Nach Hacker-Angriff

Instagram-Support braucht nur neun Monate, um der Bauhaus-Universität ihren Account wiederzugeben

Marit Haferkamp gibt die Mailadresse, das Passwort, den sechsstelligen Code ein, klickt auf Login und dann:

„Hilf uns bei der Bestätigung, dass dies dein Konto ist.“ Das würde Haferkamp ja gern. So wie alle Kolleg*innen aus der Abteilung Universitätskommunikation der Bauhaus-Uni in Weimar. Sie alle würden nur zu gern bestätigen, dass der Instagram-Account bauhaus_uni tatsächlich ihr Account ist.

Nur: Sie können es nicht. Und das schon seit neun Monaten.

Ein Screenshot des gehackten Instagram-Accounts der Uni Weimar
So sah der Instagram-Account der Uni Weimar kurz nach dem Hack aus.

Am 20. Mai 2020 um 19.40 Uhr wurde das Instagram-Konto gehackt. Die Seite der Bauhaus-Uni war nun eine türkische Photoshopfail-Sammlung.

Glücklicherweise war eine Mitarbeiterin noch eingeloggt. Die konnte die Posts des Hackers löschen.

Dann, eine Woche nach dem Hack bekam die Uni noch einmal – mithilfe des Instagram-Supports – Zugriff auf ihr Konto. Die Mailadresse wurde wieder zurück auf die richtige @uni-weimar.de-Adresse geändert, ein neues Passwort angelegt, die Zwei-Faktor-Authentifizierung aktiviert – und ein Bild des Hauptgebäudes unter strahlend blauem Himmel gepostet.

„Wir sind wieder da 🥳 und haben gleich die Gelegenheit für ein neues Profilbild genutzt. 😉“, schreibt die Uni.

Klarer Fall von: zu früh gefreut. Deutlich zu früh.

 

Sieh dir diesen Beitrag auf Instagram an

 

Ein von @bauhaus_uni geteilter Beitrag

Auf der Suche nach Passierschein A38

Denn seitdem ging nichts mehr. Zumindest nichts, was man mit Instagram eigentlich machen will: Fotos posten, Infos verbreiten, auf Veranstaltungen hinweisen und sowas. Immer, wenn sich nun jemand aus der Abteilung einloggte, kam der „Hilf uns bei der Bestätigung, dass dies dein Konto ist“-Dialog.

Das Problem dabei: Um zu bestätigen, dass dies dein Konto ist, verschickte Instagram eine Mail – an die Adresse des Hackers. Eine andere Adresse konnte nicht angegeben werden.

Der Account mit dem blauen Himmel im Profilbild und dem blauen Haken daneben war seit dem 27. Mai quasi tot.

Und die Mitarbeiter*innen mussten sich fühlen als wären sie mit Asterix auf der Suche nach Passierschein A38 in einem Bild von M.C. Escher gefangen. Sie wissen schon, dieser Grafiker mit den optischen Täuschungen und endlosen Treppen.

17.000 Follower*innen hat der Instagram-Account der Bauhaus Uni. Und Claudia Weinreich, die Pressesprecherin der Uni, ist ein bisschen stolz darauf, sich diese Reichweite über die vergangenen Jahre aufgebaut zu haben. Die Uni hat nur gut 4.000 Studierende.

Du kommst hier nicht rein

Weinreich nennt es mal „grotesk“, mal „kafkaesk“, dass sie und ihre Mitarbeiter*innen trotz aller Versuche nicht die Kontrolle über ihren Instagram-Account zurückgewinnen konnte.

Immer wieder wandten sie sich zuerst an Instagram, dann an Facebook, den Mutterkonzern. Sie erklärten bereits am Abend des 20. Mai den Fall, nannten die Account-Mailadresse, listeten alle Geräte auf, von denen auf das Konto zugegriffen wurde (fünf iPhones, ein Android-Handy, vier Macs und zwei Windows-PCs), gaben eine Handynummer an und verwiesen auf die Verifizierung ihres Accounts. Die erste Mail endete „mit hoffnungsvollen und freundlichen Grüßen.“ Diese Floskel verschwand bald darauf.

Denn es ging immer so weiter. Der Instagram-Support reagierte nach einer Woche nicht mehr. „Eine Sackgasse“, sagt Weinreich. Jemand aus dem Team stellte daraufhin privat einen Kontakt zum „Facebook Concierge Support“ her. Weinreich schickte einen Scan ihres Ausweises, ihres Sozialversicherungsausweises, ihres Führerscheins und ihres Presseausweises.

Alle duzen sich, niemand hilft weiter

Bei Facebook meldete sich mal der Philipp, dann der Max, die Debbie, der Arnel, später der Daniel. „Hi, Dana“, „Hi, Romy“, Hi Wer-auch-immer-von-der-Uni-Weimar. Man duzte sich. Alles cool. Alles freundlich. Bence von Facebook schickte gar als kleine Entschuldigung einen 25-Dollar-Gutschein, um damit auf der Plattform Werbung schalten zu können.

Meistens bekam die Uni aber lediglich einen Link zur Passwortrücksetzung geschickt. Auf den klickten Weinreich oder eine Kollegin dann, änderten das Passwort, loggten sich ein und landeten wieder bei: siehe oben.

Das Problem lösten weder Philipp, noch Max, Debbie, Arnel, Daniel oder Bence.

Ein richtiger Brief an Facebook

Pressesprecherin Weinreich schickte gar zwei Einschreiben an die Geschäftsführer der Facebook Germany GmbH in Hamburg. So richtig per Post! Wie verzweifelt muss man sein!

Sie sind sogar angekommen. Die Bestätigung hat Weinreich. Nur eine Antwort gab es nie.

Stattdessen hat die Uni mittlerweile schon drei Fallnummern bei Facebook gesammelt: Aus der Case ID 598370427772488 (mittlerweile geschlossen) wurde die Case ID 341346646907746 (mittlerweile geschlossen) und dann die Case ID 367311237602485.

Der letzte Kontakt zu Facebook war im Dezember. Die Nachricht des Kundendiensts:

„Hi,
Thank you for reaching out about case 367311237602485. This ticket has been closed.“

Das Ticket wurde geschlossen. Die nächste Sackgasse.

Warum überhaupt Instagram?

Nur: Warum versuchten es Weinreich und die Uni überhaupt weiter? Warum wandten sie sich nicht von einer Plattform ab, deren Service dermaßen ungenügend ist? Weinreich sagt: Der Kanal sei zur Kommunikation unerlässlich, gerade als internationale Universität mit vielen jungen Studierenden müsse man auch auf diesem Weg Informationen verbreiten. „Gerade jetzt, mit den immer neuen Corona-Maßnahmen.“

Universitätspräsident Winfried Speitkamp sieht in Instagram den Vorteil, Informationen sehr schnell an eine sehr große Zielgruppe zu verbreiten. „Die Präsenz dort wird von uns als Universität mittlerweile erwartet. Nahezu alle Hochschulen sind auf Instagram vertreten, da der Kanal inzwischen weit verbreitet und sehr beliebt ist. Wir möchten ungern darauf verzichten. Gleichzeitig haben wir aber keinerlei Einfluss auf den Service der Plattform. Diese Diskrepanz ist ein Problem.“

Und weil die Präsenz erwartet wird, hat die Uni einen temporären Instagram-Account eingerichtet: Bauhaus_Uni_temp.

Er hat nur 1.500 Follower.

In der Bio steht: „Still doing everything to get @bauhaus_uni back!“

Klingt wie ein Hilferuf.

Facebook hilft …

Also fragen wir mal bei Facebook nach: Ist ihnen das Problem der Uni Weimar bekannt? Gibt es derlei Probleme mit der Wiedererlangung der Kontrolle über den eigenen Account nach einem Hack häufiger?

Von der Pressestelle heißt es, dass man sich kümmern würde, von der Uni Weimar aber noch die Mailadresse bräuchte, über die der Insta-Account bisher lief, und eine neue Mailadresse, die noch mit keinem Facebook- oder Instagram-Konto verknüpft ist. Uni-Pressesprecherin Weinreich schickt ihr die Infos.

Gut sechs Stunden später geht eine Mail raus an die neue Adresse: Das Passwort kann zurückgesetzt und die Identität über diese neue Adresse bestätigt werden.

Kurz darauf kann Marit Haferkamp sich wieder einloggen. Problem gelöst. Keine 30 Stunden nach unserem ersten Kontakt mit Facebook.

… und äußert sich sehr allgemein

Nochmal bei Instgram nachgefragt: Was war das Problem? Und: Spricht es nicht gegen den eigenen Service, dass nun innerhalb von Stunden ein Problem gelöst wurde, das der Support von Instagram und Facebook in neun Monaten – und trotz sechs beteiligter Mitarbeiter*innen und zwei Briefen an die Geschäftsführung – nicht lösen konnte?

Ein Facebook-Company-Sprecher schickt ein Statement:

„Wir verstehen, dass es beunruhigend sein kann, den Zugang zum eigenen Instagram Account zu verlieren. Deshalb möchten wir mit unseren Maßnahmen zur Sicherung des eigenen Accounts böswillige Akteure stoppen, noch bevor sie überhaupt Zugang zu Konten erhalten. Wir möchten aber auch Menschen helfen, ihre Accounts wiederherzustellen und haben dafür definierte Wege, die Nutzer*innen in unserem Hilfebereich unter help.instagram.com finden. Wir wissen, dass wir hier noch mehr tun können, und wir arbeiten in beiden Bereichen intensiv daran, dass unsere Community sicher ist.“

Immerhin: Die Antwort kam recht schnell.

3 Kommentare

  1. Ich habe dasselbe Problem bei Tumblr. Handy gelöscht, 2FA-Code verloren. Doof. Mehrfache Emails an den Support, die 2FA von App auf SMS umzustellen – Nummer war im Konto schon lang hinterlegt. Nix passiert. Antwort jedes Mal: man könne 2FA nicht abschalten. Da kommen nur Textbausteine, niemand liest und versteht Emails. Offensichtlich werden die Mitarbeiter nach Anzahl der Tickets im Akkord bezahlt, nicht nach Lösungen.

  2. Der Anwalt Joachim Steinhöfel hat in den letzten Jahren xmal Facebook erfolgreich wegen rechtswidrigen Löschungen von Postings oder gar Accounts vor Gericht gebracht und in den allermeisten Fällen mussten sie das alles komplett rückgängig machen. Der ganze vorauseilende Gehorsam gegenüber einem wohl in toto verfassungswidrigen Netzwerkdurchsetzungsgesetz wird von Facebook ebenso amateurhaft gehandhabt wie die Reaktion auf Kundenbeschwerden. Und also auch im Fall des armen Bauhauses. Wenn ein milliardenschwerer Konzern seine Kunden wie unterbelichtete Bittsteller behandelt und nur auf Presseecho oder Anwalt reagiert, dann wäre es an der Zeit, mit Gesetzen nachzusteuern, die dem einfachen Kunden Instrumente gegen solche systemische Arroganz an die Hand geben. Aber es reicht der deutschen Politik ja aus, solchen windigen global playern Instrumente gegen die Nutzer in die Hand zu geben. An deren Gegenwehrmöglichkeiten ist sie logischerweise desinteressiert. Und auch Übermedien berichtet nicht über den höchst erfolgreichen Kampf von Steinhöfel, weil der als rechts gilt. Aber wer kümmert sich sonst so kompetent? Ist das hier nicht auch der erste Artikel, der die arrogante Dauerwillkür von Facebook zum Thema hat, oder habe ich da was vergessen?

  3. Was war ich so stolz, als ich im Dezember 2005 über einen Kollegen in New York vorname.nachname@gmail.com für mich registrieren konnte. Damals™ war es noch Stand der Technik, dass man sein Passwort häufig ändert. Ich ändert also immer mal wieder mein Passwort für dieses Google-Konto und irgendetwas ging das schief, das war 2008. Zwei Jahre lang habe ich versucht, wieder Zugriff auf „mein“ Konto zu bekommen – vergeblich. Auf meine Anfragen per E-Mail habe ich überhaupt keine Antworten bekommen, eine Telefon-Hotline gab es nicht und Website-Support auch nicht. Über einen anderen Ex-Kollegen aus Washington, der zwischenzeitlich einer der unzähligen Vice Presidents geworden war, habe ich versucht zu eskalieren. Erfolglos. Er teilte mir lapidar mit, dass man ihm gesagt habe, dass ich als Deutscher ja gar nicht Inhaber des Kontos sein könne (s.o.).
    Diese Unternehmen verdienen ihr Geld nicht mit exzellentem, individuellem Kundenservice, sondern mit schierer Masse. Wenn das für 99,9 % Deiner Kunden ausreicht, dann ist das kein Problem. Jeder 1.000ste wird unzufrieden, davon werden wieder 90 % das einfach ertragen und die anderen gehen halt. Das ist bei Deutschen Unternehmen, die Commodity-Produkte anbieten auch nicht anders. Wenn Dir die Angebote, das Ionos, die Telekom oder Tschibo beispielsweise nicht gefallen, dann viel Spaß beim Verhandeln andere Konditionen.
    Das einzige, was hilft ist Prominenz (immer) oder Presse (nicht immer). Mir ist vollkommen unklar, warum alle™ heutzutage auf eine eigene Webpräsenz verzichten und sich Facebook und/oder Instagram ausliefern. Ich habe in meinem Leben auch viel Zeit auf Twitter, Instagram, Posteros, Pinterest, Gowalla, Facebook und LinkedIn vergeudet. Das, was mir wichtig ist, habe ich aber immer auch parallel in meinem selbst gehosteten Blog auf meiner eigenen Domain bei einem befreundeten, lokalen Betreiber veröffentlicht. Die Conversion-Rate ist klein, die wenigsten folgen mir dorthin, sondern bleiben bei dem letzten von mir genutzten Social Network. Für die Bauhaus-Uni sollte das viel leichter sein.

Einen Kommentar schreiben

Mit dem Absenden stimmen Sie zu, dass Ihre Angaben gemäß unseren Datenschutzhinweisen gespeichert werden. Ihre E-Mail-Adresse wird nicht veröffentlicht.