Die Merkur Group hat Manuel Kreft zum Chief Information Security Officer (CISO) ernannt. Der 49-Jährige soll ein Kompetenzzentrum für Informationssicherheit aufbauen und konzernweit einheitliche Standards durchsetzen. Die Personalie kommt fast genau ein Jahr nach dem massiven Datenleck, das Hunderttausende Kundendaten der Online Casinos offenlegte.
Neuer Sicherheitschef aus den eigenen Reihen
Manuel Kreft arbeitet bereits seit 1997 bei der Unternehmensgruppe aus Espelkamp. Damals startete er als erster dualer Student der Region Ostwestfalen, studierte Wirtschaftsinformatik und war zuletzt als Prokurist und Bereichsleiter IT-Infrastruktur beim gruppeninternen IT-Dienstleister Beit GmbH tätig. Mit mehr als 25 Jahren Erfahrung in der Informationssicherheit war er unter anderem an der Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001 beteiligt.
Ab März 2026 verantwortet Kreft die neu geschaffene Position des Group CISO. Vorstandssprecher Lars Felderhoff nannte ihn in einer Pressemitteilung der Merkur Group einen „ausgewiesenen Experten aus den eigenen Reihen“, der die digitale Resilienz der Unternehmensgruppe weiterentwickeln soll. Kreft selbst wird direkt dem Vorstandssprecher zugeordnet und arbeitet eng mit dem Gesamtvorstand zusammen.
Zu seinen Aufgaben gehört der Aufbau eines unternehmenseigenen Kompetenzzentrums für Informationssicherheit. In dem Konzern mit rund 15.000 Mitarbeitern sollen weltweit einheitliche Sicherheitsstandards gelten. Das Ziel: Risiken für Daten und IT-Systeme frühzeitig erkennen, bewerten und gezielt reduzieren.
Ein Jahr nach dem Datenleck: Der Elefant im Raum
Was die Merkur Group im Zuge der Veröffentlichung nicht erwähnt: Die Ernennung eines CISO fällt zeitlich fast auf den Tag genau mit dem Jahrestag eines der gravierendsten Datenschutzvorfälle der deutschen Glücksspielbranche zusammen.
Im März 2025 hatte die Sicherheitsforscherin Lilith Wittmann Schwachstellen in den Online Casinos der Merkur-Gruppe aufgedeckt. Betroffen waren die Seiten SlotMagie, CrazyBuzzer und Merkur Bets. Alle drei nutzten die Casinoplattform des maltesischen Dienstleisters The Mill Adventure. Über eine ungesicherte raphQL-Schnittstelle waren personenbezogene Daten von mehr als 800.000 Spielern frei zugänglich. Für den Zugriff war nicht einmal ein Login nötig.
Die Liste der offengelegten Daten war lang. Namen, Adressen, Geburtsdaten, E-Mail-Adressen, IBANs, Kreditkartendetails, Ausweiskopien, Fotos aus der Videoidentifizierung und komplette Spielhistorien. Wittmann konnte nach eigenen Angaben über 200 GB an Daten einsehen.
Besonders brisant: Über die Sicherheitslücke hätte jede beliebige Person in jedem beliebigen Spielerprofil Ein- und Auszahlungen veranlassen können.
Wittmann meldete die Schwachstellen direkt an die Gemeinsame Glücksspielbehörde der Länder (GGL), statt den üblichen Weg eines sogenannten Responsible Disclosure direkt an Merkur zu gehen. Sie begründete das damit, dass eine schnelle Reaktion der Aufsichtsbehörde wichtiger sei. Auf der Plattform X bekannte sie sich öffentlich zu dem Fund und bezeichnete sich als „Hacktivistin“.
Folgen für Merkur und die Branche
Die Merkur Group nahm die betroffenen Webseiten vorübergehend offline und informierte die Nutzer per E-Mail. In der Kommunikation blieb das Unternehmen allerdings vage, was den genauen Umfang der betroffenen Daten anging. Die GGL mahnte zwei Merkur-Tochterunternehmen auf Malta sowie den Dienstleister öffentlich ab, weil sie ihre Systeme entgegen den Vorgaben des Glücksspielstaatsvertrags nicht jährlich durch externe Prüfer hatten kontrollieren lassen.
Ob neben Wittmann auch andere Personen vor der Entdeckung Zugang zu den Daten aus den legalen deutschen Online Casinos hatten, ist bis heute unklar. Für die betroffenen Spieler besteht weiterhin ein erhöhtes Risiko für Identitätsdiebstahl, Phishing und Betrug. Mehrere Anwaltskanzleien prüfen Schadensersatzansprüche nach der DSGVO.
Der Vorfall zeigte auch ein unangenehmes Nebendetail: Die Plattform von he Mill Adventure wurde offenbar auch von nicht-lizenzierten Online Casinos genutzt. Die durchgesickerten Daten machten es möglich, bisher anonyme Schwarzmarkt-Angebote konkreten Betreibern zuzuordnen.
Später Schritt in die richtige Richtung
Die Berufung eines eigenen CISO ist für einen Konzern dieser Größenordnung ein überfälliger Schritt. Dass die Merkur Group die Position erst jetzt schafft, wirft Fragen auf. Andere Unternehmen vergleichbarer Größe haben solche Strukturen längst aufgebaut.
Kreft selbst formuliert es in der Pressemitteilung diplomatisch:
Das stimmt. Aber ein Prozess braucht auch einen Anfang. Und der hätte, angesichts der sensiblen Kundendaten im Online Glücksspiel, deutlich früher kommen können.
Ob die neue Position eine direkte Konsequenz des Datenlecks ist, sagt die Merkur Group nicht. Die zeitliche Nähe spricht allerdings für sich.
Avi Fichtner hat sein Hobby zum Beruf gemacht. Aus dem Interesse an Casino Spielen und Poker entstand ein Startup, das heute ein erfolgreiches Unternehmen im Glücksspiel-Bereich ist. Avi und sein Team testen professionell Online Casino Anbieter und teilen ihre persönlichen Erfahrungen. Avi lebt mit seiner Frau und drei Kindern in Berlin und ist passionierter Taucher und Ausdauersportler.
Top oder überbewertet? Deine Meinung zählt.