Wann immer Spieler ein (Online-)Casino betreten, möchten sie Spass mit einem sicheren Gefühl haben. Werden die Spielerdaten weitergegeben? Habe ich reelle Chancen zu gewinnen? Ist mein Spielguthaben sicher? Diese und andere Fragen müssen Casinos zufriedenstellend beantworten und vor allem an den Schutz ihrer Spieler denken. Doch die Herausforderungen werden mit wachsender Technisierung immer größer. Wie Casinos trotzdem versuchen, maximale Cybersicherheit zu realisieren, zeigen die folgenden Praxisuntersuchungen.
Symbolbild TheDigitalArtist via Pixabay.com
Darum ist die Casinobranche für Cyberterroristen so interessant
Die Casino- und Gamingbranche macht jährlich Milliarden Umsätze. 2021 erwirtschaftete die Casinos Austria AG beispielsweise einen Bruttospielertrag von 135 Millionen Euro. Weltweit lag der Umsatz bei mehr als 55 Milliarden Euro. Für Cyberterroristen ist die Branche besonders interessant, denn der Zugang zu Netzwerken ist vor allem bei älteren Casinos denkbar einfach. Ausserdem gibt es viel zu holen: kundenbezogene Informationen für den Wiederverkauf oder Lösegelder zum Beispiel.
Durch die vielen vernetzten Geräte bieten Casinos zahlreiche Angriffsmöglichkeiten, um beispielsweise über einen ungeschützten Zugang auf das ganze System zuzugreifen. Anders als Banken oder Unternehmen aus dem Finanzsektor sammeln Casinos deutlich mehr Informationen und versuchen sie in Masse zu verarbeiten. So werden u. a. Kreditkarteninformationen abgefragt und diese in Casinos an verschiedenen Spielstationen, Kassen und Co. genutzt. Es besteht keine selektive bzw. Inselnutzung, wie es beispielsweise bei Banken der Fall ist.
IoT wird zur Herausforderung für Cybersicherheit in Casinos
Längst sind die Industrie 4.0 und das IoT auch in den Casinos angekommen. Viele lokale Spieleanbieter integrieren als Beispiel gern Aquarien, um den Spielern eine wohlige und entspannende Atmosphäre im Trubel von Automaten und Co. zu vermitteln. Um die Betreuung der Aquarien möglichst effizient zu gestalten, setzen sie vor allem öfter auf IoT-fähige Konzepte, die Licht- und Temperatursensoren enthalten und natürlich mit dem Casino-internen WiFi-Netzwerk verknüpft sind. Auch automatische Lichtsteuerungs- und Beleuchtungskonzepte kommen in lokalen Casinos vermehrt zum Einsatz. Sie laufen ebenfalls über Netzwerk-Lösungen und haben zahlreiche Sicherheits-Schlupflöcher.
Die smarte Technologie bietet nicht nur Vorzüge, sondern fordert vor allem IT-Experten. Bislang wächst die IT-Betreuung arithmetisch (linear), während die Anzahl der Cyberangriffe geometrisch zunimmt. Auch, wenn die Casinos ihre IT-Sicherheit (Technik und Personal) kontinuierlich erhöhen, sind die Cyberangreifer stets einen Schritt voraus.
Zur Herausforderung werden vor allem die werkseitigen Firmensoftware-Lösungen, wie sie Lichtsteuerungen, Automaten, Kreditkartengeräte und Co. mitbringen. Es ist für die Casino-IT-Experten kaum möglich, alle immer miteinander zu verknüpfen und auf dem neuesten Sicherheitsstand zu halten. Die sich daraus ergebenden Sicherheitslücken nutzen Cyberkriminelle, um sich mithilfe des Schlupfloches Zugang zum gesamten System zu verschaffen.
Lösungen in Casinos
Eine innovative Cybersecurity-Technologie hilft dabei, das gesamte Netzwerk in Echtzeit zu überwachen. Dabei werden sämtliche miteinander verbundene Komponenten automatisch überprüft. Als Grundlage dienen Aufzeichnungen zu Normal-Aktivitäten, sodass jegliche verdächtige Veränderung sofort bemerkt wird.
Mithilfe einer Kartierung und Klassifizierung lassen sich verdächtige Aktivitäten schneller erkennen und darauf reagieren. Durch eine Insellösung (Netzwerk-Segmentierungen) und integrierte Abschaltmechanismen fällt es leichter, einzelne angegriffene Teile sofort aus dem Gesamtnetzwerk zu entfernen, um eine weitere Ausbreitung zu verhindern.
Wichtiger Bestandteil des Sicherheitskonzeptes sind auch mehrstufige Aktionspläne. Abhängig von der Bedrohungslage werden verschiedene Mechanismen in Gang gesetzt, die beispielsweise die Abschaltung einzelner Insel-Komponenten beinhalten oder sogar das ganze System im Notfall trennen. Um die Ausführung der sicherheitsrelevanten Überprüfungen und ihr regelmässiges Update zu gewährleisten, sollte es in jedem Unternehmen einen Sicherheitsbeauftragten geben.
Auch eine detaillierte Datenspeicherung und Metadaten-Analyse gehört in sicherheitsbewussten Casinos vom Schutzkonzept. Die Auswertung der Daten hilft, künftig besser auf Cyber-Bedrohungen vorbereitet zu sein und im Fall eines Angriffs auf ein Backup zurückgreifen zu können. Auf diese Weise sind nicht alle Daten verloren und die raschere Einsatzbereitschaft wiederhergestellt.
Ransomware-Angriffe als neue Bedrohung
Auch Anbieter auf der Liste der besten seriösen Online Casinos bleiben von neuen digitalen Bedrohungen nicht verschont. Immer beliebter werden die sogenannten Ransomware-Angriffe. Cyberangreifer schleusen über Sicherheitslücken Computerviren in das System und verschlüsseln beispielsweise einzelne Dateien oder die gesamte IT-Struktur. Die betroffenen Bereiche sind zunächst gesperrt und können von den Nutzern nicht mehr bedient werden. Danach folgt eine Lösegeldforderung, in der Unternehmen aufgefordert werden, eine bestimmte Summe zu zahlen (häufig in Bitcoin oder einer anderen Kryptowährung). Betroffen davon sind nicht nur Casinos in den USA, sondern auch in der Schweiz und anderen Ländern.
Auch andere Schweizer Unternehmen waren von Ransomware-Angriffen betroffen. 2021 betraf es beispielsweise das bekannte Casinotheater in Winterthur.
Eine britische Studie zeigt, dass es 2021 ca. 60 Prozent waren. Nach einer durchschnittlichen Lösegeldzahlung von ca. 84.000 Franken wurden betroffene Daten wieder freigegeben.
Die Herausforderung für die IT-Sicherheit: Die Ransomware wird immer besser und lässt sich auch mit grösster Sorgfalt nicht immer erkennen, bevor sie einen ernsthaften Schaden anrichten kann. Deshalb empfehlen IT-Experten eine konsequente und zeitnahe Sicherheitsaktualisierung (Patches und Updates), eine Absicherung von Fernzugängen durch RDP, VPN und Co. sowie eine Blockade gefährlicher E-Mails (auch enthaltener Makros) bzw. verdächtiger Anhänge.
Casinos werden besonders häufig von Cyberterroristen angegriffen. Beliebt sind dabei vor allem die Schlupflöcher durch IoT. (Symbolbild Fidsor via Pixabay)
Exfiltration: Casinos für Identitätsdiebstahl prädestiniert
Eine weitere Bedrohung, mit denen die Casino- und Gamingbranche zu kämpfen hat, sind Exfiltrationen. In kaum einem anderen Bereich werden so viele verschiedene Personendaten gesammelt wie in einem Casino. Neben den Namen werden auch Kreditkartendaten, Geburtsdatum und Anschrift (vor allem in den Online-Casinos) gespeichert. Ein erfreuliches Daten-Sammelsurium prädestiniert für einen Identitätsdiebstahl. Deshalb sind Cyberangriffe auf Casinos besonders begehrt, denn Hacker können die Daten im Darknet verkaufen.
Um dieser Bedrohung durch Cyber-Terroristen einen Schritt voraus zu sein, setzen immer mehr Casinos auf eine dezentrale Speicherung der sensiblen Kundendaten. Sie werden beispielsweise auf eigenen gehosteten Servern gespeichert und ein regelmässiges Backup angelegt. Durch den Verzicht auf Drittanbieter oder Serverfarmen im weniger kontrollierten Ausland wollen Casinos das Risiko für Exfiltration senken.
Kartendaten und Co. sind begehrte Informationen bei Hackerangriffen auf Casinos. Sie lassen sich im Darknet besonders gut verkaufen. (Symbolbild TheDigitalWay via Pixabay)
Fehlende bzw. zu geringe Verschlüsselung
Auch das Casinogeschäft folgt knallharten wirtschaftlichen Regeln: Die Ausgaben sollten so gering wie möglich gehalten werden, damit ein möglichst grosser Gewinn verbleibt. Häufig gehen diese (zu) geringen Ausgaben zulasten der IT-Infrastruktur, vor allem bei der Datenverschlüsselung. Je brillanter und aufwendiger ein Verschlüsselungsalgorithmus ist, desto länger brauchen Hacker, ihn zu knacken. Manchmal geben sie sogar ganz auf, wenn sich das IT-Sicherheitssystem ähnlich wie Fort Knox nicht knacken lässt.
Doch ein ständig angepasster Algorithmus braucht auch von den Casinos selbst viel Rechenleistung und IT-Experten der Extraklasse. Viele Anbieter können und wollen sich diesen Sicherheits-Luxus (noch) nicht leisten und bilden damit ein grösseres Risiko für erfolgreiche Hackerangriffe.
Die Verschlüsselung ist nicht nur bei den Casino-eigenen Geräten und Schnittstellen erforderlich, sondern auch bei den Kundendaten. Je besser sie geschützt sind, desto vertrauenswürdiger und sicherer wirkt ein Anbieter. Empfehlenswert sind strenge Richtlinien für die Vergabe von Benutzernamen und Passwörtern bei Online-Spielen. Immer mehr Casinos ändern nach Cyberangriffen ihre Vorgaben und lassen beispielsweise nur noch Passwörter mit einer Länge von mindestens zehn Zeichen zu.
Auch die Einhaltung der PCI-Anforderungen (Payment Card Industry) ist ein wesentlicher Schritt für mehr Sicherheit in den Casinos. Ein integriertes „Schwachstellenmanagement“ hilft, Datenschutzverletzungen zu vermeiden und Cyberterroristen fernzuhalten. Dazu gehören nicht nur Router- und Firewall-Konfigurationen, sondern auch Patch- und Patching-Verwaltung, die Daten Integrität-Bewertung, Tracking von Zugriffsberechtigungen, Integration von Warnungen sowie Überprüfung von Protokollen. Vornehmlich geht es bei PCI DSS-Konformität um den Schutz der Karteninhaber, der Transaktionen und der Zahlungskartendaten.
Externe Unterstützung und regelmässige Überprüfung können ebenfalls helfen, bereits etablierte Massnahmen zu verbessern. Beauftragen Casinos beispielsweise einen qualifizierten Sicherheitsgutachter, analysiert er bisherige Schutzmechanismen und zeigt ihren Erfolg bzw. Verbesserungspotenzial auf.