Flashpoint bezeichnet das aktuelle Bedrohungsumfeld rund um die FIFA-WM 2026 als dynamisch. Die Analysten sehen ein Zusammenspiel aus physischer Sicherheit, zivilen Unruhen, Cyberbedrohungen und geopolitischen Entwicklungen. Proteste in den Gastgeberländern hätten bereits zu Demonstrationen und Zusammenstößen mit Sicherheitskräften geführt, unter anderem im Zusammenhang mit dem Turnier selbst, FIFA, Wohnraumfragen, Einwanderungsmaßnahmen, Arbeitsthemen und Spannungen mit Iran-Bezug. Zugleich betont Flashpoint, man habe bislang keine glaubwürdigen Hinweise auf einen unmittelbar bevorstehenden Angriff auf Austragungsorte oder Teilnehmer identifiziert.
Im digitalen Raum beobachtet Flashpoint eine anhaltende kriminelle Aktivität mit starkem Fokus auf Social Engineering. Die Motive reichten im Allgemeinen von Geld bis zu Daten. Angreifer setzten demnach auf Ticketbetrug, bei dem rechtmäßig gekaufte Karten gestohlen und weiterverkauft werden, auf Phishing sowie auf Ransomware und DDoS-Angriffe gegen Transportsysteme, den Stadionbetrieb und Netzwerke im Gastgewerbe. Hinzu komme die gezielte Suche nach Schwachstellen in öffentlich erreichbaren Systemen.
Wie der Flashpoint-Beitrag weiter ausführt, warnen Sicherheitsforscher und Strafverfolgungsbehörden vor tausenden betrügerischen Domains, die FIFA-bezogene Angebote imitieren. Dazu zählten gefälschte Ticketportale, Merchandising-Seiten, Streaming-Dienste und vermeintliche Stellenangebote. Ihr Ziel sei es, Zugangsdaten und persönliche Informationen zu stehlen.
Außerdem haben Analysten nach eigenen Angaben Behauptungen von hacktivistischen und staatsnahen Akteuren beobachtet, die sich mit WM-bezogenen Aktivitäten in Verbindung bringen wollen. Viele dieser Angaben seien jedoch nicht verifiziert. Dennoch wertet Flashpoint das Turnier als eine Art Belastungstest für globale Infrastrukturen. Selbst dort, wo öffentlich verbreitete Behauptungen unbestätigt blieben, zeige sich ein anhaltendes Interesse politisch motivierter Cyberakteure, die hohe Sichtbarkeit des Turniers für Botschaften, Aufmerksamkeit oder Angriffe auf unterstützende Infrastruktur zu nutzen.
Flashpoint verweist zudem auf weitere Monetarisierungsmöglichkeiten durch KI-gestützte Betrugskampagnen, gefälschte Wohnungs- und Mietangebote, Transportbetrug etwa im Zusammenhang mit Fahrdiensten sowie Manipulationen bei Sportwetten. Betroffen seien nicht nur direkt am Turnier beteiligte Stellen, sondern eine große Zahl von Organisationen und Unternehmen im Umfeld der Veranstaltung. Genannt werden Anbieter aus Hotellerie, Gastronomie, Getränkeversorgung und Transport ebenso wie lokale Unternehmen und Softwarefirmen, die Abläufe und Absicherung des Turniers unterstützen.
Kayne McGladrey, leitendes Mitglied des Institute of Electrical and Electronics Engineers (IEEE), sagte Dark Reading, Teams könnten Datenfluten besser bewältigen, wenn sie vor großen Ereignissen ein Profil des normalen Verhaltens erstellen, damit Abweichungen sofort automatische Reaktionen auslösen. Dafür könnten Verteidiger dedizierte Honeypots nutzen, die Stadioninfrastruktur nachbilden, sowie Verhaltens-Telemetrie in Echtzeit aus dem eigenen Netzwerk, um ungewöhnliche Aktivitäten in IT- und OT-Schichten schon in den Minuten vor einem Angriff zu erkennen.
McGladrey empfiehlt zudem Bedrohungssuche vor der Veranstaltung und eine Feinabstimmung von Warnmeldungen, um bekannte Fehlkonfigurationen früh zu beseitigen und die Zahl irrelevanter Signale zu senken. Als größte Schwachstelle klassischer Sicherheitsarchitekturen bezeichnet er unkontrollierte Netzwerkverbindungen zwischen geschäftlicher IT und Betriebstechnik wie Klima- oder Beleuchtungssystemen, über die sich Angreifer leicht seitlich bewegen könnten. Ebenso würden Organisationen seiner Einschätzung nach Risiken in der Lieferkette regelmäßig unterschätzen, etwa wenn vertrauenswürdige Anbieter dauerhaften Zugriff behalten oder günstige Komponenten mit eingebauten Hintertüren eingesetzt werden.