Lottoannahmestellen im Visier von Cyberkriminellen: Eine wachsende Bedrohung für die Glücksspielbranche

Natürlich waren wir in Bayern auch beim Lotto Vorreiter: Am 27. April 1735 führte Bayern als erstes „deutsches“ Land das Lotto durch ein Generalmandat des Kurfürsten Karl Albrecht ein. Unglaublich .. viele Jahrzehnte vor der französischen Revolution wurde schon Lotto gespielt. Wer hätte damals gedacht, dass Lottoannahmestellen 289 Jahre später in den Fokus krimineller Banden geraten sollten, die aus dem Internet heraus, Angriffe auf Betriebe begehen??

Unsere Erfahrung als LOTTO Bayern Trainer zeigt: Selbst Institutionen wie Lottoannahmestellen werden nicht von den Gefahren der Cyberkriminalität verschont. Von Identitätsdiebstahl, Phishing, Verschlüsselungsangriffe und Betrug ist das ganze Spektrum dabei! Diese Entwicklung stellt nicht nur eine ernsthafte Bedrohung für die Sicherheit von Kundendaten dar, sondern gefährdet auch die Integrität des gesamten Lottosystems.

In diesem Beitrag, der fortlaufend aktualisiert wird, geben wir Ihnen einen Überblick über aktuelle Gefährdungslagen.

Aktuelle Vorfälle zeigen die Verwundbarkeit des Systems

Die jüngsten Ereignisse haben die Verwundbarkeit der Lottosysteme deutlich vor Augen geführt. Ein besonders alarmierender Vorfall ereignete sich kürzlich bei Lotto Rheinland-Pfalz. Das Unternehmen sah sich gezwungen, den Zugang zur eigenen Internetseite vorübergehend zu sperren, nachdem der Verdacht auf einen Hackerangriff aufgekommen war. Seit den Weihnachtsfeiertagen wurden „auffällige unautorisierte Zugriffsversuche“ festgestellt, die nach ersten Erkenntnissen vermutlich aus dem Ausland kamen. Obwohl zunächst keine konkreten Hinweise auf abgegriffene Daten vorlagen, zeigt dieser Vorfall deutlich, wie verwundbar selbst gut geschützte Systeme sein können. Die Tatsache, dass eine so etablierte Institution wie eine Lottogesellschaft zum Ziel eines Cyberangriffs werden kann, sollte als Weckruf für die gesamte Branche dienen.

Vorsicht vor Initiativbewerbungen per Word oder PDF

Lottoannahmestellen sind zunehmend Ziel von Betrugsversuchen durch gefälschte Initiativbewerbungen per E-Mail. Kriminelle senden dabei professionell gestaltete Bewerbungsunterlagen an Annahmestellen, oft mit dem Vorwand, eine Stelle als Aushilfe oder Teilzeitkraft zu suchen. Das eigentliche Ziel ist jedoch, an sensible Informationen wie Kundendaten oder interne Abläufe zu gelangen.

In manchen Fällen versuchen die Betrüger auch, Zugang zu den Computersystemen oder Online-Banking-Portalen der Annahmestelle zu erhalten, um auf diese Weise an Geld zu gelangen. Annahmestellen-Betreiber sollten daher besonders vorsichtig mit unaufgeforderten Bewerbungen umgehen, die Identität der Bewerber gründlich überprüfen und keine vertraulichen Informationen preisgeben, bevor die Echtheit der Bewerbung bestätigt ist. Eine enge Zusammenarbeit mit den Sicherheitsabteilungen der Lotteriegesellschaften ist ratsam, um solche Betrugsversuche frühzeitig zu erkennen und abzuwehren.

Word-Dateien können Makros (Programmbefehle) enthalten, die einen Computer dazu bringen, Dateien im Hintergrund unbemerkt herunterzuladen. Auf diese Weise werden PCs, Netzwerke oder Server manipuliert oder Ransomware-Attacken vorbereitet. Auch PDF-Dateien können gefährliche Skripte enthalten – zu glauben man wäre bei PDF immer geschützt, ist leider falsch!

Phishing als zusätzliche Bedrohung: Die menschliche Komponente der Cybersicherheit

Neben direkten Angriffen auf die IT-Infrastruktur stellen auch Phishing-Versuche eine ernsthafte Gefahr für Lottoannahmestellen und ihre Kunden dar. In letzter Zeit häufen sich Berichte über Betrüger, die sich am Telefon als Mitarbeiter von Lotterieanbietern ausgeben. Ihr Ziel ist es, an sensible Informationen zu gelangen, die sie für kriminelle Zwecke missbrauchen können. Diese Anrufe sind oft sehr überzeugend gestaltet und zielen darauf ab, Geld oder persönliche Daten wie Passwörter und Bankkontoinformationen zu erbeuten. Die Täter nutzen dabei oft die Gutgläubigkeit und manchmal auch die Hoffnung der Menschen aus, einen Gewinn gemacht zu haben. Diese Art von Betrug ist besonders gefährlich, da sie nicht nur technische Schwachstellen ausnutzt, sondern auch auf die menschliche Komponente abzielt.

Identitätsdiebstahl in Lottoannahmestellen

Identitätsdiebstahl in Lottoannahmestellen stellt eine wachsende Bedrohung dar, die sowohl Kunden als auch Betreiber betrifft. Kriminelle nutzen verschiedene Methoden, um an sensible Daten zu gelangen, darunter gefälschte Gewinnbenachrichtigungen per E-Mail oder manipulierte Spielscheine. Sie versuchen, persönliche Informationen wie Namen, Adressen, Bankdaten oder sogar Ausweiskopien zu erbeuten1. Mit diesen Daten können Betrüger dann Konten eröffnen, Waren bestellen oder andere kriminelle Aktivitäten im Namen des Opfers durchführe

Die Auswirkungen von Cyberangriffen auf Lottoannahmestellen

Die Folgen von Cyberangriffen auf Lottoannahmestellen können weitreichend sein und gehen weit über den unmittelbaren finanziellen Schaden hinaus:

1. Vertrauensverlust: Das Vertrauen der Kunden in die Sicherheit und Integrität des Lottosystems ist von entscheidender Bedeutung. Ein erfolgreicher Cyberangriff kann dieses Vertrauen nachhaltig erschüttern und zu einem Rückgang der Teilnehmerzahlen führen.
2. Finanzielle Verluste: Neben möglichen direkten finanziellen Schäden durch Datendiebstahl oder Betrug können auch indirekte Kosten entstehen, etwa durch notwendige Verbesserungen der IT-Sicherheit oder Entschädigungszahlungen an betroffene Kunden.
3. Reputationsschaden: Ein Sicherheitsvorfall kann dem Ruf einer Lottogesellschaft erheblichen Schaden zufügen. Die negative Berichterstattung in den Medien kann langfristige Auswirkungen auf das Image des Unternehmens haben.
4. Rechtliche Konsequenzen: Je nach Art und Umfang des Angriffs können auch rechtliche Konsequenzen drohen, insbesondere wenn es um den Schutz personenbezogener Daten geht.
5. Betriebsunterbrechungen: Wie der Fall in Rheinland-Pfalz zeigt, können Cyberangriffe zu vorübergehenden Schließungen oder Einschränkungen des Betriebs führen, was wiederum finanzielle Einbußen nach sich zieht.

Schutzmaßnahmen für Lottoannahmestellen und Kunden

1. Basisschutz & Passwort-Hygiene

• [ ] Starke Passwörter verwenden: Ein sicheres Passwort sollte mindestens 15 Zeichen lang sein sowie Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthalten. Ein Passwort-Generator kann helfen: https://www.datenschutz.org/passwort-generator/
  
• [ ] Einmalige Verwendung: Nutzen Sie jedes Passwort nur ein einziges Mal für einen bestimmten Account (dt.: Nutzerkonto). Ansonsten haben die Täter ein leichtes Spiel, wenn mal ein Account gehackt wird.
  
• [ ] Passwort-Manager einsetzen: Verwenden Sie eine Software zur sicheren Verwaltung Ihrer Zugangsdaten, z.B. https://www.dashlane.com/ oder https://www.faz.net/kaufkompass/test/der-beste-passwort-manager/
  
• [ ] Zwei-Faktor-Authentifizierung (2FA): Aktivieren Sie für alle wichtigen Konten eine zweite Sicherheitsebene, z.B. bei E-Mail-Konten, Social Media, Buchhaltungssoftware usw., beispielsweise über Apps wie Microsoft Authenticator, Google Authenticator oder OneAuth. Mehr dazu: https://www.heise.de/ratgeber/2FAuth-Zwei-Faktor-Authentifizierung-selbst-gemacht-9352960.html

Expertentipp: Noch sicherer ist die Verwendung eines Hardware-Authenticators, dann brauchen Sie auch kein Smartphone zur Hand nehmen: https://www.reiner-sct.com/produkt/reiner-sct-authenticator/

• [ ] Software-Updates: Halten Sie alle Betriebssysteme und Programme durch regelmäßige Updates stets auf dem neuesten Stand.

• [ ] Angriffe auf Lottoannahmestellen vermeiden: Informieren Sie sich regelmäßig über neue Betrugsmaschen und Cyberangriffe: https://www.maisch.law/blog/lottoannahmestellen-im-visier-von-cyberkriminellen-eine-wachsende-bedrohung-fuer-die-gluecksspielbranche/
  
  

2. Schutz vor Identitätsdiebstahl & Social Engineering

• [ ] Datensparsamkeit praktizieren: Geben Sie keine sensiblen Informationen wie Namen, Adressen oder Geburtsdaten unnötig im Internet preis.
  
• [ ] Social-Media-Sicherheit: Stellen Sie Privatprofile auf Plattformen wie Facebook, Instagram, XING/ LinkedIn auf „privat“. Überlegen Sie genau, wenn Sie als neuen „Freund“ annehmen und mit wem Sie was schreiben – es könnte sich dahinter immer jemand anderes verbergen!
  
• [ ] Mitarbeiterschulungen: Sensibilisieren Sie Ihr Personal (v.a. Azubis und Aushilfen!) regelmäßig für psychologische Tricks (Social Engineering), bei denen Angreifer sich z. B. als Behörde oder Lotteriegesellschaft ausgeben, Paysafe-Daten oder interne Informationen (Handynr. von der Chefin, „wer ist grad wo“ usw.) wissen möchten.
  
• [ ] E-Mail-Absender prüfen: Überprüfen Sie Absenderadressen vor dem Öffnen von Anhängen oder Links kritisch auf Tippfehler oder ungewöhnliche Domains.
  
• [ ] Vorsicht vor „bösen“ Dateianhängen: Seien Sie besonders misstrauisch bei alten Word-Formaten (.doc / docx), da diese oft Schadsoftware enthalten. Wenn Sie keine Anti-Virus-Lösung haben, können Sie Dateien im Notfall hier checken lassen: https://www.virustotal.com/gui/home/upload

• E-Mail-Adressen bei https://haveibeenpwned.com/ checken: Bei „roter Ampel“ bitte Passwörter der betroffenen Accounts und aller wichtigen Accounts ändern und Zwei-Faktor-Authentifizierung einstellen.
  
  

3. Sicherheit im Online-Banking

• [ ] Sicheres TAN-Verfahren: Nutzen Sie einen physischen QR-TAN-Generator anstelle des unsichereren SMS-TAN-Verfahrens, z.B. von Reiner SCT: https://www.reiner-sct.com/tan-generatoren
  
• [ ] Separates Banking-Smartphone: Wenn Sie lieber bei Push-Tan-Apps statt QR-TAN-Generatoren bleiben wollen, verwenden Sie unbedingt ein gesondertes Smartphone, das ausschließlich für Banking-Apps genutzt wird. Achten Sie darauf, dort keine SMS oder E-Mails zu öffnen, kein öffentliches oder Hotel-WLAN zu verwenden und keine Apps außer der Bank herunterzuladen. Es kann ein älteres Gerät sein, das aber noch Sicherheitsupdates vom Hersteller bekommt.
  
• [ ] Keine Fernwartung beim Banking: Installieren Sie niemals Fernüberwachungssoftware (z. B. AnyDesk oder TeamViewer) auf Aufforderung unbekannter Personen. So räumen Täter Bankkonten leer!
  
• [ ] Echtzeitüberweisungen kritisch prüfen: Seien Sie bei der Freigabe von Echtzeitüberweisungen besonders wachsam, da diese Transaktionen nicht rückgängig gemacht werden können.
  
  

4. Technische Infrastruktur & WLAN

• [ ] WLAN-Verschlüsselung: Verwenden Sie moderne Protokolle wie WPA3 bei ihrem betrieblichen oder häuslichen WLAN. Ändern Sie das Router-Passwort nach der Einrichtung. Mehr dazu vom BSI hier: https://tinyurl.com/38y669pb
  
• [ ] Separates Gästenetzwerk: Richten Sie für Kunden ein eigenes WLAN ein, das keinen Zugriff auf Ihr internes Betriebsnetz hat.
  
• [ ] Antivirensoftware: Implementieren und aktualisieren Sie Antiviren-Lösungen auf allen genutzten Endgeräten. Wir empfehlen auf die Testergebnisse von der Stiftung Warentest zu vertrauen: https://www.test.de/Antivirenprogramme-im-Test-4993310-0/
  
• [ ] MAC-Adressfilterung: Aktivieren Sie eine Filterung, die nur bekannten Geräten den Zugang zum Netzwerk erlaubt.
  
  

5. Datensicherung & Notfallplan

• [ ] Regelmäßige Backups: Führen Sie tägliche Datensicherungen bei Ihren Smartphones und PCs oder On-Premise-Servern durch. Diese Backups sollten auf dem System, zusätzlich aber an einem anderen Ort und am besten verschlüsselt gespeichert werden, z.B. mit Hilfe eines Dienstleisters: https://www.qualityhosting.de/office-365-microsoft-365/zusatzdienste/office-365-backup.htm (es gibt viele andere Service-Partner).
  
• [ ] Sichere Lagerung: Bewahren Sie Backups physisch getrennt vom Netzwerk auf (Offline-Backup), um sie vor Ransomware-Verschlüsselung zu schützen.
  
• [ ] Notfallkontakte bereithalten: Notieren Sie wichtige Telefonnummern wie Sperrhotlines der Banken außerhalb Ihrer digitalen Systeme (s. Anlage zum Ausfüllen)
  
• [ ] Vollmachten hinterlegen: Stellen Sie sicher, dass für den Ernstfall Vollmachten für Angehörige oder Stellvertreter existieren. Wir empfehlen: Vollmachten für Bankkonten, die auch nach dem Tod gültig sind, weil es manchmal lange dauern kann, bis ein Erbschein erteilt wird. Alle Banken bieten derartige Vollmachten an. Außerdem ist eine Generalvollmacht für Angehörige wichtig, um im Notfall wichtige Entscheidungen zu treffen. https://mkvv.de/aktuelles/besonderes/generalvollmacht-vorsorgevollmacht-patientenverfuegung-wer-soll-fuer-sie-entscheiden/

• [ ] Digitaler Nachlass: Wenn Ihnen etwas passiert, müssen Angehörige ggf. Zugriff auf Ihr Smartphone, PC, Passwortmanager, E-Mails (Patientenunterlagen) oder andere Accounts haben. Stellen Sie sicher, dass Masterpasswörter auffindbar sind. Denken Sie bitte an eingerichtete Zwei-Faktor-Authentifizierung und schreiben Sie Ihren Erben Hinweise, wie sie an Informationen gelangen.
  
  

6. Identifikation von Betrug im Web (Fakeshops)

• [ ] Impressums-Check: Prüfen Sie, ob ein vollständiges Impressum vorhanden ist und wo ein Unternehmen ansässig ist (Vorsicht bei ausländischen Seiten, die je nach Sitzland kein Impressum haben müssen. Hier doppelt aufpassen!).

• [ ] Plausibilitäts-Check: Kann das Angebot richtig sein? Sind Angebote zu billig? Ist etwas komisch?!
  
• [ ] Adress-Verifikation: Überprüfen Sie angegebene Firmenadressen stichprobenartig über Google Maps Street View auf Plausibilität. https://www.google.com/maps/
  
• [ ] Gütesiegel prüfen: Nutzen Sie Tools wie den Fake-Shop-Scanner von Trusted Shops, um die Seriosität einer Website zu ermitteln.
  
  

7. Rechtliches & Datenschutz (DSGVO)

• [ ] Sichere Speicherung: Gewährleisten Sie, dass personenbezogene Kundendaten rechtmäßig (Rechtsgrundlage!) sicher gespeichert und verarbeitet werden.
  
• [ ] Datenminimierung: Erheben Sie nur Daten, die für den Betrieb zwingend notwendig sind, und löschen Sie diese nach Ablauf der Fristen.
  
• [ ] Informationspflicht: Informieren Sie Ihre Kunden transparent über deren Rechte bezüglich ihrer Daten.
  
• [ ] Meldepflicht bei Vorfällen: Stellen Sie sicher, dass Datenschutzverletzungen umgehend gemeldet werden (72 Stunden Frist!): https://www.lda.bayern.de/de/index.html

Fazit und Ausblick

Die zunehmenden Cyberangriffe auf Lottoannahmestellen zeigen deutlich, dass selbst traditionelle Glücksspielanbieter nicht vor den Gefahren der digitalen Welt gefeit sind. Die Vorfälle der jüngsten Vergangenheit sollten als Weckruf für die gesamte Branche dienen. Es ist von entscheidender Bedeutung, dass sowohl Anbieter als auch Kunden wachsam bleiben und aktiv Schutzmaßnahmen ergreifen, um die Sicherheit und Integrität des Lottosystems zu gewährleisten.

Die Herausforderung für die Zukunft wird darin bestehen, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten. Dies erfordert nicht nur technische Lösungen, sondern auch ein Umdenken in Bezug auf Sicherheitskultur und Risikomanagement. Lottogesellschaften müssen Cybersicherheit als integralen Bestandteil ihrer Geschäftsstrategie betrachten und entsprechende Ressourcen bereitstellen. Letztendlich geht es darum, das Vertrauen der Kunden zu bewahren und gleichzeitig die Integrität eines Systems zu schützen, das für viele Menschen eine Quelle der Hoffnung und Unterhaltung darstellt. Nur durch kontinuierliche Wachsamkeit und proaktives Handeln können Lottoannahmestellen auch in Zukunft ein sicheres und vertrauenswürdiges Glücksspielerlebnis bieten.

Haben Sie Fragen oder sind Sie als Lottoannahmestellenbetreiber selbst von Cybercrime betroffen?

Nehmen Sie bitte jederzeit gerne Kontakt zu uns auf. Wir freuen uns immer, wenn wir helfen können!