So schützt du deine Online-Konten während der Weltmeisterschaft

Die Weltmeisterschaft 2026 wird in mehreren Austragungsorten stattfinden und ein weltweites Publikum anziehen. Schätzungsweise 6,5 Millionen Fans werden die Stadien besuchen, während viele weitere Reisen buchen, nach Tickets suchen und über Hotel-WLAN auf die WM-App zugreifen.

Wenn du Flüge buchst, Tickets kaufst oder unterwegs auf deine Konten zugreifst, bist du stärker Cyberbedrohungen ausgesetzt als im Alltag. Du nutzt möglicherweise unbekannte Netzwerke, triffst schnelle Entscheidungen oder stehst unter Zeitdruck. Genau das führt dazu, dass Warnsignale leichter übersehen werden.

In diesem Artikel zeigen wir dir die häufigsten Risiken und einfache Maßnahmen, mit denen du deine Online-Konten schützen kannst.

Cyberbedrohungen, auf die du achten solltest

Großveranstaltungen wie die Weltmeisterschaft erhöhen das Risiko für Betrug, weil Nachfrage, Zeitdruck und große Menschenmengen zusammenkommen. Hier sind die Betrugsmaschen, denen du während der WM am häufigsten begegnen kannst.

Gefälschte Ticketseiten und spekulative Angebote

Auf Wiederverkaufsplattformen werden WM-Tickets oft für hohe Summen angeboten, teilweise sogar bevor offizielle Tickets verfügbar sind. Einige Angebote sind spekulativ, das heißt, der Anbieter hofft, später ein Ticket zu beschaffen. Andere sind klarer Betrug.

Ein paar Dinge, die du beachten solltest:

• Offizielle Tickets gibt es nur über autorisierte Verkaufsplattformen.
• Zugelassene Zweitmärkte sind ausschließlich die offiziellen Resale- und Austauschplattformen.
• Für die WM 2026 gibt es keine PDF-Tickets. Alle Tickets sind digital und werden über die offizielle App bereitgestellt. Wenn dir jemand ein PDF oder einen Ausdruck anbietet, handelt es sich um Betrug.
• Tickets außerhalb offizieller Kanäle können jederzeit ohne Vorwarnung storniert werden. Selbst ein scheinbar echtes Ticket aus einem Marketplace kann am Einlass ungültig sein.

Mehr dazu: So vermeidest du Betrugsmaschen mit WM-Tickets

Gefälschte Webseiten für Hotels, Flüge und Visa

Während Ticketbetrug häufig im Fokus steht, ist auch Unterkunftsbetrug ein Problem. Betrüger kopieren Buchungsseiten, erstellen gefälschte Angebote in Städten mit hoher Nachfrage oder schalten Anzeigen, die neben legitimen Anbietern in den Suchergebnissen erscheinen.

Typische Warnsignale:

• Preise deutlich unter dem Marktwert. Wichtig ist das „deutlich“, nicht einfach nur „günstig“
• Anbieter drängen auf Zahlung außerhalb der Plattform: „Kontaktiere mich direkt für 20 % Rabatt.“
• Neue Inserate mit wenigen Bewertungen oder Stockfotos, die sich per Bildersuche finden lassen.
• Leicht falsch geschriebene Domainnamen oder kleine Abweichungen von der echten Webseite.

Einige dieser Seiten gehen noch weiter und geben sich als Login-Seiten aus, um dich zur Eingabe deiner E-Mail-Adresse und deines Passworts zu bringen. Diese Daten können anschließend für Identitätsdiebstahl oder finanziellen Betrug genutzt werden.

Internationale Fans, die in die USA reisen, sollten außerdem auf ESTA-Betrug achten. Drittanbieter, die gegen Gebühr anbieten, den Antrag zu übernehmen, sind keine offiziellen staatlichen Dienste. Den Antrag stellst du direkt über esta.cbp.dhs.gov/.

Phishing-Nachrichten

Sobald du Reisen gebucht oder Tickets gekauft hast, wirst du für Betrüger oft interessanter. Phishing-Nachrichten geben sich als Veranstalter, Airlines, Hotels, Banken oder Lieferdienste aus und versuchen, dich dazu zu bringen, auf einen Link zu klicken.

Typische Beispiele sind:

• „Dein Ticket ist gefährdet. Bestätige dein Konto innerhalb von 24 Stunden.“
• „Änderung deiner Buchung: Prüfe deine Reisedaten hier.“
• „Du hast Tickets für das Finale gewonnen.“
• „Deine Lieferung wird beim Zoll aufgehalten. Zahle 4,99 €, um sie freizugeben.“

Wenn eine Nachricht Druck aufbaut und einen Link enthält, solltest du sie als Warnsignal betrachten. Ein Klick kann dich auf eine gefälschte Webseite führen oder Schadsoftware installieren.

Öffentliches WLAN und gefälschte Hotspots

Öffentliches WLAN an Flughäfen, in Hotels oder Stadien ist praktisch und für einfaches Surfen oft ausreichend sicher. Das eigentliche Risiko liegt jedoch häufig nicht im offiziellen Netzwerk, sondern in einem gefälschten mit einem sehr ähnlichen Namen.

Zum Beispiel kannst du am Flughafen zwei Netzwerke sehen: Airport_Free und Airport_Free_WiFi. Eines davon ist echt, das andere wird von einem Angreifer betrieben. Das nennt man einen Evil-Twin-Angriff. Wenn sich ein Nutzer mit dem gefälschten Netzwerk verbindet, kann der Angreifer unter Umständen unverschlüsselten Datenverkehr mitlesen oder auf manipulierte Webseiten umleiten.

Selbst bei legitimen Netzwerken teilen sich viele Nutzer dieselbe Verbindung. In schlecht gesicherten Netzwerken kann das das Risiko für Datenabgriff oder Überwachung erhöhen.

Mehr dazu: Der komplette Artikel zur WLAN-Sicherheit bei der Weltmeisterschaft

Risikoreiche QR-Codes

QR-Codes sind inzwischen überall zu finden, was sie auch anfällig für Missbrauch macht. Bei sogenanntem QR-Phishing, auch Quishing genannt, überkleben Angreifer echte QR-Codes zum Beispiel auf Speisekarten, Parkautomaten oder Ladestationen. Besucher scannen den Code in der Erwartung, auf eine Zahlungsseite zu gelangen. Stattdessen werden sie auf eine gefälschte Login-Seite weitergeleitet oder laden unbemerkt Schadsoftware herunter.

SIM-Swap-Betrug

Ein SIM-Swap-Betrug liegt vor, wenn jemand einen Mobilfunkanbieter dazu bringt, deine Telefonnummer auf eine SIM oder eSIM zu übertragen, die er selbst kontrolliert. Sobald der Angreifer Zugriff auf deine Nummer hat, kann er unter Umständen SMS-Codes oder Wiederherstellungscodes für deine Konten empfangen.

Bevor du zur Weltmeisterschaft reist

Ein großer Teil der Sicherheitsmaßnahmen passiert schon vor der Reise. Mit ein wenig Vorbereitung kannst du dein Risiko deutlich reduzieren.

Starke und einzigartige Passwörter verwenden

Wenn du Passwörter mehrfach verwendest, kann ein einziges geleaktes Passwort Zugriff auf mehrere Konten ermöglichen. Nutze daher für jedes Konto ein starkes, einzigartiges Passwort. Empfohlen sind mindestens 12 Zeichen mit einer Kombination aus Buchstaben, Zahlen und Sonderzeichen. Alternativ kannst du eine Passphrase verwenden, also eine leicht merkbare Kombination aus zufälligen Wörtern wie purple-piano-radish-cliff.

Ein Passwortmanager wie ExpressKeys kann solche starken Passwörter automatisch erstellen, speichern und beim Login ausfüllen. Es lohnt sich, wichtige Konten wie E-Mail, Banking, WM-App, Airlines oder Hotelzugänge zu hinterlegen und bestehende Passwörter zu ersetzen.

Zwei-Faktor-Authentifizierung aktivieren

Aktiviere die Zwei-Faktor-Authentifizierung (2FA) für wichtige Konten wie Online-Banking, E-Mail und soziale Netzwerke. Dadurch wird eine zusätzliche Sicherheitsstufe hinzugefügt, sodass Angreifer selbst mit Passwort keinen direkten Zugriff erhalten.

2FA per SMS ist besser als gar kein Schutz. Authenticator-Apps oder Sicherheitsschlüssel gelten jedoch als sicherer und funktionieren unabhängig vom Mobilfunknetz. Wenn du diese Maßnahme nur für ein Konto umsetzt, dann für deine E-Mail-Adresse. Sie ist der zentrale Zugangspunkt. Wer Zugriff darauf hat, kann über „Passwort vergessen“ auf viele andere Konten zugreifen.

Tipp: ExpressKeys kann 2FA-Codes generieren, sodass du Passwörter und Authentifizierungscodes an einem Ort verwalten kannst.

Telefon, Browser und Apps aktualisieren

Bevor du losreist, solltest du alle ausstehenden Updates installieren. Updates schließen bekannte Sicherheitslücken, die Angreifer gezielt ausnutzen, um Zugriff auf Geräte zu bekommen. Sobald du im Ausland bist und dich in ein Hotel-WLAN einloggst, möchtest du nicht erst ein großes Update über eine Verbindung herunterladen, der du nicht vollständig vertraust.

Wenn möglich, aktiviere automatische Updates, damit Sicherheitsupdates direkt installiert werden, sobald sie verfügbar sind.

Sicherheits-Tools installieren

Richte auf deinem Gerät Sicherheits-Tools wie ein Antivirenprogramm und ein virtuelles privates Netzwerk (VPN) ein. Ein Antivirenprogramm überprüft dein Gerät, einschließlich Downloads, und erkennt schädliche Dateien oder Apps.

Ein vertrauenswürdiges VPN wie ExpressVPN ist hilfreich, da es deinen Internetverkehr verschlüsselt und so vor Zugriffen in unsicheren Netzwerken schützt. Zusätzlich wird deine IP-Adresse verborgen, wodurch Tracking und einige standortbasierte Betrugsversuche erschwert werden. Ein VPN schützt jedoch nicht vor Phishing oder gefälschten Webseiten. Einige Dienste bieten zusätzliche Funktionen zum Schutz vor schädlichen Inhalten. Zum Beispiel hilft der Threat Manager von ExpressVPN die Verbindungen zu bekannten schädlichen Domains zu blockieren und so das Risiko durch Betrug und Tracking zu reduzieren.

Apps und Berechtigungen überprüfen

Bevor du reist, solltest du Apps entfernen, die du nicht mehr nutzt. So reduzierst du die Menge an gespeicherten Daten und vermeidest unnötige Zugriffsrechte.

Für die verbleibenden Apps solltest du die Berechtigungen in den Einstellungen deines Geräts prüfen. Manche Zugriffe sind notwendig, etwa die Kamera für das Scannen von Tickets. Andere, wie Kontakte oder Standort, sind oft nicht erforderlich.

Wenn du Apps für die Weltmeisterschaft installierst, nutze nur offizielle App Stores oder Webseiten, nicht Links aus E-Mails. Nach der Installation solltest du die Berechtigungen erneut prüfen und auf das Notwendige beschränken.

Daten sichern

Bevor du reist, solltest du wichtige Dateien sichern, zum Beispiel Kontakte, Reisedokumente, Ausweiskopien, Buchungsbestätigungen und E-Mails. Falls dein Smartphone verloren geht oder gestohlen wird, kann das den Unterschied zwischen einem kleinen Ärgernis und einer komplett ruinierten Reise ausmachen.

Außerdem solltest du die Ortungsfunktionen deines Geräts aktivieren:

• iPhone: Einstellungen > [dein Name] > Wo ist? > Mein iPhone suchen aktivieren > anschließend Wo ist?-Netzwerk und Letzten Standort senden einschalten.
• Android: Einstellungen > Sicherheit & Datenschutz > Mein Gerät finden > aktivieren.

Transaktionslimits und Benachrichtigungen aktivieren

Lege tägliche Ausgabelimits und Limits pro Transaktion für deine Karten fest. So behältst du deine Ausgaben besser im Blick und kannst mögliche finanzielle Schäden begrenzen, falls eine Karte verloren geht oder gestohlen wird.

Aktiviere außerdem Benachrichtigungen in deinen Banking-Apps. Dadurch erkennst du verdächtige Aktivitäten schneller, falls ein Konto kompromittiert wird, während du zur Weltmeisterschaft reist.

Vor Ort bei der Weltmeisterschaft

Du hast die wichtigsten Vorbereitungen getroffen. Jetzt geht es um einfache Gewohnheiten im Alltag, mit denen du deine Konten zusätzlich schützen kannst.

Nur offizielle Apps und Webseiten verwenden

Du möchtest ein Ticket weiterverkaufen, tauschen oder an Freunde weitergeben, die zur WM anreisen? All das läuft ausschließlich über die offizielle App. Wenn dir jemand anbietet, Tickets per Screenshot, WhatsApp oder über andere Wege außerhalb der offiziellen Ticket-App „sofort zu übertragen“, solltest du Abstand nehmen.

Speichere außerdem alle offiziellen Webseiten für Tickets, Reisebuchungen und Zahlungen als Lesezeichen ab. So musst du dich nicht auf Suchergebnisse verlassen, in denen oft auch gefälschte Seiten auftauchen.

Prüfe immer die vollständige URL, bevor du ein Passwort eingibst. Achte auf zusätzliche Buchstaben oder ungewöhnliche Domains. Das Schloss-Symbol im Browser bedeutet lediglich, dass die Verbindung verschlüsselt ist. Es garantiert nicht, dass die Webseite echt ist.

Sei außerdem vorsichtig bei Links und QR-Codes. Wenn du eine „dringende“ Nachricht von deiner Airline, deinem Hotel oder deiner Bank erhältst, öffne die App direkt oder rufe die Webseite manuell im Browser auf. Wenn ein öffentlicher QR-Code beschädigt aussieht, überklebt wurde oder mehrere Schichten sichtbar sind, prüfe zuerst die URL-Vorschau, bevor du darauf tippst.

Messenger-Apps absichern

Richte für deine Social-Media-, Messenger- und E-Mail-Apps eine PIN, ein Passwort oder eine biometrische Sperre ein. Prüfe anschließend, welche Inhalte auf dem Sperrbildschirm angezeigt werden, wenn Benachrichtigungen eingehen. Viele Smartphones zeigen standardmäßig den Inhalt von Nachrichten an. In einem vollen Stadion, Zug oder Fanbereich kann das zu sogenanntem Shoulder Surfing führen, bei dem andere Personen sensible Informationen wie PINs oder Sicherheitscodes mitlesen können. Aktiviere stattdessen die Einstellung „Benachrichtigungen ohne Vorschau anzeigen“.

Aktive Sitzungen und verbundene Geräte überprüfen

Apps wie Telegram, WhatsApp oder LinkedIn erlauben es, gleichzeitig auf mehreren Geräten angemeldet zu bleiben. Das ist praktisch, kann aber auch ein Risiko darstellen. Wird ein Gerät gestohlen, könnten Angreifer bestehende Sitzungen ausnutzen, um auf deine Konten zuzugreifen.

Öffne daher regelmäßig die Liste der verbundenen Geräte in deinen Apps und entferne alles, was du nicht erkennst. Wenn du dir kurzfristig ein Gerät leihst, solltest du dich aus allen Apps abmelden, bevor du es zurückgibst.

Betrugsmaschen rund um Großveranstaltungen wie die Weltmeisterschaft richten sich oft gezielt an Fans. Zum Beispiel könnten Angreifer einen Link zu einer angeblichen „Telegram-WM-Gruppe“ verschicken. Dort wirst du aufgefordert, einen QR-Code zu scannen, um der Gruppe beizutreten. Tatsächlich meldet der QR-Code den Angreifer jedoch auf einem anderen Gerät in deinem Konto an.

Automatische Downloads deaktivieren

Deaktiviere automatische Downloads in deinen Messenger-Apps. Dadurch werden Dateien nicht ungeprüft auf deinem Gerät gespeichert.

Angreifer verbreiten manchmal schädliche oder unerwünschte Dateien, die als Ticketangebote, Gewinnspiele oder Sonderaktionen getarnt sind. Wenn du Dateien zuerst überprüfst, bevor du sie öffnest, kannst du dieses Risiko deutlich reduzieren.

Wenn etwas schiefgeht

Du weißt jetzt, wie du deine Messenger-, E-Mail-, Banking- und Zahlungs-Apps während der Weltmeisterschaft besser schützen kannst. Trotzdem gibt es keine hundertprozentige Sicherheit. Falls doch etwas passiert, helfen dir die folgenden Schritte weiter.

Wenn dein Smartphone verloren geht oder gestohlen wird

Melde dich von einem anderen Gerät aus bei „Mein Gerät finden“ von Google oder bei Apples „Wo ist?“ an, um dein Smartphone zu orten oder den letzten bekannten Standort zu sehen. Aktiviere anschließend „Als verloren markieren“ (Android) oder den Verloren-Modus (iPhone), um das Gerät zu sperren, eine Kontaktinformation anzuzeigen und Apple Pay beziehungsweise Google Pay zu deaktivieren.

Im äußersten Fall kannst du dein Gerät aus der Ferne löschen. Danach lässt es sich allerdings nicht mehr orten.

Erstatte außerdem vor Ort eine Anzeige bei der Polizei. Für Reiseversicherungen und viele Kreditkartenversicherungen wird in der Regel eine Vorgangsnummer benötigt.

Wenn du vermutest, dass ein Konto kompromittiert wurde

Wenn du glaubst, dass jemand Zugriff auf dein Konto hat, solltest du schnell handeln:

• Ändere das Passwort von einem anderen Gerät aus.
• Melde alle aktiven Sitzungen ab.
• Aktiviere die Zwei-Faktor-Authentifizierung (2FA) für betroffene Konten. Falls sie bereits aktiviert war, prüfe, ob sie noch aktiv ist und ob Wiederherstellungsnummer oder E-Mail-Adresse verändert wurden.
• Führe einen Sicherheits-Scan auf deinem Gerät durch, wenn du auf einen verdächtigen Link geklickt oder eine Datei heruntergeladen hast.
• Überprüfe die letzten Aktivitäten auf unautorisierte Aktionen.
• Informiere deine Kontakte, falls ohne dein Wissen Nachrichten oder Links über dein Konto verschickt wurden.

Wenn Geld oder Zahlungsdaten gefährdet sind

Wenn du eine Benachrichtigung über eine Transaktion erhältst, die du nicht erkennst, solltest du sie sofort melden.

• Kontaktiere deine Bank, um die Karte sperren zu lassen.
• Lege offiziell Widerspruch gegen die Abbuchung ein. Idealerweise meldest du den Vorfall noch am selben Tag, um mögliche Schäden zu begrenzen.
• Dokumentiere alles: Screenshots, Transaktionsnummern sowie Datum und Uhrzeit.
• Melde den Betrug bei der zuständigen Stelle:
  • USA: https://reportfraud.ftc.gov/ sowie https://www.ic3.gov/ für cyberbezogenen Betrug.
  • Kanada: Canadian Anti-Fraud Centre (https://antifraudcentre.ca/) sowie das Competition Bureau.
  • Mexiko: Procuraduría Federal del Consumidor (PROFECO).
• Falls persönliche Daten wie Reisepass, Führerschein oder die vollständige Social Security Number offengelegt wurden, kannst du möglicherweise eine Kreditsperre beantragen, damit keine neuen Konten in deinem Namen eröffnet werden.

FAQ: Häufige Fragen zum Schutz deiner Online-Konten während der Weltmeisterschaft