Thought Leadership
Die Fußball-Weltmeisterschaft 2026 wirft ihre Schatten voraus, doch für Cyberkriminelle ist das Turnier bereits eröffnet. Laut einer Analyse lassen über ein Drittel der offiziellen Partner gefährliche Sicherheitslücken bei der E-Mail-Authentifizierung.
Die Vorfreude auf die Fußball-Weltmeisterschaft 2026 in den USA, Kanada und Mexiko ist riesig. Doch während Millionen von Fans weltweit ihre Reisen planen, Flüge buchen und nach den begehrten Tickets suchen, bereitet sich im Hintergrund eine ganz andere Gruppe auf das Turnier vor: Cyberkriminelle. Große Sportereignisse bieten eine ideale Bühne für Betrugsmaschen, die auf der Euphorie und der emotionalen Bindung der Fans basieren. Eine aktuelle Untersuchung des Cybersicherheitsunternehmens Proofpoint liefert nun beunruhigende Zahlen zur digitalen Abwehrbereitschaft im direkten Umfeld der FIFA.
Betrügermails löschen, bevor sie beim Empfänger ankommen
Im Zentrum der Analyse stand die E-Mail-Sicherheit der offiziellen Sponsoren, Ausrüster und Partner der Weltmeisterschaft. Das Ergebnis ist ernüchternd: Mehr als ein Drittel (36 Prozent) der untersuchten Unternehmen verfügt nicht über die notwendigen Sicherheitsvorkehrungen, um aktiv zu verhindern, dass Betrüger ihre Markennamen für kriminelle E-Mails missbrauchen. Damit setzen diese Unternehmen nicht nur sich selbst, sondern vor allem ihre Kunden und die Fans einem erheblichen Risiko von Identitätsdiebstahl und Finanzbetrug aus.
Das technologische Herzstück dieser Debatte ist das sogenannte DMARC-Protokoll (Domain-based Message Authentication, Reporting and Conformance). Es fungiert wie ein digitaler Ausweisprüfer für E-Mails. Wenn ein Unternehmen DMARC korrekt einsetzt, wird jede eingehende Nachricht daraufhin geprüft, ob sie tatsächlich vom angegebenen Absender stammt. Der sicherste Modus dieses Protokolls nennt sich Reject. In diesem Fall werden gefälschte E-Mails, die den Markennamen imitieren, sofort gelöscht oder blockiert, noch bevor sie den Posteingang des Empfängers erreichen.
DMARC nicht richtig genutzt
Die Untersuchung von Proofpoint ergab, dass zwar fast alle Partner der Weltmeisterschaft (96 Prozent) einen grundlegenden DMARC-Eintrag hinterlegt haben, was zeigt, dass das Problembewusstsein vorhanden ist. Doch der entscheidende Schritt fehlt oft: Nur 64 Prozent nutzen die strikte Reject-Einstellung. Das bedeutet im Umkehrschluss, dass bei 36 Prozent der Partner das Tor für betrügerische Nachrichten weit offen steht. Cyberkriminelle können in diesen Fällen täuschend echte E-Mails im Namen bekannter Sponsoren oder Reiseanbieter versenden, ohne dass die automatischen Filter der E-Mail-Anbieter sie zuverlässig stoppen könnten.
„Großveranstaltungen wie die FIFA-Weltmeisterschaft sorgen für enorme Begeisterung – von Reiseplänen und Ticketkäufen bis hin zu Sonderangeboten und Fanartikeln. Leider bietet dies auch Betrügern Gelegenheiten, Fans auszunutzen. Es ist zwar ermutigend, dass viele Partnermarken Maßnahmen zur Verbesserung ihrer E-Mail-Sicherheit ergriffen haben, doch zu viele lassen immer noch das Tor für betrügerische Nachrichten offen. Ohne stärkere Schutzmaßnahmen wird es für Kriminelle einfacher, sich als vertrauenswürdige Marken auszugeben und Menschen dazu zu verleiten, persönliche Daten preiszugeben oder Zahlungen für gefälschte Angebote zu leisten.“
Matt Cooke, Cybersecurity-Stratege bei Proofpoint
Für die Fans bedeutet das: Höchste Wachsamkeit ist geboten. Experten raten dazu, Tickets ausschließlich über die offiziellen Kanäle der FIFA zu beziehen. Der Weltverband selbst geht mit gutem Beispiel voran und hat die strikteste Sicherheitsstufe für seine E-Mail-Kommunikation umgesetzt. Bei Nachrichten von Partnern oder Sponsoren der Weltmeisterschaft, die zu dringenden Handlungen, sofortigen Zahlungen oder der Preisgabe von Passwörtern auffordern, sollten die Alarmglocken schrillen. Seriöse Organisationen fordern solche sensiblen Daten niemals per E-Mail oder Textnachricht an. Wer im Zweifel ist, sollte das Unternehmen über die offizielle Webseite oder per Telefon kontaktieren, anstatt auf Anhänge oder Verlinkungen in einer verdächtigen Nachricht zu reagieren.
