Retarus: Fussball-WM 2026 – Wie Cyberkriminelle beim grössten Sportereignis mitspielen

München – Millionen Menschen weltweit fiebern mit ihren Nationalmannschaften bei der FIFA Fussball-Weltmeisterschaft in den USA. Doch während Fans Tore bejubeln, Spielstatistiken verfolgen und Livestreams einschalten, beobachten Cyberkriminelle das Geschehen mit ganz anderen Absichten. Sören Schulte, E-Mail-Security-Experte bei Retarus, erklärt, warum globale Sportereignisse regelmässig zur Hochsaison für E-Mail-basierte Angriffe werden und was Unternehmen tun können, um ihre Mitarbeiter und sich selbst zu schützen.

Grosse Sportereignisse sind für Cyberkriminelle aus einem einfachen Grund attraktiv: Sie liefern emotionalen Kontext. Wenn Millionen Menschen gleichzeitig auf Ergebnisse, Streaming-Links, Wettquoten und Nachrichten rund um ihre Lieblingsmannschaften warten, sinkt die Hemmschwelle, auf einen Link zu klicken oder einen Anhang zu öffnen. Genau diese Kombination aus Neugier, Zeitdruck und Emotionalität nutzen Angreifer gezielt aus.

Der gefährlichste Gegner steht nicht auf dem Platz
Die Angriffsmuster sind dabei alles andere als neu, lediglich das Thema wird an das aktuelle Turnier angepasst. In den Wochen rund um die WM lässt sich ein deutlicher Anstieg Phishing-basierter Betrugsversuche feststellen. Als Köder dienen dabei vor allem:

• Streaming-Angebote – gefälschte Links zu angeblichen Gratis-Livestreams
• Wett- und Gewinnspielaktionen – vermeintliche Sonderangebote oder Bonusaktionen
• Breaking News – eilige Meldungen zu Spielern, Mannschaften oder Turnierergebnissen
• Spielberichte und Analysen – Anhänge, die Schadsoftware enthalten

Hinzu kommt ein spezifisches Risiko dieser Turniersaison: Rund um die WM entstehen in kürzester Zeit zahlreiche neue Websites für Analysen, Fan-Foren oder Streaming. Da solche Seiten oft unter enormem Zeitdruck aufgebaut werden, verfügen sie nicht immer über ein ausreichendes Sicherheitsniveau. Selbst legitime Seiten können kompromittiert werden und unbemerkt Schadcode verbreiten. Wer auf einen präparierten Link klickt, kann sich so allein durch den Besuch einer Webseite Malware einfangen – ganz ohne weitere Interaktion. Dass das kein theoretisches Risiko ist, zeigen auch aktuelle Behördenwarnungen: Das FBI weist auf gefälschte FIFA-Websites hin und listet Beispiele für Spoofing- und Typosquatting-Domains, die auf Datendiebstahl und Ticketbetrug abzielen.

Auch das kanadische Cyber Centre erwartet rund um die WM 2026 eine Vielzahl ereignisbezogener Phishing- und Betrugskampagnen über Anzeigen, Websites und Apps.

Was Fans jetzt beachten sollten – privat wie beruflich
Das Tückische an WM-Phishing: Der emotionale Kontext macht keinen Halt vor dem Firmen-Laptop. Mitarbeiter, die tagsüber im Homeoffice arbeiten und nebenbei Spielstände verfolgen, sind ebenso gefährdet wie Nutzer, die abends im Privaten auf verdächtige E-Mails hereinfallen und dabei womöglich Zugangsdaten kompromittieren, die sie für berufliche Anwendungen wiederverwenden.

Für Endnutzer gelten deshalb einige klare Grundregeln:

• Direkt zur Quelle: Streaming-Dienste, Nachrichtenportale oder Sportwetten-Anbieter immer direkt über den Browser oder die offizielle App aufrufen – niemals über einen Link in einer E-Mail.
• Misstrauen bei Superlativen: Angebote, die zu gut klingen, um wahr zu sein, sind es meistens auch. Das gilt für kostenlose Streams ebenso wie für angebliche WM-Tickets oder exklusive Wettboni.
• Zugangsdaten niemals wiederverwenden: Wer dasselbe Passwort für private Fan-Plattformen und berufliche Anwendungen nutzt, öffnet Angreifern Tür und Tor.

Was Unternehmen jetzt tun sollten
Auch wenn das Risiko auf den ersten Blick privat erscheint – für Unternehmen entstehen daraus handfeste Bedrohungsszenarien. Es empfehlen sich folgende 5 Schritte, um die erhöhte Bedrohungslage rund um die WM aktiv in die Sicherheitsstrategie einzubeziehen:

1. Alle Schutzmassnahmen vollständig aktivieren: Falls für bestimmte Nutzergruppen oder Anwendungen reduzierte Sicherheitsrichtlinien oder -ausnahmen gelten, sollten diese während des Turniers vorübergehend verschärft werden.
2. Time-of-Click-Protection konsequent einsetzen: Moderne URL-Schutzmechanismen analysieren Links nicht nur beim Eingang einer E-Mail, sondern erneut im Moment des Klicks. Gerade bei neu registrierten oder kurzfristig kompromittierten WM-Websites bietet das entscheidenden Mehrschutz. Ebenso wichtig: Mitarbeiter sollten explizit darauf hingewiesen werden, Sicherheitswarnungen ernst zu nehmen und Splash-Page-Warnungen nicht reflexartig wegzuklicken.
3. Zusätzliche Erkennungsschichten aktivieren: Da Cyberkriminelle ihre Kampagnen schnell an aktuelle Ereignisse anpassen, können Lösungen wie Post-Delivery-Protection oder KI-gestütztes Sandboxing entscheidend sein. Sie identifizieren bislang unbekannte Bedrohungen, noch bevor klassische Sicherheitssignaturen verfügbar sind.
4. Attachment Blocker aktualisieren: Potenziell gefährliche Dateitypen sollten konsequent blockiert oder besonders gründlich geprüft werden. Angreifer nutzen WM-Themen auch, um kompromittierte Anhänge – etwa angebliche Spielpläne oder Statistik-Dokumente – in Umlauf zu bringen.
5. Für den Ernstfall vorsorgen: Auch bei umfassenden Schutzmassnahmen lässt sich ein Sicherheitsvorfall nicht vollständig ausschliessen. Ein E-Mail-Continuity-Service ermöglicht die Fortsetzung der geschäftlichen E-Mail-Kommunikation, selbst wenn die primäre Mail-Infrastruktur beeinträchtigt ist. Gleichzeitig liefern Observability-Metriken frühzeitige Hinweise auf ungewöhnliche Aktivitäten, Zustellungsprobleme oder andere Auffälligkeiten.

Nach der WM ist vor der EM
Das Turnier endet. Die Bedrohungslage nicht. Mit jedem globalen Ereignis, ob Sportturnier, politische Wahl oder Kulturereignis, entstehen vergleichbare Angriffsmuster, die gezielt Emotionen und Informationsinteresse ausnutzen. Unternehmen, die ihre Sicherheitsmassnahmen regelmässig überprüfen und an das aktuelle Bedrohungsgeschehen anpassen, sind langfristig besser aufgestellt – ganz gleich, was als Nächstes steht. (Retarus/mc/ps)