Es ist, als würden Diebe nicht nur ins Haus einbrechen, sondern gleich noch alle Türschlösser auswechseln. Wenn man dann nach Hause kommt, sind alle Türen verschlossen – und man kann nicht mal beweisen, dass einem das Haus gehört.

Genau das passierte Julia S. (Name der Redaktion bekannt) auf Instagram. Es begann mit der Nachricht einer Freundin, die ihr einen Link zu einem Kunstwettbewerb schickte. Mit wenigen Klicks könne Julia S. für das Kunstprojekt ihrer Freundin stimmen. Was Julia S. nicht wusste: Das Profil ihrer Freundin war zuvor gehackt Sicherheit im Internet Jeder Nutzer ist für Hacker interessant oder geklont worden. In solchen Fällen eröffnen Betrüger Instagram-Profile mit leicht verändertem Nutzernamen, klauen das Profilbild und kontaktieren dann alle Freunde. Für Julia S. klang alles gut, sie machte bei der Abstimmung mit.

Was dann passierte, kann sie nicht mehr genau sagen. Jedenfalls ging es ganz schnell. Innert weniger Minuten erhielt sie von Instagram eine E-Mail mit der Warnung, bei ihrem Profil sei die E-Mail-Adresse geändert worden. Sie ging auf ihr Profil und machte die Änderung rückgängig. Minuten später setzte der Betrüger nach: Er änderte die Mailadresse erneut und löschte ihre Handynummer. Gleichzeitig richtete er die Zwei-Faktor-Authentifizierung ein. «Damit hatte ich keinen Zugriff mehr auf mein Konto.»

Instagram, in der Schweiz mit fast vier Millionen Nutzerinnen und Nutzern eine der beliebtesten Plattformen, bietet immerhin einen Dienst an, der die Identität eines Nutzers überprüft. Dazu muss man sich selber von allen Seiten filmen und das Video dem Support einreichen. Dort wird die Aufnahme mit dem früheren Profilbild verglichen.

Diese Funktion nutzte auch Julia S. Tatsächlich erhielt sie wieder Zugang zu ihrem Konto – und löschte es augenblicklich. Was ihr nicht bewusst war: Gelöschte Konten bleiben noch einen Monat bestehen. Und prompt reaktivierte der Betrüger das Konto und hatte den Account wieder unter Kontrolle. Er wechselte das Profilbild und kontaktierte ihre Freunde. «Er schrieb ihnen, ich hätte auf einer Handelsplattform 13'000 Franken verdient und sie sollen ebenfalls in Bitcoin investieren.» Gleichzeitig eröffnete er einen weiteren Account – mit einem ihrer Bilder unter ganz ähnlichem Benutzernamen.

Mit solchen Aktionen bereiten Online-Betrüger den nächsten Betrug vor. Sie werben mit realen Personen etwa für betrügerische Bitcoin-Handelsplattformen Die Bitcoin-Falle Die neue Masche der Online-Betrüger . Denn sie wissen: Personalisierte Werbung wirkt besser. 

Julia S. liess sich das nicht gefallen. Sie schrieb über Facebook ihre Freundinnen und Freunde an und bat sie, ihr gekapertes Instagram-Profil als betrügerisch zu melden. Mehrere Bekannte reagierten offenbar, und Instagram löschte das Konto. Doch die geklonte Version schwirrte noch tagelang durchs Netz. Der Verdacht: Vermutlich hat der Betrüger damit andere Instagram-Nutzerinnen und -Nutzer dazu gebracht, Phishing-Links anzuklicken. 

Immerhin: Einen finanziellen Schaden erlitt Julia S. nicht. Aber in Fällen wie diesem sind Instagram-User am kürzeren Hebel. «Das Problem ist, dass Nutzerinnen und Nutzer mit Instagram eine Vereinbarung haben und sich der Gerichtsstand grundsätzlich danach richtet», sagt der Basler Anwalt Jascha Schneider. Da der europäische Sitz des Instagram-Mutterkonzerns in Irland liegt, müssen Klagen nach irischem Recht erfolgen. Dazu kommt: «Gegen den Hacker kann man nicht klagen, weil dieser nicht bekannt ist.» Wer sich einem Tech-Giganten ausliefert, macht sich von ihm abhängig.