Die Formel 1-Saison läuft. Der Große Preis von Melbourne fand letzten Sonntag statt. Damit steigt auch das Interesse an Piraten-Portalen.
Illegale Streaming-Anbieter sind angewiesen auf große Sportereignisse, die sie ausstrahlen können. Schon seit Sonntag läuft die Formel 1-Saison. Dazu kommen die ersten Vorbereitungsspiele der diesjährigen Baseball-Saison. Erst im Juni startet die FIFA-Fußballweltmeisterschaft 2026, die weltweit sicher auch das Interesse vieler Nutzer an illegalen Streaming-Diensten anheizen wird.
Die Formel 1-Saison schauen sich viele schwarz an
Das weltweite Publikum sucht erneut nach Möglichkeiten, Live-Übertragungen über Kontinente, Zeitzonen und Geräte hinweg zu verfolgen. Gleichzeitig hat der stetige Anstieg der Abonnementkosten, der anhaltende Rückgang traditioneller Kabelpakete und die Realität des Fernsehens auf Reisen immer mehr Zuschauer zu „kostenlosen“, also illegalen, Streaming-Alternativen getrieben.
Google macht es den Suchenden leicht, derartige Websites zu finden, die uns kostenloses Streaming versprechen. Doch der Antivirenhersteller Bitdefender warnt vor den Risiken, die mit dem Besuch solcher Portale verbunden sein können. Nicht nur, dass auch Minderjährigen Werbung für Krypto-Investments, gefakte Virus-Warnungen, Online-Spielwetten & -Casinos nebst anderen nicht jugendfreien Inhalten zu Gesicht bekommen. Natürlich versuchen sich die Admins der Streaming-Seiten dann und wann auch mit unmoralischen Methoden die Taschen zu füllen.
Tracking-Tools verknüpfen Besucher mit ihrem Facebook-Konto
Fakt ist, die Nutzer solcher Online-Angebote werden systematisch ausgeforscht. Tracking-Tools wie Meta Pixel sammeln Verhaltensdaten, sodass andere Werbenetzwerke die Besucher später mit passender Werbung ansprechen können. Dass viele Portale legale Angebote nachahmen und dazu gezwungen sind, ihre Domains zu wechseln, führen die Schlangenöl-Verkäufer auch auf. Doch das erklärt sich von selbst. Da Pay-TV-Anbieter und Sportvereine immer wieder dafür sorgen, dass Domains gesperrt werden, leitet man die Besucher teils über mehrere Umwege auf das endgültige Ziel weiter.
Der Einsatz von Pixel-Tracking bedeutet, dass die rechtswidrige Streaming-Website Daten zu Browsing-Ereignissen an die Server von Meta oder einen anderen Dienst sendet. Diese Daten können die URL der besuchten Seite, der Zeitstempel, die IP-Adresse, die Browserkonfiguration und andere eindeutige Cookie-Identifikatoren umfassen. Das bedeutet, dass Meta diesen Besuch mit einem Werbeprofil verknüpfen kann, wenn ein Nutzer bei Facebook angemeldet ist oder Facebook-Cookies im Browser gespeichert hat. Man verwendet das Profil dann später, um dem Nutzer passende, also möglichst individuell auf ihn zugeschnittene Werbung, zu präsentieren.
Streaming-Seiten verwenden alt bekannte Muster
Eine 2026 im Journal of Cybersecurity and Privacy veröffentlichte Studie analysierte 260 kostenlose Live-Sport-Streaming-Websites. Man stellte fest, dass fast jede dritte Website (31,5 %) bösartiges JavaScript enthielt. Der Code ist dazu in der Lage, Werbung einzublenden, Nutzer umzuleiten oder schädliche Inhalte zu laden. Die Analyse ergab außerdem, dass Malware vorhanden war, die sich selbst installiert, Persistenz schafft und mit externen Command-and-Control-Servern (C&C) kommunizieren kann. Unter Persistenz versteht man die Fähigkeit einer Schadsoftware, nach einem Neustart oder nach bestimmten Benutzeraktionen weiterhin aktiv zu bleiben. C&C-Server dienen der Steuerung von infizierten Geräten, die sie zu ihrem Botnetz hinzufügen.
Unsichtbare Iframes spielen Werbung aus
Problematisch ist auch die Nutzung von unsichtbaren Iframes. Normale Iframes sind im WW häufig präsent. Das sind im Grunde genommen Fenster, die Inhalte aus einer anderen Quelle in eine Host-Seite einbetten, beispielsweise in einen Videoplayer oder zur Darstellung von Online-Werbung.
Einige Seiten enthielten jedoch unsichtbare Iframes. Diese funktionieren wie normale Iframes, sie sind aber für den Website-Besucher nicht sichtbar, weil man sie außerhalb des Bildschirms bei Koordinaten wie -1000 Pixel platziert hat. Das bedeutet, dass sie im Hintergrund versteckte Elemente von Drittanbietern laden, ohne dass der Benutzer davon weiß. Die Technik soll insgeheim Werbeeinnahmen generieren, verschiedene Hintergrund-Weiterleitungen starten und sogar Nutzer unbemerkt mit anderen Monetarisierungs-Netzwerken verbinden.
Formel 1-Saison & Co.: Piraten versuchen Adblocker zu überlisten
Lästig sind auch DNS-Prefetch-Anweisungen, die Verbindungen zu obskuren externen Domains vorbereiten, bevor eine sichtbare Interaktion stattfindet. Dies beschleunigt das Laden von verstecktem Datenverkehr und verbessert hinter den Kulissen die Leistung der Anzeigenauslieferung. Die immer wieder neuen Domainnamen sollen die Funktionalität von Adblockern einschränken, weil sie die Werbung bekannter Domains blockieren, die sie auf ihrer Liste haben.
Live-Streaming in der EU führend
Während der Studie stieg die Anzahl der bestätigten Phishing-Weiterleitungs-URLs von 37 auf 51 an. Das zeigt, dass bösartige Seiten aktiv blieben, bevor man sie in die öffentlichen Blacklists einsortiert hat. Interessant ist auch, dass eine andere Studie aus dem Jahr 2023 ergab, dass innerhalb der EU das Live-Streaming mit Abstand die beliebteste Methode für den Zugriff auf illegale Fernseh-Inhalte geworden ist. Eine nicht lizenzierte Übertragung der Formel 1-Saison ist aber nur ein Beispiel von vielen.
Nutzung von BitTorrent-Mitschnitte nicht ohne Risiko
Wer hingegen nachträglich Mitschnitte von Sport-Events per P2P herunterlädt, begibt sich ebenfalls in Gefahr. Die Sicherheitsforscher von Bitdefender (hier unser Interview mit dem CEO) fanden in zahlreichen Archiven den Lumma-Stealer nebst anderer Malware. Der Lumma Stealer, auch LummaC2 genannt, ist eine Schadsoftware aus der Kategorie „Infostealer“. Man hat sie speziell dafür entwickelt, sensible Daten von infizierten Computern zu stehlen, um sie an die Server der Cyberkriminellen zu übertragen.
