Immer wieder kommt es vor, dass Instagram-Konten und Facebook-Profile oder Seiten gehackt und von Unbekannten übernommen werden. Im schlimmsten Fall sind danach die Profile und über Jahre gewonnene Follower für immer verloren oder können nur mit viel Glück und Anstrengung wieder hergestellt werden. Im folgenden führen wir einmal die häufigsten Sicherheitslücken für solche Hacks auf und zeigen, mit welchen Maßnahmen und Verhaltensweisen man sich bestmöglich schützen kann.
Potentielle Sicherheitslücken
• Phishing mit Direkt-Nachrichten
Ein häufiger Grund für gekaperte Accounts ist, das sogenannte Phishing bei dem man den Hackern seine Daten aus Unwissenheit quasi selbst übermittelt. Dies war in letzter Zeit vor allem bei Instagram über den Messenger zu beobachten. Dabei erhält man z.B. eine Nachricht von einem Account der vorgibt Instagram zu sein. Inhalt solcher Nachrichten können Hinweise auf angebliche Urheberrechtsverletzungen sein, die zur Sperrung des Accounts führen könnten (Beispiel 1) oder die Benachrichtigung über eine erfolgreiche Prüfung für die Berechtigung des Blauen Hakens bei Instagram (Beispiel 2). In der Nachricht wird man aufgefordert einen Link anzuklicken, der auf eine Seite führt, die eine Kopie der Log-In-Seite von Instagram ist. Gibt man nun seine Log-In-Daten ein, werden diese kurzerhand verwendet, um das Profil zu übernehmen. Das Passwort wird geändert und man ist ausgesperrt. Nun wird die eigene Seite entweder mit einem „Lösegeld-Hinweis“ für das erneute Freischalten versehen oder die Seite wird umbenannt und für weitere Hackerangriffe oder kriminelle Aktivitäten verwendet. Bei Facebook werden auch häufig Nachrichten verwendet, die von Profile der eigenen Freunden stammen, die zuvor gehackt wurden.
• Phishing-Nachrichten per E-Mail
Das Phishing per Email funktioniert in der Regel genauso, wie das Phishing mit Direktnachrichten. Eine Email gibt vor von Instagram oder Facebook zu stammen und fordert nun dazu auf eine dringende Handlung vorzunehmen. Ein Klassiker ist zum Beispiel der Hinweis, es hätte einen unberechtigten Log-In-Versuch gegeben und man solle nun über einen Link sein Passwort ändern, um die Sicherheit des Accounts wieder herzustellen. Auch das Angebot mit einem Facebook-Berater zu sprechen muss nicht immer von Facebook selber kommen. Häufig sind diese E-Mails kaum anhand von Inhalt oder Absender vom Original unterscheidbar. Ein Blick auf die eingetragene Empfängeradresse kann aber bereits einen ersten Hinweis geben. Prinzipiell sollte jede unerwartete Mail von Instagram, Facebook oder anderen Anbietern, vor dem Klicken eines Links auf ihre Echtheit überprüft werden. Ist man bereits im Browser angemeldet, sollte auch eine erneute Abfrage des Log-Ins immer stutzig machen.
• Log-In und Passwort aus einem Datenleck
Datenlecks, die durch Hackerangriffe entstanden sind, sind ein weit verbreitetes Problem von Anbietern, bei denen man sich mittels E-Mail oder Nutzernamen und Passwort anmeldet. Auch große Anbieter mit Millionen-Nutzern waren in der Vergangenheit immer wieder betroffen. Die Datensätze sind danach frei im Internet oder Darknet verfügbar, oder werden sogar zum Kauf angeboten. Wurden nun die gleichen Log-In-Daten auch bei anderen Anbietern verwendet und nicht aktualisiert, kann es passieren, dass Hacker durch automatisiertes Austesten der Log-In-Daten bei verschiedenen Anbietern Zugang zum Account erhalten. So kam es zum Beispiel im Frühjahr 2020 zu vielen unberechtigten Log-Ins in Zooom-Meetings. Das größte Problem lag hier nicht beim Anbieter selbst, sondern bei Nutzer:innen, die für verschiedene Anbieter die gleichen Log- In-Daten verwendet haben.
• Gehacktes E-Mail-Konto
Auch gehackte E-Mail-Konten sind ein häufiges Problem. Grund hierfür können ebenfalls mehrfach verwendete Log-In-Daten, aber auch unsichere Passwörter oder eine Datenpanne beim E-Mail-Anbieter selbst sein. Haben Hacker Zugriff zum Postfach können sie dort nach Emails von Instagram oder Facebook suchen, über die E-Mail- Adresse oder den Nutzernamen bei Instagram das Passwort zurücksetzen und diese Änderung direkt im Email-Postfach bestätigen. Viele der Hackangriffe auf Facebook- Werbekonten, die sich Anfang 2021 besonders häuften, hatten ihre Ursache in gehackten E-Mail-Konten. Über viele der so gekaperten Werbekonten wurde von den Hackern Werbung geschaltet. Zum Teil im Wert von mehreren Tausend Euro, die von den Konten der Betroffenen abgebucht wurden. In vielen Fällen wurden diese Beträge von Facebook erstattet. In der Folge führte Facebook verpflichtend die 2-Faktor-Authentifizierung für alle Profile ein, die Zugriff auf ein aktives Werbekonto haben.
• Nicht gefährlich: Das Lesen einer Phishing-Nachricht ohne auf den Link zu klicken
Nicht gefährlich wiederum ist in der Regel das Betrachten einer Email oder Direktnachricht ohne auf einen Link zu klicken oder einen Anhang zu öffnen. Erst wenn die eigenen Log-In-Daten auf einer von Hackern betriebenen Seite eingegeben werden, können diese auch verwendet werden.
Checkliste für Schutzmaßnahmen
Um die eigene Instagram-Seite bestmöglich vor Hackerangriffen zu schützen, gibt es eine Reihe effektiver Maßnahmen und Vorkehrungen. Die wichtigste davon ist die 2-Faktor- Authentifizierung.
• Zweistufige Authentifizierung einrichten (2-Faktor-Authentifizierung)
Bei der zweistufigen Authentifizierung wird zu den üblichen Log-In-Daten (Email, Nutzername und Passwort) ein zweiter Faktor bei der Anmeldung hinzugezogen. Dies kann ein per SMS erhaltener Code oder die Nutzung einer Authentifizierungs-App sein. In der Regel empfiehlt sich die Verwendung der eigenen Handynummer für die Authentifizierung. Meldet man sich nun erneut bei Instagram an, wird ein zusätzlicher Code per SMS auf das eigene Handy gesendet. Dabei kann man einstellen, ob Instagram sich das Gerät und den Browser merken soll, so dass man diesen Vorgang nicht bei jedem Öffnen der App oder der Seite wiederholen muss.
Bei der Einrichtung erhält man zudem mehrere Sicherheitscodes, über die man auch bei Verlust eines Handys oder wenn man die Authentifizierungs-Codes nicht erhält, trotzdem Zugriff auf die eigene Seite bekommt. Diese Codes sollte man dementsprechend gut aufbewahren.
Die zweistufige Authentifizierung findet sich im Profil unter Einstellungen > Sicherheit > Zweistufige Authentifizierung.
Bei Facebook wird die 2-Faktor-Authentifizierung auf der Ebene des persönlichen Profils eingerichtet, welches die Seite verwaltet. Prinzipiell empfiehlt es sich, auch wenn noch kein Werbekonto eingerichtet wurde, diese bei Facebook für jedes einzelne Profil zu aktivieren, das Zugriff zu einer Facebook-Seite oder einem Business Manager hat. Im Facebook-Business Manager lässt sich dies auch als Grundeinstellung für alle Profile einrichten, so dass Profile ohne 2-Faktor-Authentifizierung keinen Zugriff über den Business-Manager haben.
• Exklusives Passwort verwenden
Ein weiterer Schutz ist das Verwenden eines exklusiven Passworts. Also eines Passworts, das ausschließlich für die einzelne Seite oder das Profil verwendet wird. Vom Verwenden des selben Passworts für unterschiedliche Seiten und Portale kann nur abgeraten werden.
• Eigene Email-Adressen für jedes Profil
Um die Echtheit einer Email sehr schnell zu identifizieren, kann es sinnvoll sein, mit einer E-Mail-Adresse zu arbeiten, die nur für einen eigenen Zweck verwendet wird. Viele Email Anbieter und Website-Host bieten die einfache Möglichkeit, zu einem Postfach weitere Emails hinzuzufügen. Anhand des adressierten Empfängers kann dann in einigen Fällen direkt identifiziert werden, dass eine Email nicht vom vorgegebenen Absender stammen kann. So kann in Zweifelsfällen schnell ein erster Schritt zur Klarheit geschaffen werden.
• Zugriffsmöglichkeiten reduzieren und protokollieren
Häufig kommt es vor, dass mehrere Mitarbeiter:innen für das Veröffentlichen von Beiträgen und Stories oder das Verwalten von Accounts zuständig sind. Hier empfiehlt es sich, die Zugriffsmöglichkeiten soweit es geht zu reduzieren und alles sauber zu protokollieren. Nicht jeder benötigt die Instagram App auf seinem Handy. Viele Beitragsarten lassen sich auch über die Facebook-Business-Suite erstellen. Zudem gibt es hier sehr nützliche Funktionen zum Verwalten von Nachrichten und Kommentaren, auch plattformübergreifend. So lässt sich sicherstellen, dass nur die relevanten Personen auch über den Nutzernamen und das Passwort verfügen.
• Passwörter ändern (z.B. bei Mitarbeiterwechsel)
Passwörter sollten regelmäßig geändert werden. Spätestens immer dann, wenn ein Mitarbeiter oder eine Mitarbeiterin wechselt. Auch das Ändern der Zugriffsrechte über die Facebooks-Seite sollte ein automatischer Ablauf sein, sobald jemand nicht mehr für die Verwaltung der Seite oder das Erstellen von Inhalten verantwortlich ist.
• E-Mails und Nachrichten immer erst auf Echtheit überprüfen
Natürlich kann es vorkommen, dass es sich bei einer E-Mail mit einem Sicherheitshinweis oder einer dringenden Meldung tatsächlich um eine wichtige E-Mail von Facebook oder Instagram handelt, die jetzt das eigene Handeln erfordert. Gerade darauf bauen die Hacker und verwenden häufig auch Inhalt, Aufbau und Absender wirklich existierender Meldungen. Deshalb sollte jede E-Mail und Nachricht vor dem weiteren Handeln auf ihre Echtheit überprüft werden. Dies kann in mehreren Schritten erfolgen. Zunächst sollte sichergestellt werden, ob es sich beim adressierten Empfänger wirklich um die Email- Adresse handelt, die für das jeweilige Profil verwendet wird. Im Instagram-Profil bietet sich zudem die Möglichkeit unter dem Punkt „Einstellungen>Emails von Instagram“ die Möglichkeit zu überprüfen, ob ein Email wirklich von Instagram stammt oder eine Fälschung ist. Je schneller geklärt ist, ob es sich bei einer Nachricht um einen Betrugsversuch handelt, umso schneller kann man diese Ignorieren und die eigentliche Arbeit fortsetzen.
Fazit
Ist eine Seite oder ein Profil erst einmal gehackt, kann der Schaden und die Frustration immens sein. Der arbeitsreiche und häufig über mehrere Jahre erzielte Aufbau von Followern kann dadurch auf einen Schlag verloren gehen. Die Möglichkeit der 2-Faktor- Authentifizierung bietet bereits einen erheblichen Schutz. Durch weitere Vorkehrungen kann zudem schnell identifiziert werden, dass es sich bei einer Nachricht oder E-Mail eindeutig um einen Betrugsversuch handeln muss.
Jetzt persönlich informieren:
Ihr möchtet erfahren, ob und wie wir auch euch dabei unterstützen könnten, mit einer eigenen Social-Media-Strategie erfolgreich online sichtbar zu werden und potenzielle Besucher:innen zu begeistern? Ihr möchtet eure digitalen Aktivitäten optimieren und die Werbemöglichkeiten eurer Social-Media-Kanäle effektiv nutzen? Dann vereinbart jetzt ein persönliches Informationsgespräch.