Die Vorfreude auf die Fußball-Weltmeisterschaft 2026 macht Fans leichtsinnig – und das nutzen Cyberkriminelle schamlos aus. Sicherheitsforscher haben Millionen von kompromittierten Passwörtern entdeckt, die Namen von Stars und Vereinen enthalten. Besonders gefährlich: Diese schwachen Zugangsdaten gefährden auch Unternehmensnetzwerke.
Fußball-Idole als Sicherheitsrisiko
Eine Analyse von 6,4 Milliarden geknackten Passwörtern durch die Firma Specops Software fördert erschreckende Zahlen zutage. Der Name Messi taucht mehr als 1,2 Millionen Mal in den Datensätzen auf, Ronaldo immerhin rund 923.000 Mal. Der Vereinsname Roma wurde sogar in über 5,3 Millionen Fällen identifiziert.
Anzeige: Wer die 4.300 betrügerischen WM-Domains und die Millionen kompromittierten Passwörter mit Star-Namen richtig einordnen will, findet in diesem Report die wichtigsten Abwehr-Hebel – von Domain-Checkliste bis Passwort-Audit. Jetzt kostenlosen Sicherheits-Report anfordern
Das Problem: Solche kontextuell schwachen Passwörter werden von den Standardrichtlinien vieler Active-Directory-Systeme nicht abgefangen. Hinzu kommt eine erschreckend hohe Wiederverwendungsrate von 80 bis 85 Prozent unter Fußballfans. Ein gefundenes Fressen für Hacker. Der heutige Internationale Passwordless Day am 23. Juni erinnert daran, dass seit 2025 weltweit bereits über 16 Milliarden Passwörter kompromittiert wurden.
Tausende betrügerische WM-Domains im Netz
Die Vorbereitungen auf das Turnier haben eine wahre Flut an kriminellen Webseiten ausgelöst. Zwischen Januar und Mai 2026 wurden über 13.000 FIFA-bezogene Domains registriert. Jede 41. davon ist nachweislich bösartig. Die Sicherheitsfirma Group-IB identifizierte mehr als 4.300 betrügerische Domains, die offizielle FIFA-Seiten imitieren – für Ticketbetrug, Merchandise-Fakes und gefälschte Buchungsportale.
Besonders perfide: Eine spezialisierte Phishing-Kampagne, die von der Firma CUJO AI aufgedeckt wurde, nutzt mindestens 21 Domains, die seit Frühjahr 2026 registriert wurden. Seiten wie fifajobs.com oder fifa-careerhub.com geben sich als offizielle FIFA-Karriereportale aus. Die Masche: Private E-Mail-Adressen werden abgewiesen, Bewerber müssen ihre geschäftliche E-Mail angeben – und geben so ihre Firmenzugänge preis.
Die Sicherheitsfirma Zimperium hat die Angriffe in verschiedene Kampagnen unterteilt:
– Ghost Stadium: Nutzt Tippfehler bei Webadressen (Typosquatting) für SSO-Betrug
– OffsideHire: Setzt auf „Adversary-in-the-Middle“-Techniken, um Unternehmenssitzungen zu kapern
Kritische Sicherheitslücke im FIFA-System aufgedeckt
Die Dimension der WM 2026 ist gewaltig: 16 Gastgeberstädte in drei Ländern. Das erweitert die Angriffsfläche enorm. Laut aktuellen Studien berichteten 84 Prozent der Sportorganisationen von Cybervorfällen im vergangenen Jahr, über die Hälfte sogar von mehreren Angriffen.
Ein alarmierender Vorfall zeigt, wie verwundbar selbst die FIFA ist. Ein Sicherheitsforscher namens BobDaHacker registrierte sich als Agent auf der offiziellen FIFA-Agentenplattform – und erhielt dadurch unautorisierten Zugriff auf einen Microsoft-Entra-Tenant. Die Folge: Er konnte auf die Live-Streaming-Panels für alle WM-Spiele zugreifen, inklusive interner Kameraperspektiven und Stream-Keys. Sogar Schreibzugriff auf das Kommentator-Informationssystem, das Spielstände und Statistiken verwaltet, hatte er. Der Fehler lag in unzureichender serverseitiger Sicherheitsprüfung. Nach Koordination mit MediaKind, dem FBI und der US-Cybersicherheitsbehörde CISA wurde die Lücke geschlossen.
KI macht Betrug kaum noch erkennbar
Die Bedrohungslage wird durch den Einsatz Künstlicher Intelligenz noch gefährlicher. Kriminelle nutzen KI, um personalisierte Phishing-Nachrichten und Deepfakes zu erstellen. Für die erwarteten sechs Millionen Fans wird es immer schwieriger, Betrug zu erkennen.
Anzeige: Fußballfans im Unternehmen nutzen oft schwache Passwörter mit Star-Namen – 80–85 Prozent wiederverwendet. Das öffnet Hackern Tür und Tor. Dieser Leitfaden zeigt, wie Sie mit einfachen Active-Directory-Anpassungen und Phishing-Training Ihre Firmennetze schützen. Passwort-Sicherheitsaudit jetzt sichern
Ein Bericht des Center for Internet Security und der Wein Strategy Lab identifiziert vier Hauptbetrugsmuster rund um die WM:
– Social-Media-Betrug und illegale Tippspiele
– Angebliche Insider-Tipps und illegale Wettangebote
– Geldwäsche über Kryptowährungen und Wettplattformen
– Direkte Bedrohungen von Athleten über verschlüsselte Messenger
FIFA setzt zwar auf die Avalanche-Blockchain für sein offizielles Ticketsystem und hat bereits über 100.000 „Right-to-Buy“-Zertifikate ausgegeben. Doch die Betrüger sind flexibel. Die Firma TRM Labs entdeckte mehrere Krypto-Adressen, die mit gefälschten Ticketverkäufen in Verbindung stehen – eine davon erhielt noch im April 2026 Zahlungen.
Sicherheitsexperten empfehlen Unternehmen dringend, Tabletop-Übungen durchzuführen und das Bewusstsein der Mitarbeiter zu schärfen. Denn eines ist klar: Die WM 2026 wird nicht nur auf dem Rasen, sondern auch im Netz ein hart umkämpftes Turnier.
