Digitaler Identitätsklau: Sie haben mich gehackt!
Horror 2.0: Keinen Zugriff aufs E-Mail-Konto, Facebook-Zugang weg, falsche Bettelmail an alle: Wie Unbekannte meine digitale Identität kaperten. Ein Protokoll.
11.45 Uhr: Es beginnt mit einem etwas verstörten, aber doch amüsierten Hinweis der Kollegin. "Schau mal, hab ich gerade von dir bekommen." Der Blick auf ihren Bildschirm: Eine Mail auf Englisch, gesendet von meinem E-Mail-Konto. "Betreff: Emergency". Ich sei in Spanien ausgeraubt worden, alles weg. Handy, Geld, Kreditkarten. Ziemlich schlimm das alles. Nun bräuchte ich dringend Geld - am besten über Western Union. Schließlich müsste ich ja wieder nach Hause. Eine Telefonnummer steht auch dabei.
11.46 Uhr: Ich bin belustigt - und denke noch: blöder Scherz, wer denkt sich so was aus und glaubt auch noch, dass das jemand ernst nimmt?
11.47 Uhr: Es gibt tatsächlich Menschen, die das ernst nehmen. Zurück an meinem eigenen Schreibtisch, blinkt das Telefon, ich habe sieben SMS, sechs Anrufe in Abwesenheit und fünf Nachrichten auf der Mailbox.
11.48 Uhr: Ich versuche, mich in mein E-Mail-Konto einzuloggen. Geht nicht. Das Passwort stimmt nicht. Zweiter Versuch - ohne Erfolg.
11.49 Uhr: Ein ehemaliger Kollege ruft an. Ob es mir gut gehe? Er habe da so eine Mail bekommen - und wollte mal nachfragen, ob ich tatsächlich Geld bräuchte. Brauche ich nicht, danke der Nachfrage. Was ich brauche, ist Zugang zu meinem E-Mail-Konto.
11.49 Uhr: Eine SMS von meinem Bruder. "Schwesterherz, was is da los?"
11.51 Uhr: Die Mailbox piept. Sieben neue Nachrichten, Freunde, Kollegen, ein entfernter Verwandter. Ich realisiere: Diese Mail ging an alle Menschen, denen ich jemals von meinem Konto aus eine Mail geschrieben habe. Berufliche Kontakte, Exfreunde, völlig Fremde, die in einem Verteiler landen, wenn es darum geht, ein gemeinschaftliches Hochzeitsgeschenk zu organisieren. Horror!
11.54 Uhr: Ich rufe die Telefonnummer an, die in der Fake-Mail steht. Sie hat eine spanische Vorwahl. Kein Anschluss unter dieser Nummer.
11.58 Uhr: Noch immer komme ich nicht an meine E-Mails. Mein Mailanbieter hat keine Telefonnummer, die man in einem solchen Fall anrufen kann. Nur ein Formular zur Kontowiederherstellung. Meine Mails werden auf ein anderes Konto umgeleitet, steht da auf dem Bildschirm. Ich habe nie eine Weiterleitung eingerichtet. Ich sperre das Konto, melde einen Missbrauch.
12.01 Uhr: Meine Mutter ruft an. Mein Taufpate habe auf ihren Anrufbeantworter gesprochen und wolle wissen, ob ich gesund sei. "Kind, was machst du für Sachen."
12.05 Uhr: Das Handy klingelt schon wieder. Ich gehe dran: "Nein, ich bin nicht in Spanien ausgeraubt worden, mir geht es gut." Meine Kollegen im Zimmer finden das alles sehr amüsant - ich zu diesem Zeitpunkt weniger.
12.11 Uhr: Ich fülle das Formular zur Kontowiederherstellung aus. Viele Fragen, ich soll sie möglichst im Detail beantworten. Eine andere Möglichkeit, mich zu identifizieren, gibt es nicht. Wann wurde das Konto eröffnet? Tag? Monat? Jahr? Wann habe ich mich das letzte Mal erfolgreich eingeloggt? Uhrzeit? Welche Anwendungen nutze ich - und seit wann genau? Welchen fünf Kontakten habe ich zuletzt eine Mail geschrieben? Was weiß ich denn?!
12.18 Uhr: Eine SMS vom Politikchef einer großen Tageszeitung, bei dem ich vor einem Jahr ein Vorstellungsgespräch hatte. Er habe eine verstörende Mail von mir erhalten und wolle mich auf einen offensichtlichen Hackerangriff aufmerksam machen. Ich bedanke mich artig für den Hinweis - und möchte vor Scham unter den Tisch kriechen.
12.25 Uhr: Ich versuche, mich in mein Facebook-Profil einzuloggen, um wenigstens auf diesem Weg meinen Freunden zu sagen, dass offenbar jemand mein Konto gehackt und eine absurde Mail verschickt hat. Facebook sagt mir, ich hätte um 11.34 Uhr mein Passwort geändert. Habe ich nicht.
12.30 Uhr: Die E-Mail-Adresse, die bei Facebook hinterlegt ist, ist die, auf die ich nicht mehr zugreifen kann. Der Link, um das Passwort zurückzusetzen und zu ändern, erreicht mich deshalb nicht. Ich muss mich identifizieren - also wieder: Fragen beantworten, Fotos meiner Freunde identifizieren. Das neue Passwort lasse ich mir auf eine andere E-Mail-Adresse schicken.
12.36 Uhr: Langsam dämmert es mir: Ich habe für mein E-Mail- und Facebook-Konto dasselbe Passwort. Schön blöd, schon klar, das weiß jedes Kind. Aber wer merkt sich schon 25 verschiedene Passwörter? Ich fange zumindest mal damit an und ändere das Facebook-Passwort, jetzt ist es ganz individuell.
12.46 Uhr: Das Handy klingelt. Eine Freundin aus Köln. Sie hat mir auf die Hilfe-ich-wurde-überfallen-Mail geantwortet und eine zweite Mail bekommen. Wieder auf Englisch. Da sei sie dann ins Grübeln gekommen. Ich wundere mich, dass es ernsthaft Menschen gibt, die glauben, ich würde in so einem Notfall eine Mail in gebrochenem Englisch an alle meine Freunde und Bekannten schicken. Die Freundin leitet mir die Mail weiter. Die E-Mail-Adresse des Absenders ist mit meiner fast identisch. In der Mail steht, ich bräuchte 1.200 Euro, um wieder nach Deutschland zu kommen. "Nur ein paar Blocks von hier ist ein Schalter von Western Union, am besten du schickst das Geld direkt dorthin." Dann eine Adresse in Spanien. Immerhin, mein neues Ich ist höflich: "Other than that, how are you?" heißt der letzte Satz.
13.12 Uhr: Ich bekomme mein neues Passwort für mein E-Mail-Konto und kann mich wieder anmelden. Nur leider sind alle meine Kontakte weg. Ich werde leicht hysterisch bei dem Gedanken an all die Mailadressen, die ich nirgendwo gesichert habe. Und aus der zweiten Rundmail mit einer Erklärung samt zerknirschter Entschuldigung wird nun also auch nichts.
13.14 Uhr: Es melden sich Menschen bei mir, von denen ich eigentlich nichts mehr hören wollte.
13.20 Uhr: Inzwischen habe ich auch wieder Zugang zu meinem Facebook-Account. Eine kurze Statusmeldung von mir und die Zahl der Anrufe nimmt merklich ab. Dafür steigt die Zahl amüsierter, mitleidiger, erleichterter und hämischer Kommentare deutlich an.
13.34 Uhr: Ein Kollege kommt ins Zimmer. "Du hier und nicht in Madrid?" Ich lache nicht.
13.42 Uhr: Mein großer Bruder - ein oft belächelter Computer-Nerd - wird mein Held des Tages: Er schickt mir einen Link, mit dessen Hilfe ich meine Kontakte wiederherstellen kann. Vier Mausklicks und mein Adressbuch ist wieder komplett.
13.49 Uhr: Nach einer zweiten Mail an das Hilfe-Center ist auch die Weiterleitung meiner Mails an die Fake-Adresse der Hacker gelöscht. Die erste Mail, die mich erreicht, ist die meiner Mutter. Sie findet, dass 1.200 Euro ganz schon viel Geld seien, um von Madrid nach Berlin zu kommen. Darüber kann ich zumindest wieder grinsen.
14.01 Uhr: Ich schicke eine Mail an alle meine Kontakte. Betreffzeile: "Kein Notfall - nur Hacker"
14.27 Uhr: Die Computer-Expertise meines Bruders reicht mir nicht, ich will wissen, was da los war. Wie kann es sein, dass Fremde an meine Passwörter kommen? Wer steckt dahinter? Ich rufe beim Bundesamt für Sicherheit in der Informationstechnik an. Ein Experte erklärt mir, dass Hacker schon länger mit dieser Masche unterwegs sind. Nicht ohne Erfolg. Es gibt offenbar tatsächlich Leute, die Geld überweisen, sagt der Mann. Er rät mir, meinen Computer komplett überprüfen zu lassen. Wenn die Hacker ein Schadprogramm eingeschleust haben, dann seien sie jetzt im Besitz all meiner Daten und Passwörter, sagt er. Na wunderbar.
15.15 Uhr: Ich ändere alle Passwörter, die mir einfallen. Sämtliche Onlineshops, bei denen ich mich jemals angemeldet habe, Buchungswebseiten von Fluganbietern, Online-Banking.
15.44 Uhr: Der Sicherheitsexperte hat gesagt, die einzige Chance, den Hackern auf die Schliche zu kommen, sei, vor der Western-Union-Filiale in Madrid einen Polizisten zu stationieren, die Mitarbeiter von Western Union einzuweihen, Geld zu überweisen - und darauf zu warten, dass der Polizist nach einem Zeichen aus der Filiale zuschnappt. Ziemlich viel Aufwand. Ich überlege lange - entscheide mich dann aber dagegen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Müntefering und die K-Frage bei der SPD
Pistorius statt Scholz!
Kampf gegen die Klimakrise
Eine Hoffnung, die nicht glitzert
Krieg in der Ukraine
Biden erlaubt Raketenangriffe mit größerer Reichweite
Haldenwang über Wechsel in die Politik
„Ich habe mir nichts vorzuwerfen“
Rentner beleidigt Habeck
Beleidigung hat Grenzen
Zweite Woche der UN-Klimakonferenz
Habeck wirbt für den weltweiten Ausbau des Emissionshandels