Sicherheitslücken im Kartenmischer DeckMate 2: Wie Cyberkriminelle Pokerspiele manipulierten

Ein automatischer Kartenmischer gilt als objektiv und manipulationssicher – doch die Realität sieht anders aus. Sicherheitsforscher demonstrierten 2023, wie sich das weit verbreitete Modell DeckMate 2 kompromittieren lässt. Zwei Jahre später zeigt ein aufsehenerregender Kriminalfall: Die theoretischen Angriffsvektoren wurden tatsächlich praktisch umgesetzt.

Automatisches Kartenmischen: Technologie statt Vertrauen

Bei hochdotierten Pokerspielen stellt sich regelmäßig die Frage nach der Integrität des Mischvorgangs. Während menschliche Kartengeber grundsätzlich beeinflussbar sind, galten spezialisierte Mischgeräte lange als sichere Alternative. Der DeckMate 2 des Herstellers Light & Wonder gehört seit seiner Markteinführung 2012 zu den meistgenutzten Systemen weltweit und findet sich in lizenzierten Casinos ebenso wie in privaten Pokerclubs.

Technische Architektur des DeckMate 2

Das System ist deutlich komplexer als seine unscheinbare Erscheinung vermuten lässt. Während auf der Tischoberfläche lediglich ein Einschubfach sichtbar ist, befindet sich die eigentliche Mechanik unterhalb des Spieltischs. Nach Einlegen des Kartenspiels durchlaufen alle 52 Karten ein integriertes Lesemodul. Eine interne Kamera erfasst jede einzelne Karte, um Vollständigkeit zu prüfen und Fremdkörper zu erkennen. Der komplette Vorgang – Verifikation und Mischung – dauert 22 Sekunden.

Die Kamerafunktion ermöglicht zusätzlich eine Sortierfunktion, deren praktischer Nutzen unklar bleibt. Anders als das Vorgängermodell Deck Mate verfügt der DeckMate 2 über diese optische Erfassung – eine technische Erweiterung, die später zum Sicherheitsrisiko wurde.

Zum Schutz der Systemintegrität implementierte der Hersteller eine Hash-basierte Verifikation. Beim Systemstart berechnet das Gerät eine Prüfsumme der installierten Firmware und vergleicht diese mit einem hinterlegten Referenzwert. Bei Übereinstimmung gilt die Software als unverändert. Zusätzlich verfügt das System über einen USB-Anschluss für Firmware-Aktualisierungen. Mietgeräte sind häufig mit Mobilfunkmodems ausgestattet, die Nutzungsdaten zur Abrechnung an den Hersteller übermitteln.

Identifizierte Schwachstellen im System

Auf der Sicherheitskonferenz Black Hat 2023 präsentierten Forscher ihre Analyse des DeckMate 2. Als Angriffswerkzeug diente ein Raspberry Pi, dessen kompakte Bauform unauffällige Installation ermöglichte. Bei entsprechenden Ressourcen ließe sich die Hardware auf USB-Stick-Größe reduzieren.

Nach Verbindung mit dem USB-Port modifizierte der Mikrocomputer den Systemcode und verschaffte vollständigen Zugriff auf die interne Kamera. Die Kartenreihenfolge wurde in Echtzeit erfasst und via Bluetooth an ein Smartphone übertragen, auf dem eine speziell entwickelte Applikation die Daten visualisierte. Ein Komplize konnte diese Informationen durch diskrete Signale an den betrügerischen Spieler weitergeben.

Die Kompromittierung basierte auf mehreren Konstruktionsschwächen. Bei der Analyse gebrauchter Geräte erhielten die Forscher ein Service-Passwort, weitere Zugangsdaten extrahierten sie aus der Firmware. Diese vom Hersteller festgelegten Systempasswörter sind geräteübergreifend identisch und fest im Code verankert, sodass eine nachträgliche Änderung erheblichen Aufwand erfordert. Die Passwörter sind einem größeren Personenkreis bekannt, was die Angriffsfläche deutlich vergrößert.

Die Hash-Verifikation ließ sich durch Überschreiben des Referenzwerts umgehen. Das System verglich anschließend den Hash des manipulierten Codes mit dem ebenfalls geänderten Referenzwert und stufte die Firmware als authentisch ein.

Geräte mit Mobilfunkmodem könnten theoretisch über gefälschte Basisstationen ferngesteuert werden. Diese Angriffsvariante wurde nicht praktisch verifiziert, erscheint aber technisch plausibel.

Kriminelle Nutzung in der Praxis

Im Oktober 2025 erhob das US-Justizministerium Anklage gegen 31 Personen wegen organisierten Betrugs bei Pokerspielen. Die kriminelle Vereinigung setzte verschiedene Methoden ein, darunter unsichtbar markierte Karten in Kombination mit Spezialbrillen und manipulierte DeckMate 2-Systeme.

An dem Schema waren Mitglieder mehrerer organisierter Kriminalitätsstrukturen sowie ehemalige Profisportler aus der NBA beteiligt. Die Täter organisierten über mehrere Jahre hinweg Pokerrunden mit hohen Einsätzen in verschiedenen US-amerikanischen Städten. Die Anwesenheit bekannter Basketballspieler diente als Köder für vermögende Opfer. Ermittler schätzen den Gesamtschaden auf über sieben Millionen US-Dollar.

Abweichend von der Forschungsmethodik nutzten die Kriminellen bereits kompromittierte Geräte statt nachträglicher Manipulation über den USB-Port. Die Ermittlungsunterlagen dokumentieren einen Fall, in dem ein modifiziertes Gerät unter Androhung von Gewalt beschafft wurde.

Das grundlegende Verfahren entsprach der wissenschaftlichen Machbarkeitsstudie: Die manipulierten Systeme übertrugen Kartendaten an einen externen Komplizen, der diese an das Smartphone eines Spielers weiterleitete. Diese als „Quarterback“ bezeichnete Person steuerte den Spielverlauf durch subtile Signale.

Reaktionen und aktuelle Sicherheitslage

Light & Wonder gab nach Veröffentlichung der Forschungsergebnisse Hardware- und Software-Modifikationen bekannt. Der frei zugängliche USB-Port wurde deaktiviert, die Firmware-Verifikation überarbeitet. Lizenzierte Spielbanken haben diese Aktualisierungen vermutlich implementiert.

Anders stellt sich die Situation bei privaten Pokerclubs und nicht lizenzierten Einrichtungen dar. Dort kommen häufig gebrauchte Geräte zum Einsatz, deren Wartungszustand unklar ist. Regelmäßige Sicherheitsupdates sind in diesem Umfeld unwahrscheinlich, was die Systeme für bekannte Schwachstellen anfällig hält.

Der Fall verdeutlicht typische Sicherheitsprobleme: wiederverwendete Zugangsdaten, ungeschützte Schnittstellen und fehlende Wartung. Für Pokerspieler ergibt sich daraus eine klare Empfehlung: Teilnahme ausschließlich an Spielen in lizenzierten Einrichtungen mit dokumentierten Sicherheitsstandards.

Ursprünglich veröffentlicht von Kaspersky

Entdecke mehr

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf  X / Bluesky / Mastodon