Ein Champions-Finale mit zigtausenden Zuschauern im Stadion und Millionen, die die Übertragung verfolgen; ein Massenkonzert mit elektronischen Systemen zur Zugangskontrolle; sogar ein lokales Fußballspiel mit dem gesamten Ticketing- und Abonnentendatenmanagement. Hinter der sportlichen und musikalischen Euphorie stehen bei Großveranstaltungen sehr reale Cybersecurity-Risiken.
Dieser Beitrag wird ein Beitrag in "analytischer Dritter-Person-Perspektive" sein, in dem wir bekannte Fälle von Cyberangriffen bei Sportveranstaltungen untersuchen und die Lehren ziehen, die wir als wertvoll erachten und mit euch teilen möchten.
Wir werden sehen, wie Cyberkriminelle ihr eigenes Spiel spielen, indem sie Infrastrukturen angreifen, Fan-Daten stehlen, Übertragungen sabotieren oder mit gestohlenen Tickets erpressen. Jeder Vorfall liefert uns Erkenntnisse, die nicht nur auf zukünftige Sportveranstaltungen anwendbar sind, sondern auch auf Branchen wie Einzelhandel oder Unterhaltung, die die Notwendigkeit teilen, kritische Abläufe unter medialer Beobachtung zu schützen.
Beginnen wir mit dem Super Bowl, der vielleicht das medienwirksamste jährliche Sportereignis in den Vereinigten Staaten und eines der wichtigsten weltweit ist, was ihn auch zu einem "Superziel" für Cyberkriminelle macht. Je näher das Spiel rückt, desto mehr steigt nicht nur die Spannung ... sondern auch die Versuche von Betrug und digitalem Sabotage.
Tage oder Wochen vorher beginnen gefälschte Webseiten zu kursieren, E-Mails, die exklusive Tickets oder offizielles Merchandise versprechen, und sogar E-Mails, die sich als Organisation ausgeben, um Daten zu stehlen. Das ist schon passiert: 2023 gaben sich E-Mails als das Komitee der Veranstaltung aus, um Lieferanten zu täuschen. Die Leute vertrauen der Aufregung des Moments, und genau dort schlagen die Angreifer zu.
Aber Cyberangriffe richten sich nicht nur gegen die Fans. Im Jahr 2024 wurde ein Unternehmen, das für die Show im Stadion verantwortlich ist, angegriffen, wobei persönliche Daten von über 5.000 Personen offengelegt wurden. Sie griffen nicht direkt die NFL an, sondern einen Partner. Das reichte aus. Seitdem werden Übungen mit Dutzenden von Unternehmen, Sicherheitskräften und Partnern durchgeführt, um sich auf Angriffe vorzubereiten: Massen-Phishing, Ransomware, Datenlecks oder sogar interne Bedrohungen.
Und ja, Ransomware war ebenfalls präsent. Im Jahr 2021 wurden die San Francisco 49ers genau am Wochenende des Spiels angegriffen. Obwohl sie nicht spielten, war der Zeitpunkt für die Angreifer zu verlockend. Ähnliches geschah bei den Olympischen Winterspielen 2018: Während der Eröffnungszeremonie wurde Malware eingeschleust, die die Netzwerke lahmlegte. Seitdem haben viele Sportorganisationen Plan B: Kommunikation außerhalb des Hauptnetzes, manuelle Drehkreuze oder Teams, die bereit sind zu reagieren, falls etwas schiefgeht.
Auch die Fans sind nicht sicher. Im Jahr 2023 wurde ein externer NBA-Anbieter Opfer eines Cyberangriffs, bei dem Daten von Abonnenten von Newslettern gestohlen wurden. Die NBA selbst musste alle wegen Phishing-Risiken warnen. Obwohl ihre Systeme nicht betroffen waren, war der Schrecken real. Moral: Jedes Glied der Kette kann die Eingangstür sein.
Zurück nach Spanien: Der jüngste Fall betraf Deportivo de La Coruña, das vor einigen Tagen Opfer eines Cyberangriffs wurde, der die Datenbank seiner Abonnenten kompromittierte. Der Verein selbst bestätigte, dass am 16. Mai eine Einbruch in einen seiner Cloud-Server entdeckt wurde, was schnelles Handeln erforderte. Die Angreifer konnten auf persönliche Daten von Tausenden von Mitgliedern zugreifen: Name, Nachname, DNI, Adresse, E-Mail, Telefon... Kurz gesagt, alles, was nötig ist, um gezielte Phishing-Kampagnen oder sogar ausgefeiltere Betrugsversuche zu starten. Glücklicherweise versicherte der Verein, dass keine Finanzdaten oder Passwörter eingesehen wurden.
Nachdem der Angriff eingedämmt war, folgte Deportivo den richtigen Schritten: Sie meldeten den Vorfall der Polizei und der spanischen Datenschutzbehörde und schickten eine E-Mail an alle Abonnenten, um sie über das Geschehene zu informieren und sie vor möglichen verdächtigen Anrufen, E-Mails oder Nachrichten zu warnen. Das ist entscheidend. Denn mit nur einem Namen und einer Telefonnummer kann ein Betrüger vortäuschen, vom Verein zu sein, und eine „Datenüberprüfung“ verlangen, um das Abonnement zu erneuern oder die Zahlungskarte zu aktualisieren. Der Verein erkannte dieses Risiko frühzeitig und kommunizierte es klar und transparent, was eine große Lektion im Krisenmanagement ist: Es geht nicht nur darum, den technischen Schaden einzudämmen, sondern auch zu verhindern, dass der Vorfall durch Social Engineering eine zweite Runde erlebt.
Die genauen technischen Details sind nicht bekannt, aber bei einer Cloud-Einbruch kann man von gestohlenen Zugangsdaten bis hin zu unbefugtem Zugriff über eine schlecht geschützte API alles vermuten. Tatsache ist, dass der Angriff, wie in vielen anderen Fällen, nicht von der Größe des Vereins abhing, sondern von seiner digitalen Exponierung. Heutzutage kann jeder zum Ziel werden, wenn jemand deine Datenbank stehlen und in Foren verkaufen will. Die Daten von Fans haben Wert: Sie dienen für Spam-Kampagnen, Betrug oder sogar Erpressung.
Dieser Fall erinnert an einen anderen, der nicht lange zurückliegt. Im Oktober 2023 erlitt die Real Sociedad ebenfalls einen Cyberangriff, der hinsichtlich der kompromittierten Datentypen viel schwerwiegender war. In diesem Fall wurden nicht nur persönliche Daten, sondern auch Bankkonten von Mitgliedern und Aktionären geleakt. Der Angriff wurde der Ransomware-Gruppe LockBit zugeschrieben, die nicht nur die Informationen stahl, sondern sie auch verschlüsselte und Lösegeld forderte. Die Real musste die Betroffenen auffordern, ihre Bankkonten zu überwachen und wachsam zu bleiben.
Der Vergleich ist klar: Deportivo und Real Sociedad waren Ziele unterschiedlicher, aber gleichermaßen realer Bedrohungen und mussten beide Reaktionsmechanismen aktivieren. Daraus ergibt sich eine unvermeidliche Schlussfolgerung: Fußballvereine, ob groß oder klein, sind heute Hüter sensibler Daten und tragen dieselbe Verantwortung wie jedes Unternehmen in Bezug auf Schutz, Kommunikation und Einhaltung von Vorschriften.
Die Champions League und die Tercera División haben mehr gemeinsam als nur Fußball: Cyberangriffe kennen keine Wappen. Und jeder Vorfall, so klein er auch scheinen mag, erinnert uns daran, dass Cybersicherheit ein Spiel ist, das alle Akteure des Profisports (Ligen, Vereine, Sponsoren und Dienstleister) spielen müssen.
Am Ende ist die Schlussfolgerung klar: Cybersicherheit ist jetzt Teil des Spiels. Hinter jedem großen Finale steht ein Team, das dafür sorgt, dass in der digitalen Welt nichts explodiert. Und der Schlüssel ist nicht zu warten, bis etwas passiert, sondern vorher zu üben und Lücken zu schließen. Wie jemand, der einen entscheidenden Spielzug vor dem großen Tag trainiert.
Was mit Deportivo und Real Sociedad passiert ist, sind keine Ausnahmen: es sind klare Zeichen dafür, dass der Sport, wie jeder andere Sektor auch, Cybersicherheit ernst nehmen muss. Es geht nicht mehr nur darum, einen Server zu schützen oder einen einzelnen Fehler zu beheben, sondern den gesamten Ansatz zu ändern, mit dem Technologie in Organisationen verwaltet wird, die neben der Leidenschaft auch persönliche Daten, Geld und Reputation in Echtzeit handhaben.
Die Lektionen sind klar: sensible Informationen schützen, als wären sie Gold (weil sie es sind), einen Reaktionsplan bereit haben, wenn etwas schiefgeht, und vor allem die Betroffenen schnell und klar informieren. Etwas so Einfaches wie eine gut geschriebene, rechtzeitig versendete E-Mail kann verhindern, dass Hunderte von Menschen nach einer Datenpanne auf einen Betrug hereinfallen.
Es ist auch entscheidend, den "Krisenmodus" im Voraus zu trainieren. Was passiert, wenn am Spieltag die Drehkreuze ausfallen oder die Bezahlsysteme abstürzen? Und wenn der Riesenbildschirm oder die Anzeigetafel gehackt werden? Wie bei jeder Veranstaltung ist Improvisation in der Hitze des Gefechts meist teuer. Deshalb haben viele Teams und Ligen begonnen, diese Szenarien zu proben, als wären sie Teil der Vorbereitung.
Und das gilt nicht nur für den Sport. Jeder, der ein Konzert, ein Festival, einen Black Friday oder eine große E-Commerce-Kampagne organisiert, kann aus diesen Fällen lernen. Denn am Ende sind die Bedrohungen dieselben und die Erwartungen des Publikums auch: dass alles funktioniert, ihre Daten sicher sind und niemand sie mit einer gefälschten E-Mail oder einem gefälschten Ticket betrügt.
Die große Erkenntnis, die ihr alle kennt, ist, dass Cybersicherheit nicht mehr nur eine Sache von Technikern in einem abgeschotteten Raum ist. Sie ist Teil der Show. Wenn sie gut gemacht wird, fällt sie nicht auf. Aber wenn sie versagt, kann sie alles überschatten. Deshalb muss man akzeptieren, dass es genauso wichtig ist, in der Sicherheit offensiv zu spielen – vorbeugen, simulieren, schulen – wie Talent auf dem Spielfeld, auf der Bühne oder hinter einem Onlineshop.
Und wenn nicht, dann sollen das diejenigen sagen, die dachten, Deportivo sei "kein interessantes Ziel"... bis jemand mit nur einem Klick die Datenbank ihrer Abonnenten mitnahm.
