19. Juni 2026, 12:18 Uhr | Lesezeit: 3 Minuten
Eine Sicherheitsforscherin hat nach eigenen Angaben eine Sicherheitslücke in den Systemen der FIFA entdeckt. Die Expertin soll über ein offizielles FIFA-Portal Zugriff auf interne Bereiche erhalten haben, die für normale Nutzer eigentlich tabu sind.
Laut eigenen Aussagen meldete sich die Forscherin, die unter dem Namen „BobDaHacker“ bekannt ist, zunächst ganz normal auf einem FIFA-Portal für Partner und Agenten an. Bei der Analyse der dahinterliegenden Systeme fiel ihr allerdings auf, dass die Zugriffsrechte offenbar nicht überall korrekt eingerichtet waren.
Dadurch konnte sie auf interne Anwendungen und Verwaltungsoberflächen zugreifen, die für gewöhnliche Nutzer eigentlich gar nicht erreichbar sein sollten. Solche Fehler gehören zu den häufigsten Sicherheitsproblemen im Internet. Man spricht dabei von „Broken Access Control“ – also unzureichend geschützten Zugriffsrechten.
Darum war die Schwachstelle so brisant
Erst bei genauerer Analyse zeigte sich, wie weitreichend die Folgen der Sicherheitslücke hätten sein können. Die Hackerin stieß nach eigenen Angaben auf Systeme, die für die Verteilung und Verwaltung der offiziellen FIFA-Übertragungen genutzt werden.
Nach ihrer Einschätzung hätte ein Angreifer nicht nur einzelne Livestreams beeinflussen können. Es wäre sogar möglich gewesen, Kamerafeeds, Einblendungen oder andere Inhalte der weltweiten TV-Übertragung zu manipulieren. In ihrem Blogbeitrag schreibt sie, dass ein einzelner Angreifer theoretisch alle Kameras gleichzeitig hätte übernehmen können.
BobDaHacker selbst ging dabei nicht weiter als nötig. Sie dokumentierte die Schwachstelle und informierte die FIFA. In ihrem Bericht schrieb sie scherzhaft, dass man theoretisch die gesamte Weltmeisterschaft hätte „rickrollen“ können – Millionen Zuschauer hätten dann statt des eigentlichen Programms plötzlich das bekannte Musikvideo von Rick Astley zu sehen bekommen.
Ob ein Angreifer tatsächlich die volle Kontrolle über die Übertragungen erlangt hätte, lässt sich von außen allerdings nicht unabhängig bestätigen.
FIFA schloss die Lücke innerhalb weniger Stunden
Mindestens ebenso problematisch wie die Sicherheitslücke selbst war wohl die Kommunikation mit der FIFA. In ihrem Blogbeitrag schreibt BobDaHacker, insgesamt zehn Versuche unternommen zu haben, den Fußballverband über verschiedene Kanäle auf das Problem aufmerksam zu machen. Weil sie nach eigenen Angaben keine Reaktion erhielt, schaltete sie schließlich sogar das FBI und die US-Cybersicherheitsbehörde CISA ein. Erst danach kam Bewegung in die Sache und am nächsten Tag war die Sicherheitslücke dann geschlossen.
Auch interessant: Alle Details zur Fußball-WM 26 im Überblick
Eine direkte Antwort der FIFA soll es dennoch nicht gegeben haben. Entsprechend kritisch fällt ihr Fazit aus. „Wenn ein Forscher die CISA und das FBI anrufen muss, um euch zu erreichen, läuft etwas schief“.
Zudem empfiehlt BobDaHacker der FIFA, ein sogenanntes Bug-Bounty-Programm einzuführen. Dabei können Sicherheitsforscher Schwachstellen melden und werden dafür teilweise finanziell belohnt. Außerdem sollte der Verband aus ihrer Sicht eine klare Richtlinie veröffentlichen, wie Sicherheitslücken gemeldet werden können. „Ihr veranstaltet das größte Sportereignis der Welt“, begründet sie ihre Kritik.