„So leicht wie damals bei der CDU“: Lilith Wittmann, der Hack der Malta Gaming Authority und die Grenzen des Responsible Disclosure

Ein Fall von digitalem Aktivismus zwischen ethischer Aufklärung und strafrechtlichem Risiko

Es ist ein Déjà-vu, das in der IT-Sicherheitscommunity für Aufsehen sorgt, aber auch tiefe ethische und rechtliche Fragen aufwirft. Im März 2026 bestätigte die Berliner Sicherheitsforscherin Lilith Wittmann, dass sie hinter einem Cyberangriff auf die Malta Gaming Authority (MGA) steckt . Ihr Statement auf der Plattform X war knapp, präzise und programmatisch: „Yes, I hacked you.“ Und der Vergleich, den sie anstellte, verwies auf einen Fall, der ihre Karriere als sogenannte „Krawall-Influencerin“ (Eigenbezeichnung) vor fünf Jahren nachhaltig prägte: Es sei „genauso einfach wie damals beim Hack der CDU“ gewesen .

Damit ist der Fall nicht nur ein weiteres Kapitel in der Chronologie von Wittmanns Wirken, sondern wirft ein Schlaglicht auf ein wiederkehrendes Spannungsfeld: Was tun, wenn öffentliche Institutionen oder Behörden im digitalen Raum versagen und die legalen Wege der Schwachstellenmeldung an ihre Grenzen stoßen oder gar mit Repression beantwortet werden? Wittmanns Vorgehen gegen die maltesische Glücksspielbehörde ist ein radikaler Akt des zivilgesellschaftlichen Ungehorsams in der digitalen Sphäre – und ein Paradebeispiel für die Tech-Archaeologie, die das Scheitern von Sicherheitsarchitekturen seziert.

Der Fall Malta: Zugriff auf die „organisierte Kriminalität“

Im Zentrum des aktuellen Vorfalls steht die Malta Gaming Authority, eine der renommiertesten und gleichzeitig umstrittensten Glücksspielregulierungsbehörden der Welt. Malta hat sich seit Jahren als „Hub“ für die iGaming-Branche etabliert, steht jedoch immer wieder in der Kritik, aufgrund großzügiger Regulierungen auch kriminellen Strukturen eine Plattform zu bieten .

Wittmanns Angriff war nicht der erste ihrer Art im Kontext der maltesischen Glücksspielindustrie. Bereits im März 2025 hatte sie eine massive Sicherheitslücke bei der maltesischen Firma The Mill Adventure aufgedeckt, die Software für Online-Casinos wie Slotmagie.de bereitstellt. Damals gelangte sie über eine schwach gesicherte GraphQL-API an die sensiblen Daten von über einer Million Spielern, darunter Kreditkartendetails, Ausweiskopien und Schreiben der Arbeitsagentur .

Die aktuelle Aktion gegen die MGA selbst ist eine Eskalation. Wittmann gab an, die erlangten Daten bereits an Medienpartner und Behörden weitergegeben zu haben. Ihr erklärtes Ziel: die „organisierte Kriminalität“ zu enttarnen, die ihrer Ansicht nach durch die Behörde ermöglicht werde . Für die Behörde selbst ist der Vorfall eine Blamage; sie bestätigte lediglich, dass jemand, der sich als Sicherheitsforscher ausgab, Zugriff auf die Systeme erlangt habe, ohne Details zu nennen .

Der historische Präzedenzfall: „CDU connect“ und die Strafanzeige

Wittmanns Verweis auf die CDU ist kein Zufall, sondern der Schlüssel zum Verständnis ihrer Handlungsmotivation. Der Fall der Wahlkampf-App „CDU connect“ im Mai 2021 gilt heute als Paradebeispiel für die dysfunktionale Beziehung zwischen staatlichen Stellen und der Security-Community in Deutschland.

Die damals 25-jährige Wittmann entdeckte, dass die App nicht nur die Daten von 18.000 Wahlkampfhelfern ungeschützt im Netz stehen ließ, sondern dass sie sich im Web-Interface einfach selbst zum „Superadmin“ ernennen konnte . Nach dem Prinzip der Responsible Disclosure (verantwortungsvolle Offenlegung) informierte sie die Partei, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Datenschutzbeauftragten. Die CDU nahm die App vorübergehend vom Netz .

Doch dann eskalierte der Fall: Der damalige CDU-Bundesgeschäftsführer Stefan Hennewig erstattete Strafanzeige gegen Wittmann, unter Berufung auf den sogenannten Hackerparagraphen (§ 202c StGB). Der Chaos Computer Club (CCC) reagierte empört und kündigte an, künftig keine Sicherheitslücken mehr an die Partei zu melden – ein drastischer Schritt, der die Bedeutung des gegenseitigen Vertrauens in der Sicherheitskultur unterstrich . Nach massivem öffentlichem Druck ruderte die CDU zurück; Hennewig entschuldigte sich, die Anzeige wurde zurückgezogen. Das Verfahren wurde schließlich eingestellt, mit der Begründung, dass die Datenbank „gänzlich ungeschützt“ und somit gar nicht im Sinne des Gesetzes „gehackt“ worden sei .

Der Rechtsrahmen: Zwischen Grauzone und Auslieferungsrisiko

Die juristischen Dimensionen der beiden Fälle könnten unterschiedlicher nicht sein – und doch eint sie die existenzielle Bedrohung für die Forscherin. Während in Deutschland die Anzeige 2021 als politischer Eigentor inszeniert wurde und letztlich im Sande verlief, ist die Rechtslage in Malta eine andere.

Wittmann zeigte sich öffentlich besorgt über eine mögliche Auslieferung an Malta, wo das Hacken einer öffentlichen Einrichtung mit bis zu zehn Jahren Haft bestraft werden kann . Sie hofft auf die Einsicht der deutschen Behörden, sie nicht auszuliefern, und betont die Gemeinnützigkeit ihrer Aktion: Die erlangten Informationen seien so wertvoll für den öffentlichen Diskurs, dass der Zugriff darauf eines Tages als „gerechtfertigte Notwendigkeit“ angesehen werde .

Dieser Fall verdeutlicht das fortbestehende Dilemma der IT-Sicherheitsforschung: Während in Deutschland nach dem Fall Wittmann/SPD 2021 eine politische Debatte über die Reform des Hackerparagraphen entbrannte (der SPD-Politiker Helge Lindh forderte damals eine klare rechtssichere Ausnahme für Sicherheitsforscher ), existiert ein solcher Schutz in internationalen Kontexten nicht. Wittmann bewegt sich bewusst in einer Grauzone, die sie mit kalkuliertem Risiko füllt – ein Aspekt, der sie in die Tradition einer Tech-Archaeologie stellt, die nicht nur findet, sondern auch konfrontiert.

Perspektiven und Konsequenzen

Wittmanns Methodik ist disruptiv. Sie selbst bezeichnet sich als „Krawall-Influencerin“ . Ihr Repertoire reicht von der Enttarnung von Verfassungsschutz-Legenden bis zur Schwachstellensuche in Gefangenentelefonaten . Ihr Vorgehen gegen die MGA reiht sich in dieses Muster ein: Sie zwingt Institutionen durch offensive, öffentlichkeitswirksame Aktionen zur Reaktion, wenn der reguläre Meldeweg versagt oder nicht existiert.

Die Reaktionen sind zwiegespalten. Während die IT-Community die technische Brillanz und den Mut zur Konfrontation anerkennt, warnen Juristen vor den Konsequenzen einer solchen „Selbstjustiz“ im Netz. Für die Glücksspielbranche und die maltesische Regulierungsbehörde ist der Vorfall ein massiver Vertrauensverlust. Die GGL (Gemeinsame Glücksspielbehörde der Länder) hatte bereits nach dem Datenleck bei Merkur im Vorjahr gewarnt und Sicherheitstests angeordnet . Dass nun die Aufsichtsbehörde selbst Opfer eines solchen Angriffs wurde, könnte die internationalen Bemühungen um strengere Sicherheitsstandards in der Branche beschleunigen.

Fazit: Vom Bug-Hunter zum System-Hacker

Lilith Wittmanns Weg von der Security-Forscherin, die eine Strafanzeige wegen verantwortungsvoller Offenlegung erhielt, hin zu der Aktivistin, die präventiv eine Auslieferung befürchtet, markiert einen Wendepunkt in der deutschen und europäischen Sicherheitskultur. Sie hat erkannt, dass der Status des „White Hats“ kein rechtlich geschützter Raum ist, sondern ein prekäres Konstrukt, das vom Wohlwollen der betroffenen Institutionen abhängt.

Indem sie den Hack der MGA öffentlich macht und mit dem Fall CDU vergleicht, sendet Wittmann eine klare Botschaft: Wenn der Staat (wie damals die CDU) die Helfer kriminalisiert oder (wie jetzt die MGA) selbst zum Enabler von Sicherheitslücken wird, dann zieht sie die Konsequenz – nicht durch Rückzug, sondern durch radikale Transparenz. Ihr Vorgehen ist ein riskanter Balanceakt zwischen ethischer Notwehr und strafbarer Handlung.

Der Fall ist noch nicht abgeschlossen. Ob die deutschen Behörden tatsächlich eine Auslieferung verhindern und ob die von Wittmann erbeuteten Daten tatsächlich die von ihr behaupteten kriminellen Strukturen offenlegen, bleibt abzuwarten. Klar ist jedoch: Lilith Wittmann hat mit dieser Aktion eine neue Eskalationsstufe in der Auseinandersetzung zwischen digitalem Aktivismus und staatlicher (oder quasi-staatlicher) Regulierung gezündet. Sie hat die Werkzeuge des Hackers nicht mehr nur genutzt, um Fehler zu zeigen, sondern um eine Institution zu Fall zu bringen, die sie für illegitim hält. Das ist nicht mehr nur Tech-Archaeologie. Das ist digitaler Widerstand.

Quellen

• Wikiwand / Wikipedia: Lilith Wittmann – Biografische Daten, Fall CDU, Aktivismus (2021–2025). 
• Times of Malta: ‘It was easy’: German security researcher claims responsibility for MGA hack (19. März 2026). 
• connect professional: So führe uns in die Digitalisierung (4. August 2021). 
• Newsbook Malta: German hacker claims responsibility for MGA breach and vows further disclosures (19. März 2026). 
• Kronen Zeitung: Datenleck gemeldet: CDU klagte IT-Expertin des CCC (3. August 2021). 
• The Maltese Herald: Statement by German hacker Lilith Wittmann (21. März 2026). 
• Berliner Morgenpost: Wahlkampf-App: CDU zieht Anzeige gegen Hackerin zurück (3. August 2021). 
• Times of Malta: Maltese IT company at centre of massive online casino security flaw (25. März 2025). 
• Abgeordnetenwatch.de: Frage an Helge Lindh (SPD) zum Hacker-Paragraphen (September 2021). 
• iGB: Has Merkur’s player data breach raised further questions on security? (20. März 2025).