Cybercrime kann jeden treffen. Auch Julius trifft es: Sein Insta-Account wird gehackt und er soll Geld bezahlen. Was wir in so einem Fall tun können und wie wir uns besser schützen.
Julius ist Synchronsprecher und nutzt Instagram beruflich für Kontakte und Jobs. Auf dem Weg ins Kino erhält er eine Mail, angeblich von Meta: Jemand aus Mumbai habe versucht, auf seinen Account zuzugreifen. In Eile klickt er auf den Link, landet auf einer täuschend echten Meta-Seite, ändert sein Passwort und versucht danach, sich bei Instagram einzuloggen.
Instagram – Nur Profilbild und eine Nachricht bleiben übrig
Das Einloggen mit den neuen Daten scheitert. "Zu dem Zeitpunkt hab ich noch gar nicht gecheckt, dass ich gerade gehackt wurde. Ich dachte, das sei ein Fehler von Instagram", sagt er.
"Ich sehe nur mein Profilbild und in der Bio steht ein einziger Satz: 'If you want your Account back check your mails.'"
Mit seinem zweiten Account sucht er sein Hauptprofil und findet es – sichtbar, aber ohne Beiträge, nur mit Profilbild und dem Satz in der Bio: "If you want your Account back check your mails."
Nach Hacking nur wenige Tage Zeit, um Geld zu überweisen
In der Mail dann ist als Beweis für den Hack sein altes Passwort genannt. Außerdem steht darin, dass er wenige Tage Zeit habe, Geld zu überweisen, um das Profil zurückzubekommen. "Ich war völlig perplex, mir ging es richtig beknackt", sagt Julius, weil auch seine gesamte Auftragslage von Instagram abhänge.
Schlimm sei vor allem gewesen, dass es kein Fehler von Instagram war, sondern zu 100 Prozent seine eigene Schuld. Er habe das Passwort ja nicht über die App, sondern über den dubiosen Link geändert.
Schützen mit Oldscool-Methoden
Julian ist kein Einzelfall, sagt Oliver Buttler von der Verbraucherzentrale Baden-Württemberg. Er berät häufig Menschen, die keinen Zugriff mehr auf ihre Konten haben oder auf dubiose Links hereingefallen sind.
Seine Tipps, um einem Hack vorzubeugen, sind so oldschool, wie überraschend.
Passwörter sollten wir ...
- ... möglichst kompliziert wählen.
- ... nicht im Passwortmanager oder in Excel-Tabellen speichern, da auch das gehackt werden kann.
- ... stattdessen auf Papier schreiben.
- ... halbjährlich ändern.
- Außerdem sollten wir Zwei-Faktor-Autorisierung oder Face-ID nutzen.
Schnell handeln, wenn der Account gehackt wird
Wird ein Account gehackt, heißt es, schnell zu handeln, betont Oliver Buttler. Zunächst solle man prüfen, ob ein Login noch möglich ist. Meist ändern Hacker jedoch die Zugangsdaten. Wichtig sei dann: den Anbieter kontaktieren, Strafanzeige stellen und diese an den Anbieter weiterleiten, um den Zugang zurückzuerhalten.
"Wenn ich das nicht melde und ein Schaden entsteht, wird eine Versicherung auch nicht leisten. Sie wirft grobe Fahrlässigkeit vor."
Eine Strafanzeige sei entscheidend, um sich selbst abzusichern. Wer einen Hack nicht meldet, riskiere, dass Versicherungen nicht zahlen, wenn dadurch ein Schaden entsteht. Es gilt als grobe Fahrlässigkeit, wenn man auf den Hack nicht reagiert, so der Verbraucherschützer.
Ist man Opfer eines Fake-Shops, sei das Geld leider oft weg, sagt. Doch eine schnelle Reaktion könne sich dennoch lohnen. Denn: Gelder werden manchmal eingefroren, und die Polizei könne den E-Mail-Provider kontaktieren, um das Konto vorübergehend zu sperren, bis der Sachverhalt geklärt ist.
Kein Geld für die Erpresser
Im Falle eines Hacks sei es auch wichtig, einen Virenscanner auf dem Computer laufen zu lassen, rät Oliver Buttler. Mögliche Schadsoftware könnte sonst weitere Daten abgreifen.
Auf Geldforderungen von Erpressern sollte man nicht eingehen, meint er, sondern den Fall der Polizei übergeben: "Die hat Spezialisten und Mittel, um möglicherweise Hinterleute ausfindig zu machen." Im Zweifel bedeutet Zahlen nur, Geld für nichts auszugeben und nach wie vor keinen Zugang zum Account zu bekommen.
"Mein Passwort hat jetzt 70 Stellen. Ich habe es nirgendwo aufgeschrieben, sondern auswendig gelernt."
In Julians Fall wollten der oder die Erpresser*innen 400 Euro. Er habe mehrere Tage überlegt und schließlich gezahlt, obwohl er sich nicht sicher war, dass nicht noch weitere Forderungen kommen. Dann hieß es warten: "Die erste halbe Stunde passierte nichts. Das Geld war raus und von meinem Geschäftskonto abgebucht", erzählt er.
Fix und fertig sei er gewesen – bis tatsächlich der Wiederherstellungscode kam, der auch funktionierte. Sein neues Passwort hat jetzt 70 Stellen, sagt er. Und: "Ich habe es nirgendwo aufgeschrieben, sondern auswendig gelernt", sagt er.
Hacker spielen mit unserer Psyche
Der Verlust seines Online-Profils hat Julius gezeigt, was im Leben wirklich zählt, sagt er. Seitdem lege er den Fokus mehr auf das reale Leben und habe an Leichtigkeit und Selbstwertgefühl gewonnen. Sein Wert und Erfolg solle nicht von digitalen Profilen abhängen.
"Hacker wenden perfide psychologische Tricks an."
Catarina Katzer berät als Cyberpsychologin auch den Euro- und Bundesrat. Sie sagt: Hacker nutzen perfide psychologische Tricks und sprechen gezielt unsere Emotionen an, um uns zu manipulieren. Dies mache den Umgang mit einem Angriff besonders belastend.
Unsichtbare Angreifer und Schuldgefühle
Catarina Katzer betont zwei zentrale Belastungen bei Hackerangriffen: Erstens ist der Angreifer unsichtbar – man wisse nicht, wer er oder sie ist, wie viele überhaupt beteiligt sind und welche Daten gestohlen wurden. Diese Unsicherheit erzeuge ein enormes Gefühl von Kontrollverlust.
"Wird in meinem Haus oder meiner Wohnungen eingebrochen, weiß ich schnell was ist weg. Das weiß ich beim Hacking nicht."
Zweitens blendet man im Netz oft Gefahren aus und verdrängt, dass manches riskant ist: etwa zu leichte Passwörter zu wählen oder zu viel von sich preiszugeben, so die Cyberpsychologin.
Umso belastender sei es, wenn dann ein Schaden passiere und man sich selbst noch die Schuld dafür gibt. Die Schamgefühle seien oft sehr hoch, viele verbergen den Vorfall lieber, so die Psychologin. Misstrauen und Unsicherheiten können sich dann auch auf das physische Leben ausbreiten.
Notfallpläne und Unterstützung helfen
Cybercrime ist ein wachsendes Phänomen, Opfer kann jede*r sein. Deshalb ist es wichtig, Schuldgefühle abzuwälzen und sich bewusst zu machen: "Ich bin nicht allein, andere kann es auch treffen", so Catarina Katzer. Ebenso entscheidend sei ein mentaler Notfallplan: Was tue ich, wenn es passiert? Wen kann ich kontaktieren? Gibt es Hilfeportale oder Beratungsstellen? Gefahren zu verdrängen, sei der falsche Weg.
Dabei spielten auch Familie und Freunde eine zentrale Rolle. Sie können Betroffene unterstützen, ohne Vorwürfe zu machen, so die Psychologin, sodass die Hacking-Opfer nicht ihre eigene Persönlichkeit infrage stellen. Kommentare wie "Phishing-Mails – das weiß doch jeder, dass es gefährlich ist!" oder "Hast du dich nicht geupdatet?" helfen nicht, sagt sie.
Meldet euch!
Ihr könnt das Team von Facts & Feelings über Whatsapp erreichen.
Uns interessiert: Was beschäftigt euch? Habt ihr ein Thema, über das wir unbedingt in der Sendung und im Podcast sprechen sollen?
Schickt uns eine Sprachnachricht oder schreibt uns per 0160-91360852 oder an factsundfeelings@deutschlandradio.de.
Wichtig: Wenn ihr diese Nummer speichert und uns eine Nachricht schickt, akzeptiert ihr unsere Regeln zum Datenschutz und bei Whatsapp die Datenschutzrichtlinien von Whatsapp.