Museen sind Orte der Bilder und der Kommunikation - und so ist es kaum verwunderlich, dass inzwischen die meisten Kunstinstitutionen auf der Foto-Plattform Instagram unterwegs sind und dort auch ein Publikum erreichen, das nicht unbedingt zu den klassischen Museumsgängern gehört. Dass diese Online-Präsenz auch die Gefahren von Cyber-Angriffen birgt, müssen gerade mehrere Museen erfahren, deren Instagram-Konten gehackt wurden. In der vergangenen Woche wurde bekannt, dass das Kunstmuseum Stuttgart betroffen ist. Auf seiner Website warnte die Institution ihr Publikum davor, auf einen "Link in Bio" auf ihrem Profil zu klicken, der dort von den Angreifern eingestellt wurde. Zwischenzeitlich stand dort auch die Aufforderung, eine Nummer per WhatsApp zu kontaktieren, nach Angaben des Museums hat das Team dies aber nicht getan, sodass derzeit unklar ist, ob es eine Art "Lösegeldforderung" für den Account gab. Vor einigen Tagen ist das Profil des Kunstmuseums Stuttgart ganz verschwunden.
Offenbar ist dies kein Einzelfall, denn auch dem Kunstmuseum Ulm und dem Schauwerk Sindelfingen ist Ähnliches passiert. Beide Konten sind in der App nicht mehr auffindbar. Nach Auskunft einer Sprecherin war es dem Schauwerk Sindelfingen zwischenzeitlich gelungen, wieder Zugang zu seinem Account zu bekommen, danach verschwand dieser jedoch ganz. Die betroffenen Museen hatten Followerzahlen im vierstelligen Bereich, was nach Influencer-Standards recht bescheiden ist. Trotzdem gehen einem Kunsthaus wichtige Kommunikationskanäle und die Arbeit von Jahren verloren, wenn ein Account nicht wieder hergestellt werden kann.
Die Übernahme der Konten steht offenbar in Zusammenhang mit einer privaten Nachricht, die angeblich von Instagram kommt und die Verifizierung des Accounts bestätigen soll. Wie bei Facebook und Twitter kann man auf der Plattform als öffentliche Person oder Institution durch ein blaues Häkchen die Echtheit eines Profils "beweisen". Nach Angaben des Kunstmuseums Stuttgart und des Schauwerks Sindelfingen hatten die Museen tatsächlich vorher einen solchen Haken beantragt. Der in der Nachricht angegebene Link war jedoch offenbar ein sogenannter Phishing Link, durch dessen Anklicken den Hackern Zugriff auf das Profil gewährt wurde.
Kontakt mit den Unternehmen oft frustrierend
Von den Accounts der betroffenen Institutionen wurden außerdem Nachrichten mit verdächtigen Links an Follower verschickt. Die Häuser warnen davor, diese Nachrichten zu öffnen. Auf seiner Website, ruft das Kunstmuseum Ulm außerdem dazu auf, jegliche Nachrichten unter diesem Namen an Instagram als verdächtig oder schädlich zu melden.
Den Kontakt zu gleich 20.000 Followern hat seit dem 7. Februar der Hamburger Kunstverein verloren, dessen Profil ebenfalls gehackt wurde. Auch dort steht statt dem Link in Bio die Aufforderung, eine WhatsApp-Nummer zu kontaktieren. "Für uns ist dieser Zustand eine Katastrophe", schreibt Pressesprecherin Dilara Aniteye auf Anfrage. "Das ist unsere Informationsplattform Nummer eins." Man tue alles, um das Konto zurück zu bekommen, heißt es aus Hamburg. Die Kontaktaufnahme zum Instagram-Mutterkonzern Meta gestaltet sich nach Angaben aller betroffenen Institutionen jedoch schwierig bis frustrierend. Zwar gibt es verschiedene Formulare, mit denen man solche Identitätsdiebstähle melden kann, auf eine Antwort wartet man aber oft vergebens.
Das Landeskriminalamt Baden-Württemberg, das in die Fälle im Südwesten eingeschaltet ist, teilt auf Anfrage mit, keine Details zu laufenden Ermittlungen bekanntgeben zu können. Allerdings passten die Profildiebstähle in bekannte Phishing-Muster, die im Kontext der Cyberkriminalität weit verbreitet seien. "Die Täterinnen und Täter verwenden zum Versand der Phishing-Nachrichten verschiedene Kommunikationskanäle", erklärt ein LKA-Sprecher. "Bevorzugt erfolgt dies derzeit über die in den jeweiligen Apps/Anwendungen integrierte Chat-Funktion. Beispielsweise bei Instagram 'Private Message' oder bei Facebook der 'Facebook-Messenger'. Aber auch per E-Mail oder über andere Messengerdienste wie Whatsapp werden die Phishing-Nachrichten verschickt."
Sicherheits-Schwachstelle auch bei öffentlichen Häusern
Oft würden Authentifizierungsaufforderungen der Plattformbetreiber imitiert, um die Betroffenen zum "Verifizieren" ihrer Daten aufzufordern und damit auf Phishing-Seiten weiterzuleiten. Dort würden alle Daten der Nutzer erbeutet und die schädlichen Links durch die gehackten Accounts auch an deren Follower verbreitet. "Um sich vor Phishing zu schützen, wird dringend empfohlen nicht auf Links in Nachrichten zu klicken oder auf sich dann öffnenden Webseiten Passworte eintragen", teilt die Polizei mit. Auch gelte die Aktivierung der sogenannten Zwei-Faktor-Authentifizierung als effektiver Phishing-Schutz.(Informationen dazu gibt es hier). Ist der Zugriff auf das eigene Profil bereits verloren, empfiehlt auch das LKA die möglichst rasche Kontaktaufnahme mit den Unternehmen, die erfahrungsgemäß jedoch oft erfolglos bleibt.
Auch das Instagram Profil des Berliner Fotozentrums C/O (rund 94.000 Follower) wurde Anfang des Jahres gehackt und lag rund eine Woche lang außerhalb des Zugriffs der Verantwortlichen. "Eine unangenehme Situation, weil man nicht weiß, ob nicht Inhalte durch den Account verbreitet werden, mit denen wir nichts zu tun haben", sagt Magnus Pölcher, Leiter der Kommunikationsabteilung des C/O Berlin. "Das kann sehr rufschädigend für eine Institution sein." Für das Ausstellungshaus ist die Geschichte jedoch glimpflich ausgegangen. Das Team schaltete einen Medienanwalt ein und bemühte sich hartnäckig um Kontakt zu Instagram beziehungsweise Meta. Schließlich waren die Anfragen erfolgreich, und der Konzern stellte den Account inklusive aller Follower wieder her.
Seit der Corona-Lockdowns und der zunehmenden Verlagerung von Museumsinhalten ins Internet wird verstärkt das Problem diskutiert, dass sich auch öffentliche Institutionen durch ihre digitalen Aktivitäten von privaten Unternehmen wie Youtube, Meta oder TikTok abhängig machen, die im Schadensfall schlecht erreichbar sind. Doch Anregungen zu besser geschützten Museumsplattformen in Eigenregie sind bisher nicht im großen Stil umgesetzt worden. Außerdem würde der Verzicht auf Instagram und Co vielen Akteuren wohl schwer fallen. Denn Museen wollen zunehmend dorthin, wo ihr Publikum ist. Und das ist eben zum großen Teil auf Instagram.