiben der beiden Beitr\u00e4ge hat mich ein Leser auf Facebook auf den Beitrag\u00a0CISA left 844 MB of plaintext passwords and AWS tokens on public GitHub for six months<\/a> hingewiesen. Ist doch \"lustig\", was kann schon schief gehen. Damit packe ich f\u00fcr heute meinen \"schwarzen Humor\" ein und verweise auf die\u00a0Diskussionen zu meinem gestrigen Blog-Beitrag\u00a0Petition \"Leben ohne Digitalzwang ins Grundgesetz!\" bis 21. Mai 2026 zeichnen<\/a>, wo es einigen Leuten mit der Digitalisierung im Neuland Deutschland nicht schnell genug gehen kann.<\/p>\n

Artikelreihe:<\/strong>
\nDigitalisierungs-Fail 1: Klinik-Hammelburg-Webseite als Online-Kasino<\/a>
\nDigitalisierungs-Fail 2: API-Theater mit Wittmann auf Malta<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Im gestrigen Beitrag Digitalisierungs-Fail 1: Klinik-Hammelburg-Webseite als Online-Kasino habe ich meine erste Story aus der Rubrik \"Schwarzer Digitalisierungshumor, was kann schon schief gehen\" pr\u00e4sentiert. Ich hab noch einen: Lilith Wittmann hat die API des Handelsregisters von Malta \"kreativ\" genutzt, um … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-325179","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325179","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=325179"}],"version-history":[{"count":6,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325179\/revisions"}],"predecessor-version":[{"id":325191,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/325179\/revisions\/325191"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=325179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=325179"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=325179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}