Bedrohungen bekämpfen: Cyber-, Einfluss- und physische Bedrohungen für die FIFA-Weltmeisterschaft 2022 in Katar

Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.

Dieser Bericht analysiert die Bedrohungslandschaft im Vorfeld der FIFA-Weltmeisterschaft 2022 in Katar, die am 20. November 2022 beginnt. Zu den analysierten Bedrohungen zählen staatlich geförderte Cyberoperationen, finanziell motivierte Cyberbedrohungen, Einflussoperationen und Bedrohungen der physischen Sicherheit. Dieser Bericht dürfte vor allem für Organisationen von Interesse sein, die an der Ausrichtung, Durchführung oder dem Sponsoring der FIFA-Weltmeisterschaft 2022 beteiligt sind, sowie für Einzelpersonen, die beabsichtigen, an dem Turnier teilzunehmen oder ihm beizuwohnen.

Executive Summary

Die vielfältigen Bedrohungen für die FIFA-Weltmeisterschaft 2022 in Katar werden größtenteils durch die einzigartige geopolitische Position Katars auf einer umstrittenen Weltbühne bestimmt. Das Land pflegt gute Beziehungen zu Großmächten wie den Vereinigten Staaten (USA), Europa, China und dem Iran.

Wir haben keine unmittelbar bevorstehenden, geplanten oder laufenden staatlich geförderten Cyberoperationen identifiziert, die mit bekannten Advanced Persistent Threat (APT) -Gruppen in Verbindung stehen und die auf die FIFA-Weltmeisterschaft 2022 in Katar oder deren Organisatoren, Sponsoren oder die zugehörige Infrastruktur abzielen. Es ist unwahrscheinlich, dass China, der Iran und Nordkorea einen Störangriff auf das Turnier starten, da ihnen aufgrund ihrer Beziehungen zu Katar, ihrer Beteiligung an der Planung und Durchführung der Spiele oder anderer nationaler Prioritäten die Motivation dazu fehlt. Dennoch betrachten staatlich geförderte APT-Gruppen, die mit der Sammlung ausländischer Geheimdienstinformationen beauftragt sind, die Fußballweltmeisterschaft 2022 wahrscheinlich als ein zielreiches Umfeld für Cyber-Spionage und Überwachung ausländischer Würdenträger und Geschäftsleute.

Russland ist ein Außenseiter und hegt höchstwahrscheinlich eine Reihe schwerwiegender Beschwerden und damit auch Motivationen, die Fußballweltmeisterschaft 2022 ins Visier zu nehmen. So möchte das Land etwa Katar als Gastgeberland in Verlegenheit bringen, weil es sich auf die Seite der Koalition der Länder gestellt hat , die die territoriale Integrität der Ukraine unterstützen. Zudem möchte es Vergeltung dafür üben, dass Russland von der Teilnahme an dem Turnier ausgeschlossen wurde. Es gibt in der Vergangenheit bereits Präzedenzfälle für Cyberangriffe Russlands auf große Sportereignisse. Allerdings sind russische APT-Gruppen höchstwahrscheinlich durch den Krieg Russlands gegen die Ukraine abgelenkt und dürften daher keinen Störangriff auf die Fußball-Weltmeisterschaft 2022 durchführen. Wir können jedoch nicht ausschließen, dass die russische Regierung solche Angriffe nationalistischer russischer Hacktivistengruppen oder Ransomware-Betreiber fördert oder anderweitig stillschweigend gutheißt.

Große internationale Sportereignisse sind auch für finanziell motivierte Cyberkriminelle attraktive Ziele. Bei turnierbezogenen Phishing-Angriffen kommen verschiedene Köder zum Einsatz, beispielsweise sogenannte Ticket-Giveaways, kostenlose Streaming-Dienste zum Ansehen der Spiele, gefälschte Wett-Websites und turnierbezogene Dinge wie Visa sowie Reise-, Hotel- und Restaurantreservierungen. Zu den weiteren Bedrohungen durch Cyberkriminelle zählen unter anderem: gefälschte mobile Anwendungen rund um die Veranstaltung, die Malware verbreiten und Benutzerdaten sammeln können; der Verkauf gefälschter Tickets und kompromittierter Anmeldeinformationen auf Darknet-Märkten und in Darknet-Shops; und, wie oben erwähnt, Ransomware-Angriffe, die wahrscheinlich gezielt auf Opfer abzielen, basierend auf Zugänglichkeit, Gelegenheit und Faktoren wie der Fähigkeit, hohe Lösegeldbeträge zu zahlen.

Die Einflussaktivitäten des Iran, Chinas und Russlands im Zusammenhang mit der Fußball-Weltmeisterschaft 2022 erfolgen in erster Linie über staatliche Medienorganisationen, die die bilateralen Beziehungen zu Katar betonen und fördern. Der Iran und Russland haben zudem versucht, auf Spaltungen aufmerksam zu machen und die Spannungen zwischen Katar und westlichen Ländern zu verschärfen, die die Austragung des Turniers in Katar aufgrund von Menschenrechtsbedenken im Land kritisiert haben. In ähnlicher Weise wurde im Mai 2019 die iranische Einflussoperation „Endless Mayfly“ von Citizen Lab aufgedeckt . Dabei handelte es sich um einen Fall von Desinformation im Zusammenhang mit der Fußballweltmeisterschaft 2022. Ziel dieser Operation war es, die geopolitischen Spannungen zwischen Katar und anderen arabischen Ländern nach der diplomatischen Krise in Katar im Juni 2017 zu verschärfen.

Aus verschiedenen Gründen ist es unwahrscheinlich, dass Katar während der FIFA-Weltmeisterschaft 2022 einer größeren physischen Sicherheitsbedrohung ausgesetzt ist. Dazu zählen: Das Land hatte in den letzten Jahren nur wenige Terroranschläge, die verringerten Fähigkeiten der Terrorgruppen, die das Turnier am wahrscheinlichsten ins Visier nehmen werden, darunter der Islamische Staat im Irak und der Levante (ISIL) und Al-Qaida auf der Arabischen Halbinsel (AQAP), die verbesserte Sicherheitslage Katars, die durch Sicherheitsunterstützung von Ländern wie den USA, Großbritannien, Frankreich, Italien, der Türkei und Pakistan gestärkt wird, und die geografische Ausrichtung Katars.

Wichtige Urteile

Recorded Future hat keine unmittelbar bevorstehenden, geplanten oder laufenden staatlich geförderten Cyber-Operationen identifiziert, die auf die FIFA-Weltmeisterschaft 2022 in Katar abzielen. Dennoch betrachten staatlich geförderte APT-Gruppen, die mit der Sammlung ausländischer Geheimdienstinformationen beauftragt sind, die Fußballweltmeisterschaft 2022 wahrscheinlich als ein zielreiches Umfeld für Cyber-Spionage und Überwachung.
Russland hegt höchstwahrscheinlich schwerwiegende Vorwürfe und ist höchst motiviert, einen disruptiven Cyberangriff auf die Fußballweltmeisterschaft 2022 zu starten. Zudem gibt es in der Geschichte bereits Präzedenzfälle dafür, dass Russland große Sportereignisse ins Visier genommen hat. Es ist allerdings unwahrscheinlich, dass russische APT-Gruppen einen Störangriff auf das Turnier durchführen, da sie mit dem Krieg Russlands gegen die Ukraine beschäftigt sind.
Wir können nicht ausschließen, dass die russische Regierung störende Angriffe nationalistischer russischer Hacktivistengruppen oder Ransomware-Betreiber auf die Fußballweltmeisterschaft 2022 fördert oder anderweitig stillschweigend billigt. Solche Angriffe können für den Kreml eine glaubhafte Möglichkeit zur Abstreitbarkeit bieten.
Cyberkriminelle starten turnierbezogene Phishing-Angriffe und verwenden gängige Köder wie sogenannte Ticket-Giveaways, um personenbezogene Daten (PII) ihrer Opfer zu sammeln, darunter auch Finanzinformationen wie Zahlungskartendetails, oder um Malware zu verbreiten.
Der Iran und Russland haben versucht, die Spaltungen zwischen Katar und den westlichen Ländern, die die Austragung des Turniers in Katar kritisiert haben, hervorzuheben und die Spannungen zu verschärfen. Und die mit dem Iran verbündete Gruppe Endless Mayfly hat die FIFA-Weltmeisterschaft 2022 in der Vergangenheit für eine Einflussoperation genutzt.
Es ist unwahrscheinlich, dass Katar während der FIFA-Weltmeisterschaft 2022 einer größeren physischen Sicherheitsbedrohung ausgesetzt sein wird, obwohl unbemannte Luftfahrzeuge (UAS) eine einzigartige disruptive Bedrohung darstellen, die die katarischen Behörden mit ausländischer Sicherheitsunterstützung einzudämmen versuchen.

Staatlich geförderte Cyberbedrohungen

Große internationale Sportereignisse wie die Olympischen Spiele oder die Fußballweltmeisterschaft sind für Cyberkriminelle und staatlich geförderte APT-Gruppen gleichermaßen attraktive Ziele, sei es zu finanziellen, Störungs- oder Spionagezwecken. Die Vorbereitung solcher Veranstaltungen nimmt oft Jahre in Anspruch, erfordert Milliardeninvestitionen in die Infrastruktur, verschafft dem Gastgeberland beträchtliches Prestige auf der internationalen Bühne und zieht ein breites Spektrum an Zuschauern an, darunter auch hochrangige Regierungsvertreter und Geschäftsleute. Daher könnte eine Störung der Veranstaltung für die Regierung des Gastgeberlandes und die Organisatoren peinlich sein, während traditionelle, auf die Informationsbeschaffung ausgerichtete Cyber-Spionage- und Überwachungsaktivitäten angesichts der zahlreichen Zielorte wahrscheinlich lukrativ sind. Um dieses Risiko zu mindern, sollten Reisende, die zur FIFA-Weltmeisterschaft 2022 nach Katar reisen, zusätzliche Vorsichtsmaßnahmen hinsichtlich ihrer digitalen Kommunikation treffen. Beispielsweise sollten sie, wann immer möglich, verschlüsselte Kommunikationsanwendungen verwenden, bei der Verbindung mit unbekannten und öffentlichen WLAN-Netzwerken (auch in Hotels) Vorsicht walten lassen und für die Dauer der Reise die Verwendung von Brennergeräten anstelle von persönlichen oder geschäftlichen Geräten in Betracht ziehen.

Zum Zeitpunkt des Verfassens dieses Artikels sind uns keine unmittelbar bevorstehenden, geplanten oder laufenden staatlich geförderten Bedrohungsaktivitäten im Zusammenhang mit bekannten APT-Gruppen bekannt, die es auf die bevorstehende FIFA-Weltmeisterschaft 2022 in Katar, ihre Organisatoren (wie die FIFA oder die Union der europäischen Fußballverbände [UEFA]), ihre Sponsoren oder die zugehörige Infrastruktur abgesehen haben. Hierzu zählen Angriffe, die störender oder zerstörerischer Natur sein können (wie etwa Distributed-Denial-of-Service-Angriffe (DDoS) oder Wiper-Malware) oder eher auf Spionage ausgerichtete Operationen. Darüber hinaus haben wir keine Einrichtung einer Netzwerkinfrastruktur beobachtet, die staatlich geförderten APT-Gruppen zugeschrieben wird und deren Zweck es ist, Computernetzwerkoperationen gegen die Fußballweltmeisterschaft oder mit ihr verbundene Organisationen oder Teilnehmer zu ermöglichen. Ebenso haben wir zum Zeitpunkt des Schreibens dieses Artikels keine als Köder für Spear-Phishing-Angriffe verwendeten Dokumente gefunden.

In diesem Abschnitt untersuchen wir die wahrscheinlichen Motive dafür, dass staatlich gesponserte APT-Gruppen die Fußballweltmeisterschaft 2022 ins Visier nehmen. Dabei konzentrieren wir uns auf die bekanntesten staatlich gesponserten Bedrohungsakteure – jene mit Verbindungen zu China, Russland, dem Iran und Nordkorea. Insgesamt gehen wir davon aus, dass die russische Regierung das größte Interesse daran hat, Störangriffe auf die Veranstaltung durchzuführen, ihre Ressourcen jedoch höchstwahrscheinlich eher auf die Unterstützung ihres Krieges gegen die Ukraine konzentriert. Und obwohl der Iran, China und Nordkorea vermutlich alle über die technischen Möglichkeiten verfügen, dies zu tun, ist es unwahrscheinlich, dass sie eine störende Bedrohung für die Spiele darstellen, da ihnen aufgrund ihrer Beziehungen zu Katar, ihrer Beteiligung an der Planung und Durchführung der Spiele selbst oder anderer nationaler Prioritäten die Motivation fehlt.

China

Es ist unwahrscheinlich, dass vom chinesischen Staat gesponserte APT-Gruppen die Fußballweltmeisterschaft und die damit verbundenen Veranstaltungen ins Visier nehmen, um die Veranstaltung zu stören. Dennoch dürften die Gruppen, die mit der Sammlung ausländischer Geheimdienstinformationen betraut sind, und insbesondere jene, die dem Ministerium für Staatssicherheit (MSS) – Chinas wichtigstem zivilen Geheimdienst – unterstehen, die Fußballweltmeisterschaft als ein Zielgebiet mit vielen Angriffszielen für Cyber-Spionage und Überwachung ausländischer Würdenträger und Geschäftsleute betrachten. Zu den wahrscheinlich mit MSS verbundenen Cyber-Spionagegruppen zählen unter anderem APT10, APT17, APT27, APT40, APT41, TAG-22, RedBravo und RedDelta.

Die Beziehungen zwischen China und Katar haben sich in den vergangenen Jahren immer mehr vertieft. Peking und Doha kündigten eine Zusammenarbeit bei einer Reihe regionaler und globaler Themen in den Bereichen Verteidigung, Energie und wirtschaftliche Entwicklung an. Dazu gehört auch die Beteiligung Katars an Pekings wichtigstem internationalen Entwicklungsprojekt, der Belt and Road Initiative (BRI). Darüber hinaus sind chinesische Unternehmen in Katar stark vertreten: Die Chinese Railway Construction Corporation erhielt 2016 den Zuschlag für den Bau des größten Austragungsorts der Weltmeisterschaft, des Lusail-Stadions, das 2020 fertiggestellt wird.

Bezeichnend ist, dass es in der Geschichte keinen Präzedenzfall dafür gibt, dass chinesische Bedrohungsgruppen große internationale Sportereignisse oder Sportorganisationen ins Visier genommen hätten. Zudem hat China im Vergleich zu anderen Ländern generell mehr Zurückhaltung bei der Durchführung weitreichender zerstörerischer und störender Angriffe gezeigt. Obwohl chinesische APT-Gruppen im Vorfeld wichtiger Gespräche regelmäßig bestimmte Organisationen und Regierungen ins Visier genommen haben und Pekings cyber-gestützte Überwachung ethnischer und religiöser Minderheiten im In- und Ausland gut dokumentiert ist, ist es unwahrscheinlich, dass China eine disruptive Bedrohung für die FIFA-Weltmeisterschaft 2022 darstellt. Dies ist umso unwahrscheinlicher, als China direkt am Aufbau der Infrastruktur zur Unterstützung der Veranstaltung beteiligt ist und somit ein begründetes Interesse an einem reibungslosen Ablauf hat. Zudem ist Peking bestrebt, seine Beziehungen zu Doha als einem wichtigen strategischen Partner in der Region weiter zu stärken.

Russland

Die russische Regierung hegt höchstwahrscheinlich große Bedenken und ist daher motiviert, die Fußballweltmeisterschaft 2022 in Katar auszurichten. Russische Aktivitäten, die sich gegen die Veranstaltung richten, wären wahrscheinlich störender Natur oder würden auf andere Weise darauf abzielen, die für die Organisation der Veranstaltung verantwortlichen internationalen Organisationen wie die FIFA, die UEFA oder internationale Sponsoren – sowohl öffentliche als auch private – in Verlegenheit zu bringen.

Nach dem Einmarsch Russlands in der Ukraine Ende Februar 2022 erließen die FIFA und die UEFA aus Protest gegen den Einmarsch ein pauschales Verbot für russische Fußballvereine von Wettbewerben, darunter auch der bevorstehenden Weltmeisterschaft. Der Russische Fußballverband zog daraufhin Anfang April seinen Einspruch gegen die Entscheidung abrupt zurück, so dass das Verbot weiterhin in Kraft blieb.

Vom russischen Staat gesponserte APT-Gruppen haben bereits seit 2016 internationale Sportorganisationen und -veranstaltungen ins Visier genommen, wahrscheinlich als Vergeltung für ähnliche Verbote der Teilnahme russischer Athleten an großen internationalen Veranstaltungen wie den Olympischen Spielen aufgrund einer Reihe von Dopingskandalen. Zu den früheren vom russischen Staat geförderten Aktivitäten, die sich gegen solche Organisationen richteten, zählen:

Die Aufklärung des russischen Hauptnachrichtendienstes (GRU) gegen die Olympischen Spiele 2020 in Tokio soll angeblich dazu dienen, die Veranstaltung zu stören
Sandworm stört die Olympischen Winterspiele 2018 in Pyeongchang mit der Malware „Olympic Destroyer“
Die Hack-and-Leak- Kampagne von APT28 zielte während der Olympischen Sommerspiele 2016 in Rio de Janeiro auf die Welt-Anti-Doping-Agentur (WADA) und auf personenbezogene und persönliche Gesundheitsdaten (PII und PHI) westlicher Athleten ab.
GRU-Betreiber zielen auf WLAN-Netzwerke und Router in Hotels ab, die von Anti-Doping-Beamten in Rio de Janeiro und Lausanne (Schweiz) genutzt werden, und installieren maßgeschneiderte Malware, sobald sie Zugang zu einer Reihe von interessanten

Zwar pflegen Moskau und Doha diplomatische und wirtschaftliche Kontakte , doch gibt es Anzeichen für eine erhebliche Belastung der Beziehungen, insbesondere seit dem Einmarsch Russlands in der Ukraine. In erster Linie hat Katar seine Unterstützung für die Ukraine und die territoriale Integrität des Landes entlang seiner international anerkannten Grenzen zum Ausdruck gebracht . Darüber hinaus haben die USA Katar im März 2022 offiziell als „ wichtigen Verbündeten außerhalb der NATO [Nordatlantikvertragsorganisation]“ bezeichnet – ein Schritt, der sehr wahrscheinlich als Zeichen dafür interpretiert wird, dass Katar langfristig eine strategische Ausrichtung auf die NATO und Washington statt auf Moskau verfolgt. Aus diesem Grund hegt der Kreml vermutlich einen besonders großen Groll gegen Katar und könnte die Weltmeisterschaft als Gelegenheit betrachten, die katarische Regierung in Verlegenheit zu bringen.

Trotz der Motivation, solche Störangriffe auf die Fußballweltmeisterschaft und Katar durchzuführen, ist die russische Regierung höchstwahrscheinlich durch den Krieg in der Ukraine abgelenkt. Dieser hat sich zu einem zermürbenden Konflikt entwickelt, der von Moskau verlangt, so viele Ressourcen des Staates wie möglich zu mobilisieren, um seine strategischen Ziele gegen den entschlossenen bewaffneten Widerstand der Ukraine durchzusetzen. Daher ist es sehr wahrscheinlich, dass russische APT-Gruppen, die sonst mit der Störung eines internationalen Ereignisses wie der Fußballweltmeisterschaft betraut wären – insbesondere solche, die aufgrund historischer Aktivitäten mit dem militärischen Geheimdienst in Verbindung stehen, wie APT28 oder Sandworm – stattdessen die Aufgabe erhalten, Operationen zu priorisieren, die die Kriegsanstrengungen in der Ukraine direkt unterstützen.

Obwohl wir es daher als unwahrscheinlich einschätzen, dass etablierte, vom russischen Staat gesponserte APT-Gruppen derartige Störoperationen gegen die Fußballweltmeisterschaft durchführen werden, können wir nicht ausschließen, dass die russische Regierung derartige Angriffe durch nationalistische russische „Hacktivisten“-Gruppen – wie KillNet oder XakNet – oder durch Ransomware-Betreiber fördert oder anderweitig stillschweigend billigt. Unabhängig davon, ob sie finanziell oder politisch motiviert sind, sind derartige Gruppen nützliche Stellvertreterkräfte, die mitunter die strategischen Ziele der russischen Regierung fördern und eine glaubhafte Abstreitbarkeit ermöglichen können.

Iran

Während die vom iranischen Staat gesponserten APT-Gruppen mit ihren destruktiven und auf Spionageausgerichteten Kampagnen häufig öffentliche und private Einrichtungen im Nahen Osten ins Visier nehmen, sind sie nicht dafür bekannt, hacktivistische Angriffe auf internationale Sportverbände durchzuführen. Angesichts der starken Handels- und diplomatischen Beziehungen zwischen den beiden Ländern, der Teilnahme Irans an der Weltmeisterschaft trotz Forderungen nach einem Verbot und der instabilen Lage im Land ist es zudem unwahrscheinlich, dass der Iran versuchen wird, die Spiele durch Cyberangriffe zu stören. Denn das brächte dem Regime keinen offensichtlichen Vorteil und birgt das Risiko, einen wichtigen regionalen Partner, Katar, zu verärgern.

Dies schließt jedoch Spionagetätigkeiten im Land, die mit Verbindungen des Ministeriums für Geheimdienst und Sicherheit (MOIS) oder des Korps der Islamischen Revolutionsgarde (IRGC) verbunden sind, nicht aus. Diese dürften sich jedoch in erster Linie gegen hochrangige ausländische Besucher des Spiels sowie Dissidenten und/oder Kritiker des iranischen Regimes richten. Solche Gruppen, darunter APT34 OilRig, APT35, APT39, APT42 und MuddyWater, sind dafür bekannt, dass sie regelmäßig Spionageoperationen gegen Regierungen im Nahen Osten und im Westen sowie gegen private Unternehmen durchführen, um die wirtschaftlichen, politischen und militärischen Ziele Teherans zu unterstützen. Berichten zufolge ist APT35 auf der Suche nach strategischen und taktischen Informationen und hat im Auftrag der IRGC auch Spionageabwehroperationen durchgeführt, unter anderem bei Angriffen auf internationale Konferenzen und verwandte Organisationen wie die Münchner Sicherheitskonferenz und den Think20-Gipfel in Saudi-Arabien. Berichten zufolge konzentriert sich APT39 seinerseits auf Spionageabwehr und langfristige Spionagetätigkeiten mit dem Ziel, das Regime zu schützen.

Angesichts der Mitgliedschaft Katars im regionalen Block des Golf-Kooperationsrates (GCC) pflegen Iran und Katar ein ungewöhnlich enges Verhältnis, und Doha balanciert sorgfältig zwischen seinem Bündnis mit den USA und seinen Wirtschafts- und Sicherheitsbeziehungen mit Teheran. Diese Beziehungen wurden während und nach der diplomatischen Krise in Katar im Jahr 2017 noch stärker, als Doha versuchte, seine traditionellen Handelspartner – die ein Embargo gegen das Land verhängt hatten – durch Importe aus dem Iran und der Türkei zu ersetzen. Katars geografische Lage am Persischen Golf sowie die Tatsache, dass es sich mit dem Iran über die weltgrößten Erdgasfelder teilt, veranlassen die beiden zu engeren Beziehungen, auch wenn es auf iranischem Gebiet unbequem ist, dass sich in Al Udeid der größte US-Militärstützpunkt der Region in Katar befindet. Die Beziehungen zwischen dem Iran und Katar haben sich so gut entwickelt, dass der Iran Hilfe bei der Unterbringung hunderttausender Besucher der Weltmeisterschaft auf der Ferieninsel Kisch vor der Küste des Iran anbot und Katar diese Hilfe annahm. Damit hat der Iran einen wirtschaftlichen und politischen Anteil am Erfolg der Spiele.

Schließlich wurde der Iran in den letzten Monaten von innerer Instabilität und weit verbreiteten Protesten erschüttert, nachdem Mahsa Amini in Polizeigewahrsam gestorben war. Die Proteste – die größten seit über einem Jahrzehnt – schlugen in Gewalt um, woraufhin die Regierung die Informationsinfrastruktur des Landes sperrte und das Internet von der Außenwelt abschottete . Darüber hinaus entsandte sie Sicherheitskräfte, die befugt sind, tödliche Gewalt anzuwenden, um die Unruhen niederzuschlagen. Um das Regime zu erhalten, wird die Aufrechterhaltung und Stabilisierung der innenpolitischen Lage in naher Zukunft höchstwahrscheinlich die Hauptaufgabe der iranischen Geheim- und Sicherheitsdienste sein. Dies lässt darauf schließen, dass während der WM wahrscheinlich nur geringe Mittel für von außen orientierte Cyber-Operationen bereitgestellt würden, selbst wenn der Iran die nötige Motivation dafür hätte.

Nord Korea

Es ist unwahrscheinlich, dass vom nordkoreanischen Staat gesponserte APT-Gruppen störende oder zerstörerische Angriffe gegen die bevorstehende Fußballweltmeisterschaft 2022 in Katar durchführen werden.

Es gibt nur sehr wenige Präzedenzfälle für mit Nordkorea verbundene APT-Gruppen, die auf internationale Sportveranstaltungen oder -organisationen abzielen. In dem einzigen Fall, in dem dies beobachtet wurde – bei einer Kampagne mit der dateilosen Schadsoftware „Gold Dragon“, die im Zeitraum rund um die Olympischen Winterspiele 2018 im südkoreanischen Pyeongchang auf olympische Organisationen abzielte –, schien der Schwerpunkt der Kampagne auf der Beschaffung von Informationen zu liegen, was mit der Mehrheit der vom nordkoreanischen Staat gesponserten Cyberkampagnen gegen den Süden übereinstimmt und wahrscheinlich Teil ihrer Routineoperationen war.

Zudem zielten die meisten der vom nordkoreanischen Staat gesponserten APT-Kampagnen in der Vergangenheit auf die Erzielung von Einnahmen für das Regime in Pjöngjang ab, das weiterhin unter strengen internationalen Sanktionen leidet, die seinen Zugang zu den globalen Märkten einschränken. Bei diesen Angriffen ging es vor allem um die Kompromittierung von Finanzinstituten, Auszahlungsversuche an Geldautomaten oder den Diebstahl von Kryptowährungen. Abgesehen von Ransomware oder anderen Formen von Erpressungsangriffen, wie etwa der WannaCry-Kampagne, lassen sich störende oder zerstörerische Angriffe nur schwer monetarisieren und sind daher für das Regime wahrscheinlich von geringerem Interesse und geringerer Priorität.

Im Hinblick auf die Fußballweltmeisterschaft 2022 fehlt Nordkorea vermutlich die politische Motivation, störende oder destruktive Maßnahmen gegen die Spiele zu ergreifen. Pjöngjang zog sich im Mai 2021 freiwillig aus der WM-Qualifikation zurück, vermutlich aufgrund von Bedenken hinsichtlich COVID-19. Im Gegensatz zu Russland wurde das Land jedoch von den Organisationsgremien nie offiziell von der Teilnahme ausgeschlossen. Darüber hinaus hat Katar – zumindest bis zur Verhängung der jüngsten Sanktionen der Vereinten Nationen (UN), die Ende 2019 in Kraft traten – Tausende nordkoreanische Wanderarbeiter beherbergt. Viele dieser Arbeiter waren maßgeblich am Bau der Austragungsorte für die bevorstehenden Weltmeisterschaftsspiele beteiligt, darunter auch das bereits erwähnte Lusail-Stadion , das von einer chinesischen Firma erbaut wurde. Insgesamt hat sich Katar als eher bereit erwiesen als viele andere Regierungen, die eine oder andere Form direkter Beziehungen mit Nordkorea aufrechtzuerhalten, und Pjöngjang dürfte kaum einen Vorteil darin sehen, die Beziehungen durch störende Cyberangriffe auf die Fußballweltmeisterschaft zu schädigen.

Bedrohungen durch Cyberkriminelle

Wie bereits erwähnt, sind große internationale Sportereignisse wie die FIFA-Weltmeisterschaft 2022 attraktive Ziele für finanziell motivierte Cyberkriminelle. Zu den Bedrohungen durch Cyberkriminelle im Zusammenhang mit der Fußballweltmeisterschaft 2022 zählen unter anderem turnierbezogene Phishing-Angriffe, gefälschte mobile Anwendungen rund um die Veranstaltung, die Malware verbreiten und Benutzerdaten abgreifen können, der Verkauf gefälschter Tickets auf Darknet-Märkten und in Darknet-Shops sowie Bedrohungen durch Ransomware.

Phishing und Betrug

Cyberkriminelle nutzen die FIFA-Weltmeisterschaft 2022 als Köder für Phishing-Angriffe und andere betrügerische Aktivitäten. Cyberkriminelle erstellen mit ziemlicher Sicherheit betrügerische Websites im Zusammenhang mit der Fußballweltmeisterschaft 2022. Diese können in Phishing-Kampagnen verwendet werden, um personenbezogene Daten (einschließlich Finanzinformationen wie Zahlungskartendetails) von Opfern zu sammeln oder um Malware zu verbreiten.

Zwischen dem 31. Oktober 2021 und dem 31. Oktober 2022 haben wir Folgendes festgestellt:

130 registrierte Typosquat-Domains von fifa[.]com, 30 davon wurden im Oktober 2022 geschaffen, kurz vor der FIFA-Weltmeisterschaft 2022
143 registrierte Domains, die die Begriffe „Qatar“ und „2022“ enthalten, von denen einige die offizielle Website der FIFA-Weltmeisterschaft 2022 imitieren, qatar2022[.]qa, wie in Abbildung 1
889 registrierte Domains, die die Begriffe „World“ und „Cup“ enthalten
56 registrierte Domänen, die entweder die Begriffe („FIFA“ oder „Qatar“] und „Ticket“) oder („World“ und „Cup“ und „Ticket“) enthalten.

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_qatar_figure_1.png

Abbildung 1: Beispiel einer Typosquat-Domain, die sich als die legitime Domain qatar2022[.]qa ausgibt Website mit Weiterleitungen zu anderen verdächtigen Websites (Quelle: qatar2022[.]pro)

Wir haben zwischen dem 31. Oktober 2021 und dem 31. Oktober 2022 669 Hinweise auf Phishing-Kampagnen zur FIFA-Weltmeisterschaft 2022 identifiziert. Diese Phishing-Angriffe zielten sowohl auf Organisationen als auch auf Einzelpersonen ab. Mit Näherrücken des Turniers ist es jedoch sehr wahrscheinlich, dass sich Phishing-Versuche auf Einzelpersonen konzentrieren werden. Auf Einzelpersonen abzielende Phishing-Angriffe beziehen sich auf verschiedene Bestandteile des Turniers, darunter Eintrittskarten für die Spiele (in der Regel sogenannte „ Ticket-Giveaways“), kostenlose Streaming-Dienste für den Beginn des Turniers, Wett-Websites und turnierbezogene Dinge wie Visa sowie Reise-, Hotel- und Restaurantreservierungen. Im November 2021 meldete Kaspersky, dass sie zwischen dem 15. August und dem 15. Oktober 2021 11.000 Phishing-E-Mails entdeckt hätten, die sich in erster Linie an Organisationen richteten und Angebote für Verträge zur Lieferung von Waren oder Dienstleistungen für die FIFA-Weltmeisterschaft 2022 einluden, wobei die Empfänger aufgefordert wurden, für die Teilnahme eine Provision zu zahlen.

Ein weiterer Angriffsvektor, den Cyberkriminelle verwenden, ist die Erstellung betrügerischer mobiler Anwendungen, die sich als legitime Anwendungen ausgeben, wie etwa die mobile Anwendung „Hayya to Qatar 2022“, die vom Obersten Komitee für Lieferung und Vermächtnis in Katar (Apple, Google Play) erstellt wurde. Wir haben mehrere mobile Anwendungen identifiziert , die sich als offizielle Anwendung zur FIFA-Weltmeisterschaft 2022 ausgeben und Tausende von Downloads aufweisen. Obwohl wir keine Analyse dieser mobilen Anwendungen durchgeführt haben, empfehlen wir dringend, dass Einzelpersonen nur offizielle mobile Anwendungen zur FIFA-Weltmeisterschaft 2022 herunterladen, wie sie beispielsweise vom Obersten Komitee für Organisation und Vermächtnis in Katar und von der FIFA erstellt wurden.

Dark Web-Aktivität

Zwischen dem 31. Oktober 2021 und dem 31. Oktober 2022 haben wir in Darknet-Foren mit speziellem Zugang 277 Hinweise auf die FIFA-Weltmeisterschaft 2022 gefunden. Wir haben Diskussionen von Personen beobachtet, die behaupteten, Eintrittskarten für die Fußballweltmeisterschaft 2022 zu verkaufen, sowie von anderen Personen, die Beiträge mit dem Ziel veröffentlichten, Eintrittskarten zu erwerben. Wir haben außerdem beobachtet, wie eine Person die wahrscheinlich kompromittierten Anmeldedaten von zwei Konten für beIN CONNECT, ein staatliches globales Sport- und Unterhaltungsnetzwerk mit Hauptsitz in Doha (Katar), mit der Anweisung „FÜR DIE WELTMEISTERSCHAFT SPEICHERN“ weitergegeben hat.

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_catar_figure_2.png

Abbildung 2: Beispiel eines Beitrags in einem Darknet-Forum, der für den Ticketverkauf zur FIFA-Weltmeisterschaft 2022 wirbt (Quelle: Recorded Future)

Ein weiterer bemerkenswerter Beitrag ist ein Beitrag vom 4. Oktober 2022 im Cracked Forum von „xAcordx“, der für eine bösartige .doc-Datei wirbt Exploit-Datei, die angeblich von allen Antivirenlösungen vollständig nicht erkannt wird (FUD), die „über Gmail und andere beliebte E-Mail-Anbieter gesendet werden kann“ und die „beim Ausführen beliebige Dateien herunterlädt und ausführt [sic]“. Der Preis der Datei beträgt 600 US-Dollar für einen einzelnen vollständigen FUD-Build oder 2.400 US-Dollar für den Builder, der unbegrenzte Builds mit einem wöchentlichen Update zur Beibehaltung seines FUD-Status zulässt. Der Beitrag bewirbt viele verschiedene Köder für das Dokument, darunter „Weltmeisterschaft“ und „WM-Qualifikation“, was zeigt, dass die FIFA-Weltmeisterschaft 2022 als Köder in bösartigen Dokumenten verwendet wird. Der Bedrohungsakteur fügt seiner Auflistung auch ein Proof-of-Concept-Video bei, das die Funktionalität des Exploits demonstriert.

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_qatar_figure_3.png

Abbildung 3: Exploit mit von xAcordx beworbenen Funktionen (Quelle: Cracked Forum)

Darüber hinaus identifizierte das Identity Intelligence Module von Recorded Future Anmeldeinformationslecks für 14 einzigartige *@qatar2022[.]qa E-Mail-Adressen aus Clearnet- und Darknet-Quellen, darunter 8 eindeutige E-Mail-Adressen mit zugehörigen Passwörtern. Diese Anmeldeinformationslecks waren in Datenbankdumps enthalten, darunter GoNitro Database Dump, Cit0day Dump, ShareThis Data Dump, Zynga Data Dump, Dropbox Credential Dump und Qatar National Bank Data Dump, während andere Anmeldeinformationen durch Infostealer-Malware wie Vidar gestohlen wurden. Angreifer können den Verlust von Anmeldeinformationen missbrauchen, um sich erstmalig Zugang zu einer Organisation zu verschaffen oder weitere betrügerische Aktivitäten wie Social Engineering, Spearphishing und Business E-Mail Compromise (BEC) durchzuführen. Allerdings könnten die mit den E-Mail-Adressen in den oben genannten Verstößen verknüpften Passwörter Passwörter für andere Websites sein, auf denen der Eigentümer seine qatar2022[.]qa verwendet hat. E-Mail-Adresse für einen anderen Onlinedienst und sind nicht notwendigerweise die Passwörter für das E-Mail-Konto des Besitzers oder das Unternehmensnetzwerk. Die Verwendung eindeutiger Passwörter für jeden Onlinedienst verringert das Risiko, dass durchgesickerte Anmeldeinformationen von Bedrohungsakteuren verwendet werden können, um auf mehr als einen Onlinedienst zuzugreifen.

Schließlich identifizierten wir 269 Verweise auf tickets[.]fifa[.]com und hayyar[.]qatar2022[.]qa in Dark-Web-Shops, insbesondere Russian Market, Genesis Store und 2easy Shop. Diese beiden Domänen werden zum Kauf von Tickets für die FIFA-Weltmeisterschaft 2022 bzw. zur Beantragung einer Hayya-Karte verwendet. Alle Turnierbesucher benötigen eine Hayya-Karte , um nach Katar einreisen zu dürfen, Zugang zu den Spielstadien zu erhalten und an Spieltagen die öffentlichen Verkehrsmittel kostenlos zu nutzen. Besucher, die eine Hayya-Karte beantragen, müssen ihre persönlichen Daten angeben . Wie weiter unten erläutert, verkaufen diese Darknet-Shops Pakete mit kompromittierten Kontodaten und Benutzerprotokollen. Cyberkriminelle könnten von diesen und anderen Darknet-Shops und -Marktplätzen kompromittierte Kontodaten kaufen, was zu einem noch größeren Diebstahl von PII-Daten und möglicherweise Eintrittskarten führen könnte.

Russian Market ist ein Darknet-Shop, der vom Bedrohungsakteur RussianMarket betrieben wird und Dumps, RDP- und SSH-Zugriff, Protokolle und verschiedene Kontodetails verkauft. Bedrohungsakteure, die Anmeldeinformationen kaufen, melden sich in der Regel bei den Konten an und führen böswillige Aktivitäten wie BEC, Rechteausweitung und die allgemeine Übernahme der Online-Identität durch, da sie über umfassende Informationen über die Quelle der Anmeldeinformationen und Cookies verfügen, die von den Opfern gestohlen werden.
Der Genesis Store verkauft Pakete mit kompromittierten Kontoanmeldeinformationen und zugehörigen Benutzerdaten, die es Bedrohungsakteuren ermöglichen sollen, Betrugsschutzlösungen zu umgehen. Die Daten der Opfer werden in einem einzigen Paket, einem sogenannten „Bot“, verkauft, das Kontoanmeldeinformationen, IP-Adresse, Browser-Fingerabdruck (Systeminformationen) und Cookies umfasst. Nach dem Kauf eines Bots können die Daten des Opfers in ein Browser-Plugin namens Genesis Security importiert werden, sodass sich der Angreifer als Opfer ausgeben und Angriffe wie die Übernahme eines Kontos oder Betrug ohne Kartenvorhandensein der Karte durchführen kann. Der Preis für jeden Bot variiert je nach Anzahl der Kontoanmeldeinformationen, Kontotypen und geografischem Standort des Opfers
2easy Shop verkauft Stealer-Protokolle, die von mit Infostealern infizierten Opfern gesammelt wurden. Die Preise für Protokolle variieren zwischen 3 und 200 US-Dollar pro Eintrag und umfassen kompromittierte Benutzerprotokolle und Konten von Hunderten von Organisationen weltweit. Wenn kompromittierte Daten im 2easy Shop gekauft werden, erhält ein Käufer typischerweise Cookie-Daten des Browsers des Opfers, den Browserverlauf, Screenshots, allgemeine Systeminformationen über kompromittierte Maschinen und andere Daten. Die kompromittierten Kontoanmeldeinformationen und die zugehörigen Benutzerdaten werden von Bedrohungsakteuren häufig verwendet, um die Abwehrmaßnahmen und Betrugsbekämpfungslösungen der Zielorganisationen zu umgehen.

Ransomware

Wir haben keine konkreten Bedrohungen durch Ransomware-Gruppen festgestellt, die offenbar die Absicht haben, die Fußballweltmeisterschaft 2022 ins Visier zu nehmen, allerdings gehen wir auch nicht davon aus, dass derartige Gespräche öffentlich an die Öffentlichkeit gelangen. Ähnlich wie in unserem Bericht zu Bedrohungen für die Olympischen Winterspiele 2022 beschrieben, könnte die Fußball-Weltmeisterschaft 2022 aufgrund des erheblichen Gewinnpotenzials ein attraktives Ziel für Ransomware-Angriffe sein, da die am Turnier beteiligten Organisationen einen möglichst reibungslosen Ablauf des Turniers sicherstellen möchten. Zu den potenziellen Zielen könnten Organisationen zählen, die die FIFA-Weltmeisterschaft 2022 unterstützen, unter anderem aus den Bereichen Transport, Medien, Gesundheitswesen, Logistik und Sicherheit. Es ist jedoch wahrscheinlicher, dass die Betreiber von Ransomware ihre Opfer opportunistisch angreifen, und zwar auf der Grundlage von Zugänglichkeit, Gelegenheit und Faktoren wie der Fähigkeit, hohe Lösegeldbeträge zu zahlen, anstatt einen koordinierten Angriff großen Ausmaßes durchzuführen. Wir haben Dutzende von Hunting-Paketen für Ransomware-Familien erstellt, mit denen Ransomware-Beispiele und -Verhaltensweisen erkannt werden können.

Wie oben erläutert, können wir angesichts des Verbots der Teilnahme Russlands an der Fußball-Weltmeisterschaft 2022 aufgrund des Krieges mit der Ukraine und der angespannten Beziehungen zu Katar nicht ausschließen, dass die russische Regierung Störangriffe durch nationalistische russische „Hacktivisten“-Gruppen – wie KillNet oder XakNet – oder durch Ransomware-Betreiber fördert oder anderweitig stillschweigend billigt. Solche Bedrohungsgruppen sind, ob finanziell oder politisch motiviert, nützliche Stellvertreterkräfte, die gelegentlich die strategischen Ziele der russischen Regierung fördern und eine glaubhafte Abstreitbarkeit ermöglichen können. Wir haben die Verbindungen zwischen dem russischen Staat und in Russland ansässigen Cyberkriminellen bereits in unserem Bericht „ Dark Covenant: Verbindungen zwischen dem russischen Staat und kriminellen Akteuren“ dokumentiert.

Einflussoperationen

Aufgrund der einzigartigen geopolitischen Lage Katars werden Einflussoperationen im Zusammenhang mit der FIFA-Weltmeisterschaft 2022 wahrscheinlich versuchen, Katar durch die Betonung und Förderung bilateraler Beziehungen „für sich zu gewinnen“, während gleichzeitig Spannungen zwischen Katar und den Gegnern der Einflussnahmeorganisation geschaffen und verschärft werden. Wie oben erläutert, pflegt Katar gute Beziehungen zu Iran und China und hatte früher auch gute Beziehungen zu Russland. Diese sind jedoch seitdem belastet, weil Katar sich auf die Seite der Länder stellt, die die territoriale Integrität der Ukraine unterstützen. Mittlerweile pflegt Katar gute Beziehungen zu den USA, Großbritannien, Deutschland und vielen anderen westlichen Ländern. Darüber hinaus bietet Katar Europa während des russischen Krieges gegen die Ukraine eine Alternative zur Abhängigkeit von russischen Gasexporten.

Positiver Einfluss

Wir beobachten, dass der Iran, China und Russland ihre Unterstützung für Katar bei der Ausrichtung der FIFA-Weltmeisterschaft 2022 betonen und die bilateralen Beziehungen über staatliche Medien fördern. Zum Beispiel:

Die iranische Nachrichtenagentur Mehr veröffentlichte am 18. Oktober 2022 einen Artikel mit dem Titel „Iran ruft zur Stärkung der Wirtschaftskooperation zwischen Teheran und Doha auf“ und verwies darin auf „die Bereitschaft der Islamischen Republik Iran, jede Art von Unterstützung für die Austragung der Fußballweltmeisterschaft 2022 in Doha zu leisten“.
Die chinesische Global Times veröffentlichte am 24. Oktober 2022 einen Artikel mit dem Titel „Beziehungen zwischen China und Katar zeigen sich beispielhaft in der Vorbereitung auf die Fußballweltmeisterschaft, der Pflege von Großen Pandas und gemeinsamen Anstrengungen in der Energiekrise: Botschafter“, im Anschluss an ein Interview mit dem katarischen Botschafter in China, Mohammed bin Abdullah Al Dehaimi.
Das russische Nachrichtenportal RT veröffentlichte am 13. Oktober 2022 einen Artikel, in dem Putins Unterstützung für die Ausrichtung der Fußballweltmeisterschaft 2022 in Katar erwähnt wurde. Darin hieß es, Russland tue „alles, was in seiner Macht steht, um [unsere] Erfahrungen bei der Vorbereitung auf die Weltmeisterschaft weiterzugeben“. Der Emir von Katar, Scheich Tamim bin Hamad al-Thani, antwortete: „Russische Freunde haben Katar mit dem Organisationskomitee der Weltmeisterschaft 2022 große Unterstützung geleistet, insbesondere in organisatorischer Hinsicht … Wir danken Ihnen dafür und sind stolz auf diese Beziehung.“

Negativer Einfluss

Westliche Länder (darunter Deutschland, Dänemark, Frankreich und andere) äußern sich kritisch über die Ausrichtung der FIFA-Weltmeisterschaft 2022 in Katar und verweisen auf Menschenrechtsbedenken im Land. Diese Kritik bietet den Gegnern eine Gelegenheit, auf Spaltungen aufmerksam zu machen und die Spannungen zwischen Katar und dem Westen zu verschärfen. Wir haben nicht beobachtet, dass China diese Gelegenheit genutzt hätte, wohingegen der Iran und Russland staatliche Medienorganisationen genutzt haben, um die westliche Kritik an Katar hervorzuheben. Zum Beispiel:

Die iranischen Staatsmedien hoben zahlreiche Beispiele westlicher Länder hervor, die Katar aufgrund von Menschenrechtsbedenken kritisierten, darunter: Äußerungen der deutschen Innenministerin Nancy Faeser; das niederländische Repräsentantenhaus, das die niederländische Regierung aufforderte, keine Delegation zu entsenden (obwohl sich die niederländische Regierung letztlich dazu entschied, eine Delegation zu entsenden); der deutsche Fußballspieler Toni Kroos, der erklärte, er sei gegen die Austragung der FIFA-Weltmeisterschaft 2022 in Katar; und mehr.
Das russische RT hob auch zahlreiche Beispiele westlicher Länder hervor, die Katar aufgrund von Menschenrechtsbedenken kritisieren, darunter: mehrere Männer-Fußballmannschaften, die mit ihren Fußballtrikots protestierten; Äußerungen der deutschen Innenministerin Nancy Faeser; Berichte, wonach einige französische Städte aus Protest gegen Katar die Fußball-Weltmeisterschaft 2022 nicht im öffentlichen Raum übertragen werden; und mehr.
Die französischsprachige Website von Global Research, Mondialisation[.]ca, veröffentlichte am 28. Oktober 2022 einen Artikel, in dem es heißt, westliche Länder hätten eine Kampagne gestartet, um Katar wegen „LGBT-Themen oder der Bedingungen ausländischer Arbeitnehmer“ zu kritisieren, weil Katar „dem westlichen Druck hinsichtlich der Gaslieferungen, um russisches Gas zu ersetzen, nicht nachgegeben“ habe. Global Research ist eine dokumentierte Säule der russischen Desinformation und Propaganda und hat zuvor „sieben Autoren veröffentlicht oder erneut veröffentlicht, denen Facebook zuschreibt, dass es sich dabei um falsche Online-Personas handelt, die von der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation, im Volksmund als GRU bekannt, erstellt wurden“.
Sowohl die iranischen Fars News als auch das russische RT France veröffentlichten am 25. Oktober 2022 Artikel, in denen der Emir von Katar zitiert wurde. Dieser erklärte , dass Katar seit dem Zuschlag für die Ausrichtung der FIFA-Weltmeisterschaft 2022 einer beispiellosen Kritik ausgesetzt sei und dass die Kritik „Fälschungen und Doppelmoral umfasste, die so heftig waren, dass sie leider viele Menschen dazu veranlasst haben, die wahren Gründe und Motive hinter der Kampagne in Frage zu stellen“.

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_catar_figure_4.png

Abbildung 4: Stimmungsanalyse von Verweisen auf die FIFA-Weltmeisterschaft 2022 in iranischen, chinesischen und russischen staatlichen Medienquellen (Quelle: Recorded Future)

Endlose Eintagsfliege

Im Iran gibt es einen besonderen Präzedenzfall für den Einsatz von Einflussoperationen, um Zwietracht zwischen Katar und seinen internationalen Partnern und Nachbarn in der Region zu säen, wie etwa die Einflussoperation „Endless Mayfly“, die im Mai 2019 von Citizen Lab aufgedeckt wurde . Bei dieser Einflussoperation handelte es sich um „ein mit dem Iran verbündetes Netzwerk aus unechten Websites und Online-Personas“, das seit mindestens Anfang 2016 dazu eingesetzt wurde, die geopolitischen Spannungen durch die Verbreitung falscher und spaltender Informationen zu verstärken, die sich kritisch über Saudi-Arabien, die USA und Israel äußerten.

Die Einflussoperation „Endless Mayfly“ umfasste einen Fall von Desinformation, der sich speziell auf die Fußballweltmeisterschaft 2022 bezog. Darin hieß es, sechs arabische Länder hätten die FIFA aufgefordert, Katar das Recht zu entziehen, die Fußballweltmeisterschaft 2022 auszurichten. Mit dieser Desinformation sollten die geopolitischen Spannungen zwischen Katar und den arabischen Ländern verschärft werden. Zu dieser Zeit war es im Juni 2017 zu einer diplomatischen Krise in Katar gekommen. Damals brachen die Golfstaaten und andere arabische Länder, darunter Saudi-Arabien, die Vereinigten Arabischen Emirate (VAE), Ägypten und Bahrain, die diplomatischen Beziehungen zu Katar ab und warfen Katar vor, „verschiedene terroristische und sektiererische Gruppen zu unterstützen, deren Ziel die Destabilisierung der Region ist“, darunter die Muslimbruderschaft, al-Qaida, der Islamische Staat und vom Iran unterstützte Stellvertretergruppen in den Golfstaaten. Dieser eine Fall von Desinformation im Zusammenhang mit der FIFA-Weltmeisterschaft 2022 war einer von elf unechten Artikeln, die von Citizen Lab identifiziert wurden und die darauf abzielten, die Spannungen zwischen Saudi-Arabien und Katar zu verschärfen.

Im Rahmen der Desinformationskampagne von Endless Mayfly im Zusammenhang mit der Fußballweltmeisterschaft 2022 wurde am 15. Juli 2017 ein unechter Artikel in der Zeitung The Local verfasst, in dem behauptet wurde, sechs arabische Länder hätten die FIFA aufgefordert, Katar das Recht zur Ausrichtung der Fußballweltmeisterschaft 2022 zu entziehen. Der unechte Artikel wurde auf einer ähnlichen Domain gehostet, telocal-xt3c[.]com, anstelle von thelocal[.]com. Reuters veröffentlichte daraufhin am 16. Juli 2017 einen Artikel, in dem der unechte Artikel von The Local zitiert wurde, mit der Überschrift „Boykottnationen fordern, dass FIFA Katar die Ausrichtung der FIFA-Weltmeisterschaft 2022 entzieht – Bericht“.

fielding_cyber_influence-and_physical_threats_to_2022_fifa_world_cup_in_qatar_figure_5.png

Abbildung 5: Reuters-Artikel, in dem der nicht authentische Artikel von The Local über die FIFA Fussball-Weltmeisterschaft 2022 zitiert wird (Quelle: Reuters)

Anschließend veröffentlichte @Shammari_Tariq, eine Online-Persona von Endless Mayfly, einen Artikel in der Buzzfeed Community, wo benutzerseitig eingereichte Inhalte zulässig sind, in dem die Geschichte weiter ausgearbeitet und aus den unauthentischen Artikeln von The Local und Reuters zitiert wird. Eine weitere Online-Persönlichkeit von Endless Mayfly, @GerouxM, veröffentlichte auf Medium eine Story, in der er die Behauptung wiederholte und den unauthentischen Artikel von The Local zitierte. Darüber hinaus berichteten nach der Veröffentlichung des Reuters-Artikels auch mehrere andere Medien wie Global News, The Jerusalem Post, Bleacher Report und Haaretz über die Geschichte, wodurch die Desinformation rasch einem größeren Publikum zugänglich gemacht wurde.

Physische Bedrohungen

Angesichts des substanziellen Sicherheitsapparats der Veranstaltung und der verringerten Kapazitäten globaler Terrororganisationen ist es unwahrscheinlich, dass Katar während der FIFA-Weltmeisterschaft 2022 einer größeren physischen Sicherheitsbedrohung ausgesetzt sein wird. Ein von außen gesteuerter Terroranschlag wäre zwar aus den unten genannten Gründen unwahrscheinlich, hätte aber die größten potenziellen Auswirkungen. Unbemannte Luftfahrzeuge (UAS) stellen einen einzigartigen Bedrohungsvektor dar, der gezielt Teilnehmer angreifen und die Veranstaltung stören könnte. Katar hat Maßnahmen ergriffen, um dieses Risiko zu mindern, indem es seine Abwehrmaßnahmen verstärkt hat, und erhält für die Dauer der FIFA-Weltmeisterschaft 2022 Sicherheitsunterstützung von mehreren Ländern, insbesondere zur Verteidigung gegen etwaige UAS-Angriffe.

Terrortaktiken und Drohnen

Bei Terroranschlägen werden typischerweise unkonventionelle Methoden eingesetzt, um Opfer zu fordern, Gesellschaften zu erschüttern und der Wirtschaft zu schaden. Diese Taktiken variieren je nach dem Umfeld, in dem die Terroristen operieren, umfassen aber auch alleinige Messerangriffe, koordinierte Operationen mit Kleinwaffen, Selbstmordattentate, das Rammen von Fahrzeugen und den Einsatz unbemannter Flugsysteme (UAV), darunter auch so genannte „Selbstmorddrohnen“. Der Einsatz unbemannter Flugsysteme (UAV) stellt für terroristische Operationen eine potenziell bedeutende Weiterentwicklung dar, da dabei handelsübliche, in vielen Ländern verfügbare Technologie zum Einsatz kommt, die so modifiziert werden kann, dass sie explosive Nutzlasten ausbringt oder Zielaufklärung ermöglicht . UAS können auch außerhalb der Sichtweite betrieben werden, sodass die Bediener sie von einem relativ abgeschiedenen Ort aus steuern können. Modernere unbemannte Luftfahrzeuge (UAV) – wie sie Berichten zufolge der Ansar Allah-Bewegung (Huthis) zum Einsatz gegen die von Saudi-Arabien angeführte Koalition im Jemen geliefert wurden – können weite Entfernungen zurücklegen und könnten katarisches Territorium erreichen. Auch unbewaffnete Drohnen können eine Bedrohung für kritische Infrastrukturen darstellen, wie die Stillstände zeigten, die durch Drohnenflüge in der Nähe des Londoner Flughafens Gatwick im Dezember 2018 und des Flughafens Dubai in den Jahren 2016 und 2019 verursacht wurden.

Katar war in den letzten Jahren nur minimalen Terroranschlägen ausgesetzt. Nach Angaben des US-Außenministeriums wurden im Jahr 2020 (dem letzten Jahr, für das entsprechende Daten veröffentlicht wurden) und 2019 keine terroristischen Vorfälle in Katar gemeldet. Das Geopolitical Intelligence Module von Recorded Future konnte in den letzten drei Jahren keine nennenswerten Hinweise auf Terroranschläge in Katar finden. Auch hat es in letzter Zeit keine UAS-Angriffe gegen Katar gegeben. Allerdings haben die Houthis in den letzten Jahren UAS gegen Ziele im nahegelegenen Saudi-Arabien und den Vereinigten Arabischen Emiraten eingesetzt. So starteten die Houthis beispielsweise erst im Januar und Februar 2022 UAS-Angriffe gegen die Vereinigten Arabischen Emirate und griffen regelmäßig kritische Infrastrukturen in Saudi-Arabien an, darunter Ölanlagen, Pipelines und Flughäfen. Auch islamistische Terrorgruppen wie der IS haben UAS eingesetzt , und der oberste UN-Beamte für Terrorismusbekämpfung, Vladimir Voronkov, sagte dem UN-Sicherheitsrat im August 2022, dass der IS „den Einsatz von UAS im vergangenen Jahr ebenfalls deutlich erhöht hat, unter anderem Berichten zufolge im Nordirak“.

Terroristische Gruppen

Im Juni 2017 brachen mehrere arabische Länder, darunter Saudi-Arabien, die Vereinigten Arabischen Emirate, Ägypten, Jordanien und Bahrain, ihre diplomatischen Beziehungen zu Katar ab . Sie warfen dem Land vor, „verschiedene terroristische und sektiererische Gruppen zu unterstützen, deren Ziel die Destabilisierung der Region ist“, darunter die Muslimbruderschaft, al-Qaida, den IS und vom Iran unterstützte Gruppen in der ostsaudi-arabischen Provinz Qatif. Zu diesem Bruch kam es, nachdem in den USA Kongressabgeordnete, Beamte des Finanzministeriums und außenpolitische Experten jahrelang ähnliche Bedenken geäußert hatten. Im Januar 2021 begann man mit der Wiederherstellung der Beziehungen zwischen Katar und den anderen Golfstaaten und die US-Regierung arbeitet mit ihren Amtskollegen zusammen, um die Terrorismusfinanzierung auf der arabischen Halbinsel einzudämmen . Dies deutet darauf hin, dass Doha Schritte unternimmt, um diese Probleme auszuräumen. Dennoch dürfte die einzigartige geopolitische Lage Katars – wie sie im Abschnitt „Einflussoperationen“ dieses Berichts erörtert wird – und insbesondere die guten Beziehungen zu Iran dazu beigetragen haben, dass es bisher kaum zu Terroranschlägen gekommen ist.

Auch wenn ein von außen gesteuerter Terroranschlag auf die Fußballweltmeisterschaft 2022 unwahrscheinlich ist, bietet die Veranstaltung doch die Gelegenheit für einen symbolischen Schlag gegen ein Treffen, das für globale Zusammenarbeit und Beziehungen zwischen westlichen Ländern und mehrheitlich muslimischen und arabischen Nationen steht. Wir stellen fest, dass ein Anschlag auf die Fußballweltmeisterschaft mit den historischen Zielen der folgenden terroristischen Organisationen und Akteure übereinstimmt:

ISIL – Seit dem Zusammenbruch des Kalifats im März 2019 unter einer US-geführten Militärkampagne und dem anschließenden Tod seines Gründers Abu Bakr al-Baghdadi hat die operative Kapazität des ISIL stetig abgenommen , er ist aber wahrscheinlich immer noch in der Lage, einen Angriff auf katarischen Boden zu koordinieren oder anzustiften . Obwohl der IS seit den Bombenanschlägen zu Ostern 2019 in Sri Lanka keinen groß angelegten Angriff außerhalb der Levante mehr durchgeführt hat, dürfte die Fußballweltmeisterschaft 2022 für die Organisation ein interessantes Ziel sein. Diese Einschätzung basiert auf der öffentlichen Aufmerksamkeit, die der Veranstaltung beigemessen wird. Zu dem Ereignis werden zahlreiche politische Delegationen aus bedeutenden westlichen Ländern erwartet, die der IS bereits zuvor angegriffen hat. Zudem hat der IS der katarischen Regierung wegen einer Reihe vermeintlicher Verfehlungen gedroht. Zu diesen Beschwerden zählen: die Beherbergung von US-amerikanischen und anderen ausländischen Streitkräften auf dem Luftwaffenstützpunkt Al Udeid, die Unterstützung der Irakischen Erweckungsbewegung und die Zusammenarbeit mit der iranischen Regierung, der IRGC und der Hisbollah (vorgetragen in einer Audioerklärung des ehemaligen IS-Sprechers Abu Hamza al-Qurashi vom Mai 2020 und veröffentlicht in einem Artikel in einer Ausgabe von Al-Naba vom Juni 2020). Außerdem wurde in einer Infografik in der jüngsten Ausgabe des Magazins „Voice of Khurasan“ des Islamischen Staats Khorasan (ISK) der kürzliche Tod des in Doha lebenden Scheichs Yusuf al-Qaradawi gewürdigt und sein Dienst im „Taghut des Hauses at-Thani in Katar“ angeprangert – wobei derselbe abfällige Begriff verwendet wurde, den der ISK für die Taliban verwendet, seinen Hauptgegner in Afghanistan.
AQAP — AQAP ist der Zweig von Al-Qaida, der am ehesten in der Lage ist, eine Operation gegen die Fußballweltmeisterschaft 2022 durchzuführen. Allerdings werden die operativen Einschränkungen aufgrund des hartnäckigen Bürgerkriegs im Jemen die Fähigkeit von AQAP, einen solchen Angriff durchzuführen, höchstwahrscheinlich verringern. Einem aktuellen Bericht des UN-Sicherheitsrates zufolge stellt die AQAP trotz der Rückschläge auf dem Schlachtfeld in den vergangenen Jahren weiterhin eine ernste Bedrohung für den Jemen dar und versucht, ihre Fähigkeit zur Durchführung internationaler Operationen wiederherzustellen. Die Realitäten eines Krieges an mehreren Fronten gegen die Houthis, die von Saudi-Arabien angeführten Koalitionstruppen und Mitglieder des jemenitischen Ablegers des Islamischen Staats machten jedoch einen deutlichen Rückzug von AQAP erforderlich. Abgesehen von zwei Angriffen im Jahr 2019, die sich in Saudi-Arabien und den USA ereigneten, konzentrierte die Gruppe ihre Operationen auf Ziele im Jemen – was darauf hindeutet, dass die Weltmeisterschaft ein unwahrscheinliches Ziel darstellt.
Einzeltäter — Obwohl Katar während des Aufstiegs des selbsternannten Kalifats des IS keine nennenswerte Zahl ausländischer Kämpfer in den Irak und nach Syrien schickte (und deshalb auch nur eine begrenzte Zahl von Extremisten zurückkehrte), besteht in Katar ein erhöhtes Risiko durch gewalttätigen Extremismus im eigenen Land. Ein Einzeltäter-Anschlag auf die Fußballweltmeisterschaft ist daher zwar nicht ausgeschlossen, aber dennoch unwahrscheinlich. Einer im Jahr 2014 durchgeführten Social-Media-Studie zufolge drückten 47 Prozent der in Katar veröffentlichten Social-Media-Posts über den IS eine positive Stimmung aus. Das ist eine erhebliche Abweichung von den viel niedrigeren Prozentwerten in Europa und dem Nahen Osten. Das US-Außenministerium ist zwar der Ansicht, dass Katar bei der Bekämpfung des gewalttätigen Extremismus Fortschritte macht. In seinem jüngsten Länderbericht wird jedoch eindringlich darauf hingewiesen , dass staatlich geförderte Intoleranz, Sektierertum und Gewalt noch immer in Schulbüchern zu finden sind und über die Medien verbreitet werden.

Sicherheitsabwehr

Katar hat im Vorfeld der FIFA-Weltmeisterschaft 2022 seine eigene Sicherheit verstärkt. Die Regierung plant, ihre Überwachung und Sicherheitspatrouillen durch den Einsatz eigener Drohnen zu verstärken. Berichten zufolge setzte die katarische Regierung während einer fünftägigen Sicherheitsübung im Oktober 2022 im ganzen Land 32.000 staatliche und 17.000 private Sicherheitskräfte ein, was das Ausmaß der Sicherheitsmaßnahmen Katars verdeutlicht. Darüber hinaus erhält Katar für die Dauer der FIFA-Weltmeisterschaft 2022 Sicherheitsunterstützung von mehreren Ländern, darunter:

Die USA: Die USA sind eine Reihe von Verpflichtungen eingegangen, „um Katars Kapazitäten in den Bereichen Veranstaltungssicherheit, Hafensicherheit, Screening, Schmuggelbekämpfung und Risikomanagement zu stärken“, etwa indem sie Katar dabei unterstützen, „Fluggäste zu identifizieren, die mit Terrorismus und dem Handel mit Drogen, Waffen, Devisen und Menschen in Verbindung stehen“. Darüber hinaus traf sich das New Yorker Polizeidepartement mit der katarischen Polizei, um Fachwissen auszutauschen. Vor kurzem wurden zwischen den USA und Katar Absichtserklärungen über eine Verteidigungszusammenarbeit im Zusammenhang mit der Fußballweltmeisterschaft 2022 unterzeichnet .
Großbritannien: Die Royal Air Force (RAF) und die Royal Navy „werden Katar mit militärischen Kapazitäten zur Bekämpfung des Terrorismus und anderer Bedrohungen des Turniers unterstützen“, darunter „maritime Sicherheitsunterstützung durch die Royal Navy, erweitertes Training zur Suche nach Austragungsorten, operative Planung und Unterstützung bei der Führung und Kontrolle sowie weitere fachliche Beratung“.
Frankreich: Frankreich entsendet rund 220 Polizisten, um „hochrangiges Fachwissen und spezialisierte logistische Unterstützung“ bereitzustellen. Zu den Beamten gehören vor allem Anti-Drohnen-Polizisten, aber auch Bombenentschärfungsexperten, Spürhunde, Anti-Terror-Polizisten und Polizeikräfte, die auf die Bekämpfung von Fußballrowdytum spezialisiert sind. Zur weiteren französischen Unterstützung gehören Berichten zufolge „ein BASSALT-Antidrohnensystem, das herankommende Drohnen erkennt und identifiziert“ und ein Flugzeug des Airborne Warning and Control System (AWACS) des Typs E-3F.
Italien: Die italienische Luftwaffe entsendet eine „Counter-Unmanned Aerial Anti-Drone Task Group“, um die Verteidigung der katarischen Streitkräfte gegen UAS weiter zu unterstützen; während des Turniers werden italienische Streitkräfte im Land stationiert sein.
Türkei: Die Türkei stellt Katar 3.000 Bereitschaftspolizisten, 100 Polizisten für Spezialoperationen, 50 Bombenspezialisten sowie 80 Spür- und Bereitschaftshunde zur Verfügung.
Pakistan: Pakistan entsendet ein Armeekontingent, um während des Turniers für Sicherheit zu sorgen.
Jordanien: Jordanien hat seine Bereitschaft bekundet, bei der Sicherheit bei der FIFA-Weltmeisterschaft 2022 mitzuhelfen. Berichten zufolge wurden für das Turnier bis zu 6.000 ehemalige jordanische Soldaten als Sicherheitskräfte angeheuert. Einige von ihnen sind angeblich nach einem Gehaltsstreit nach Jordanien zurückgekehrt.

Ein weiterer mildernder Faktor, der die Terrorgefahr für die FIFA-Weltmeisterschaft 2022 verringert, ist die geografische Ausrichtung Katars. Katar hat nur eine Landgrenze mit Saudi-Arabien und ist eine Halbinsel im Persischen Golf. Die Grenze zu Saudi-Arabien ist isoliert, weist eine flache Wüstentopographie auf und ist klein genug, um von Sicherheitskräften kontrolliert werden zu können. Obwohl die Grenzen Bahrains und der Vereinigten Arabischen Emirate über den Persischen Golf hinweg nur etwa 10 bis 20 Meilen lang sind, pflegen diese Länder, wie auch Saudi-Arabien, freundschaftliche Beziehungen zu Katar und sind keine primären Brutstätten terroristischer Gruppen, die Katar ins Visier nehmen würden. Da es für Terrororganisationen keine zugänglichen Zugangsmöglichkeiten nach Katar gibt und Katars Sicherheitsvorkehrungen oben erläutert wurden, wird die Terrorgefahr für die FIFA-Weltmeisterschaft 2022 gemindert (aber nicht beseitigt).

Ausblick

Aufgrund der einzigartigen geopolitischen Position Katars auf einer umstrittenen globalen Bühne ist es unwahrscheinlich, dass staatlich geförderte APT-Gruppen aus China, Russland, dem Iran und Nordkorea einen Störangriff auf die Fußballweltmeisterschaft 2022 durchführen werden, auch wenn Russland die größten Motive dafür hat. Stattdessen könnten nationalistische russische Hacktivistengruppen oder Ransomware-Betreiber Störangriffe auf das Turnier durchführen, die dem Kreml, wie bereits erwähnt, eine glaubhafte Möglichkeit zur Abstreitbarkeit der Anschuldigungen bieten könnten.

Es ist ziemlich sicher, dass die Phishing-Angriffe von Cyberkriminellen während der gesamten FIFA-Weltmeisterschaft 2022 andauern werden, bevor sie nach Abschluss des Turniers allmählich verschwinden. Da das Turnier bald beginnt, ist es sehr unwahrscheinlich, dass bei auf Unternehmen abzielenden Phishing-Angriffen im Rahmen von Turnieren weiterhin Köder zum Einsatz kommen, die die Opfer dazu auffordern, auf Verträge zu bieten oder Waren oder Dienstleistungen für das Turnier bereitzustellen.

Es ist sehr wahrscheinlich, dass der Iran und Russland weiterhin auf Spaltungen hinweisen und die Spannungen zwischen Katar und den westlichen Ländern, die der Austragung des Turniers in Katar kritisch gegenüberstehen, verschärfen werden, während sie gleichzeitig ihre eigenen bilateralen Beziehungen stärken. Darüber hinaus werden der Iran, China und Russland die Fußballweltmeisterschaft 2022 in künftigen Einflussoperationen wahrscheinlich als Beispiel dafür nutzen, wie der Westen versucht, anderen Ländern „westliche Werte“ aufzuzwingen.

Aufgrund der oben erläuterten Faktoren ist es unwahrscheinlich, dass Katar während der FIFA-Weltmeisterschaft 2022 einer größeren physischen Sicherheitsbedrohung ausgesetzt sein wird. Obwohl der Iran, China und Russland die bilateralen Beziehungen zu Katar betonen und durch Gespräche fördern, leisten Länder wie die USA, Großbritannien, Frankreich, Italien, die Türkei und andere Katar für das Turnier materielle Sicherheitsunterstützung. Diese Sicherheitshilfe, die auf anderen Sicherheitskooperationen aufbaut, sowie die formelle Bezeichnung Katars als „ wichtiger Verbündeter außerhalb der NATO“ durch die USA im März 2022 dürften zu einer weiteren Sicherheitskooperation zwischen Katar und westlichen Ländern führen.

Die in diesem Bericht verwendeten Quellen sind die Recorded Future ® -Plattform und offene Quellen.