Hannover. Acht Millionen Follower. Diese beachtliche Reich­weite hat sich der Webvideo­produzent und Influencer Julien Bam allein auf Youtube in den vergangenen Jahren aufgebaut – andere soziale Netz­werke noch nicht eingerechnet.

Drei Kanäle bespielt der 33-Jährige auf dem Video­netzwerk, das zu Google gehört – allein der Haupt­kanal mit 5,8 Millionen Fans macht Julien Bam zum größten deutsch­sprachigen männlichen Youtuber. Vor ihm in der Liste rangiert nur Influencerin Bianca Claßen (Bibis Beauty Palace) sowie einige englisch­sprachige Kanäle, Bands wie Rammstein oder Fernseh­shows.

In der Nacht zum Oster­montag allerdings ist es mit der große Karriere des 33-Jährigen vorerst vorbei: Alle drei Kanäle des Webvideo­produzenten auf der Plattform Youtube werden zunächst für dubiose Werbe­botschaften gekapert – und schließlich gelöscht. Der Grund: Ein Hacker­angriff. Für Influencerinnen und Influencer wie Julien Bam kann dieser Verlust der eigenen Plattformen das berufliche Ende bedeuten.

Mehr zum Thema

 

Youtuber Julien Bam ist nach angekündigtem Abschied „einfach traurig“

Julien Bam: Gehackt trotz gutem Schutz

Immerhin: Ganz so schlimm kommt es nicht. Einige Tage nach dem großen Angriff werden die Youtube-Kanäle, offenbar in komplizierter Klein­arbeit, wieder­hergestellt. In einem Video am Sonntag äußert sich Julien Bam nun selbst zum Fall und erklärt, wie es über­haupt dazu kommen konnte. Viele Fragen allerdings bleiben.

Was den Hacker­angriff so besonders macht: Er trifft offen­sichtlich keinen leicht­sinnigen Internet­nutzer, der Passwörter wie „123“ verwendet, sondern jemanden, der – glaubt man Julien Bam – sehr auf seine Daten­sicherheit bedacht war. Er sei schon viele Jahre dabei, habe diverse Sicherheits­vorkehrungen getroffen, so der Youtuber auf Instagram – darunter etwa auch die sogenannte Drei-Faktor-Authentifizierung, die derartige Attacken eigentlich verhindern sollte.

Wie konnte dieser Hack also geschehen? Und wie können sich Privat­nutzerinnen und ‑nutzer vor derartigen Angriffen schützen?

Mehr zum Thema

 

Youtuber Rezo hatte Panikattacken: Social-Media-Konsum auf eine Stunde am Tag reduziert

Krypto­betrugs­masche

Rekonstruktion: Der Hacker­angriff auf Julien Bam wird von Fans erstmals in der Nacht zum Oster­montag bemerkt. Da wird plötzlich auf sämtlichen Youtube-Kanälen, die der Video­macher besitzt, ein dubioses Werbe­video gestreamt. Es zeigt Multi­millionär und Tesla-Chef Elon Musk, der über Krypto­währungen spricht – drum herum werden dubiose Links platziert, um Interessierte über den Tisch zu ziehen. Zuschauerinnen und Zuschauer des Live­streams sollen einen Betrag einer Krypto­währung verschicken – diese werden dann angeblich verdoppelt. All das ist natürlich reinster Betrug. Auch der Twitter-Account des Video­machers ist zeitweise betroffen.

Dass es sich überhaupt um die Accounts von Julien Bam handelt, ist zu diesem Zeit­punkt kaum noch ersichtlich. Die Hacker­gruppe ändert nämlich auch die Namen der Kanäle. ARK Invest lautet jetzt der Name, auch alle Videos des Youtubers werden entfernt. Kurze Zeit später werden die dubiosen Live­streams abgeschaltet – jedoch nicht durch die Hacker, sondern offenbar durch Youtube. Die Video­plattform löscht die betroffenen Kanäle. Grund: Verstoß gegen die Community-Richtlinien.

Der Youtuber selbst erfährt von dem Angriff erst am Morgen. Er habe zahl­reiche Nachrichten von Freunden und Kolleginnen bekommen, alle hätten ihn darauf hingewiesen, dass seine Kanäle offenbar gehackt wurden, erklärt er in einem neuen Video. Er selbst habe all das zunächst für einen Scherz gehalten – bis er seine Profile überprüft habe.

Mehr zum Thema

 

Youtuber Julien Bam beendet seine Karriere – mit mehr als 5,7 Millionen Abonnenten

Mit Zwei-Faktor-Authentifizierung gut geschützt – eigentlich

Der Hack ist, zumindest laut Julien Bam, mehr als ungewöhnlich. „Yo @YTCreatorsDE @YouTube @YouTubeCreators alle meine Kanäle wurden trotz 3FA gehackt! Wie kann ich jemanden von euch erreichen? Trotz Oster­montag“, schreibt Julien Bam auf Twitter. Auf Instagram schiebt der Influencer eine Erklärung nach: „Weil so viele fragen: Ja, ich bin immer dreimal sicherer im Netz, hab ’ne digitale Pflege, ich mach den Scheiß immerhin seit acht Jahren jetzt.“

Die 3FA, von der Julien Bam spricht, steht für Drei-Faktor-Authentifizierung. Dabei handelt es sich, ähnlich wie bei der Zwei-Faktor-Authentifizierung, um eine Sicherheits­maßnahme, die neben einem Passwort noch zwei weitere Sicherheits­vorkehrungen voraussetzt, um sich überhaupt in einen Account einloggen zu können. Das kann etwa ein Code aufs Handy sein und zusätzlich beispiels­weise ein Finger­abdruck­scan oder eine Gesichts­erkennung.

Dass ein Account mit mehrfacherer Authentifizierung gehackt wird, gilt als äußerst unwahrscheinlich. Schon die für Privat­nutzerinnen und ‑nutzer übliche Zwei-Faktor-Authentifizierung gilt als ziemlich sicher: Alle großen Anbieter, etwa Google, Apple oder Microsoft bieten diese inzwischen standard­mäßig an. Bei Google etwa, zu dem auch Youtube gehört, wird beim Einloggen auf neuen Geräten ein Code an die Gmail-App auf dem Smartphone geschickt oder per SMS ans Handy.

Wie also lässt sich so ein Schutz umgehen? Darüber zerbrechen sich IT-Expertinnen und ‑Experten seit Beginn des Hacker­angriffs auf Julien Bam öffentlich im Netz die Köpfe.

Methode 1: Der Cookie-Diebstahl

Einer von ihnen ist der Informatiker Florian Dalwigk. Er zeigt bereits kurz nach dem Vorfall auf seinem Youtube-Kanal mögliche Szenarien, wie es zu dem Super-GAU um Julien Bam gekommen sein könnte. Eine dieser Möglichkeiten: Eine Hacking­methode namens Session-Hijacking, was sich auch frei mit „Cookie-Diebstahl“ übersetzen lässt.

Dabei gehen Kriminelle wie folgt vor: Das Opfer loggt sich regulär in einen Account ein, beispiels­weise bei Google oder Youtube, und der Hacker stiehlt den sogenannten Session-Cookie – eine Art Informationen, die Online­aktivitäten einer einzelnen Browser­sitzung zuordnen. Die Anmeldedaten oder Sicherheits­vorkehrungen der Zwei-Faktor-Authentifikation werden dann gar nicht mehr benötigt, um einen Account zu übernehmen. Der betroffene Internet­nutzer ist ja bereits eingeloggt – diese Sitzung wird dann einfach übernommen.

Doch wie funktioniert das? Voraussetzung für eine Attacke dieser Art ist laut Dalwigk, dass der Hacker Zugriff auf den Computer des Betroffenen hat. Dies kann beispiels­weise geschehen, indem eine Malware auf den PC des Opfers eingeschleust wird. Das könnte auch bei Julien Bam passiert sein.

Mehr zum Thema

 

„No brand needed“: Youtube-Star Julien Bam entwirft Streetwear-Kollektion für Aldi Süd

Methode 2: Der Browser­diebstahl

Eine weitere Möglichkeit ist laut dem Informatiker das sogenannte Browser­hijacking. Auch hier sorgt eine Malware für Ärger. Sie kapert die Einstellungen des Browsers und übernimmt dessen Kontrolle.

Die Malware wird bei dieser Attacke häufig mit scheinbar ungefährlicher Software wie Browser­symbol­leisten oder Add-ons unbeabsichtigt herunter­geladen. Ist sie einmal installiert, kann sie im Zweifel vertrauliche Daten ausspähen, also beispiels­weise auch Pass­wörter.

Das kann funktionieren, indem die infizierten Browser Benutzer auf Web­seiten umleiten, die wichtige Informationen über sie erfassen sollen. Dazu gehören beispielsweise Benutzer-IDs, Passwörter, Namen, Adressen und sogar Antworten auf Sicherheits­fragen.

Mehr zum Thema

 

Youtuber zensieren Videos: Wie LGBT-feindlich ist der Youtube-Algorithmus?

Methode 3: Diebstahl der Handy­nummer

Als dritte Möglichkeit bringt der Informatiker das sogenannte SIM-Swapping ins Spiel. Dabei kapert der Hacker die Mobilfunk­nummer des Betroffenen, die mitunter als Code­empfänger für die Zwei-Faktor-Authentifizierung dienen kann. Die Betrugs­masche ist perfide: Der Kriminelle setzt sich mit dem Mobilfunk­unternehmen des Betroffenen auseinander, beantragt in dessen Namen eine neue SIM-Karte. Die dafür notwendigen Daten, etwa Kunden­passwörter oder Geburts­daten erfährt er durch Phishing­angriffe oder direkt aus den sozialen Netzwerken.

Ist die neue SIM- oder E‑SIM-Karte erst einmal im Besitz des Betrügers, kann er auf alle möglichen Konten seines Opfers zugreifen. Besonders riskant ist dies, wenn der Hacker Zugriff auf das Bank­konto seines Opfers bekommt. Die meisten Banken haben die SMS-Tan daher inzwischen abgeschafft und setzen auf eine sicherere App-Variante.

Selten ist diese Betrugs­masche nicht: Prominente Opfer waren in den vergangenen Jahren unter anderem der damalige Twitter-Mitbegründer und ‑CEO Jack Dorsey und Schauspielerin Jessica Alba. Ihre Twitter-Accounts wurden via SIM-Swapping gehackt, um anstößige Posts auf der Plattform zu versenden.

Zu den drei genannten Methoden gibt es noch eine ganze Reihe weiterer, auf die auch fach­kundige Nutzerinnen und Nutzer in den sozialen Netz­werken hinweisen. Eine Möglichkeit wäre demnach auch, das Smartphone des betroffenen Nutzers zu infizieren und dort etwa Codes für die Zwei-Faktor-Authentifizierung abzufangen. Mit diesen könnten sich die Kriminellen dann problemlos in die Accounts ihrer Opfer einloggen.

Mehr zum Thema

 

„Sexistisch und gewaltverherrlichend“: Youtuber Rezo hat Ärger wegen eines Videos

Vermutlich war die Malware schuld

Doch was genau ist nun im Fall Julien Bam geschehen? Vieles spricht dafür, dass der Youtuber Opfer einer der ersten beiden Varianten geworden ist – vermutlich ausgelöst durch eine Malware­attacke. Julien Bam selbst erklärt in seinem Video, er sei am Oster­sonntag noch mal ins Büro gekommen, um ein paar Dinge abzuarbeiten. Plötzlich sei jedoch sein PC immer lauter und lauter geworden. „Ich dachte wirklich, da landet ein Hubschrauber neben mir, die Lüfter waren am Durch­drehen.“ Offenbar hatte bereits zu diesem Zeit­punkt im Hinter­grund ein schad­haftes Programm seine Arbeit verrichtet.

Am nächsten Tag hätten der Video­macher und sein Team dann bemerkt, dass diverse Accounts wohl über die eigenen PCs gesteuert und verunstaltet wurden. Kurze Zeit sei etwa auch der Instagram-Account des Youtubers betroffen gewesen. Es habe keine ungewöhnlichen Anmelde­versuche gegeben, erklärt Julien Bam – das deute darauf hin, dass sich die Hacker wohl mithilfe eines Programmes Zugang zu den PCs verschafft hatten.

Insgesamt 170 Trojaner habe die Antiviren­software daraufhin auf einem der PCs entdeckt, wie Julien Bam erklärt. Mithilfe dieser seien nicht nur die Youtube-Accounts des Video­machers geknackt worden – die Kriminellen hätten die Rechner auch dazu verwendet, Krypto­währungen zu „minen“ – ein Rechen­prozess, bei dem Krypto­überweisungen verbucht und verarbeitet werden.

Mehr zum Thema

 

Wegen großer Beliebtheit

Wie ukrainische YouTuber Japan über den Krieg informieren

Wie kamen die Trojaner auf den Rechner?

Wie genau die Malware auf die Rechner kam, kann sich der Youtuber nicht erklären. Er sei sicher im Netz unterwegs, klicke nicht auf dubiose Banner, sagt Julien Bam. „Wir spekulieren hier rum. (…) Wir wissen auch nicht, wann es passiert ist.“

Julien Bam vermutet, dass die Computer möglicher­weise schon vor einiger Zeit infiziert worden sind und dass die Hacker die Oster­feier­tage abgewartet haben, um möglichst viel Schaden anzurichten. An Feier­tagen ist die Kunden­betreuung, etwa von Youtube, für gewöhnlich nur spärlich besetzt.

Das Team des Youtubers habe nach Bekannt­werden des Hacks alle Rechner zurück­gesetzt. Dabei seien auch Dokumente, Bilder und Videos „für die Ewigkeit verloren“ gegangen, beklagt Julien Bam. Ob man auch darüber hinaus weitere Sicherheits­vorkehrungen umgesetzt habe, lässt der Youtuber offen. Auf eine Anfrage des Redaktions­Netzwerks Deutschland (RND) antwortet Julien Bam nicht.

Privat­nutzer haben das Nachsehen

Inzwischen sind alle Kanäle des Youtubers wieder­hergestellt. Ein kompliziertes Unterfangen, wie er im Video erklärt – mit vielen Einbußen: Mehrere zehntausend Abonnentinnen und Abonnenten habe der 33-Jährige durch die feindliche Übernahme seiner Kanäle verloren. Zudem wurden die Kanäle zeitweise für die Monetarisierung gesperrt, das heißt: schlimmstenfalls hätte der Youtuber mit seinen Inhalten kein Geld mehr verdienen können.

Völlig unklar ist bislang, ob der Angriff gezielt dem Youtuber galt, oder ob den Kriminellen nur rein zufällig ein besonders bekannter Fisch ins Netz gegangen ist. Dass der Fall schließlich aber vergleichs­weise glimpflich verlief, dürfte wohl mit dem Promi­status des Youtubers zu tun haben. Bekannte Stars haben persönliche Ansprech­partner auf der Plattform Youtube, am Ende habe sich sogar der Hauptsitz in den USA eingeschaltet und die betroffenen Kanäle und Videos wieder­hergestellt, erklärt Julien Bam.

Privat­nutzerinnen und ‑nutzer kommen eher nicht in diesen Genuss. Ihre Daten sind nach einem derartigen Angriff schlimmstenfalls für immer verloren. Wie kann man sich also schützen?

Mehr zum Thema

 

Nach Verurteilung in zweiter Instanz

Staatsanwaltschaft geht in Revision gegen Youtuber „Drachenlord“

Malware­attacken: Wie kann man sich schützen?

Malware­attacken, wie die im Falle von Julien Bam, treffen vor allem PCs, können in manchen Fällen aber auch auf Macs abzielen. Außer Computern können natürlich auch Smartphones von Viren betroffen sein. Google selbst empfiehlt, Geräte und ihre Software stets auf dem aktuellsten Stand zu halten und niemals auf unbekannte Links zu klicken. Letztere sind oft das Eingangstor für Malware.

Des Weiteren empfiehlt der Konzern, nicht unbedacht auf E‑Mail-Anhänge zu klicken. Selbst hinter unscheinbaren Bildern können sich im Zweifel Viren verbergen. Misstrauisch solle man auch sein bei Pop-up-Fenstern, die zur Installation von Programmen aufrufen. Um Schad­software frühzeitig zu erkennen, solle ein Antiviren­programm verwendet werden.

Um das Session-Hijacking für Kriminelle komplizierter zu machen, raten Expertinnen und Experten, sich nach jeder Sitzung bei einem Online­dienst auszuloggen. Das mag nervig sein, schützt aber im Zweifel vor Angreifern. Zudem sollten öffentliche WLAN-Netze und öffentliche Computer möglichst vermieden werden. In manchen Fällen kann auch eine VPN-Verbindung vor dem „Cookie-Diebstahl“ schützen. Zudem sollten keine Websites ohne SSL-Verschlüsselung besucht werden: Diese erkennt man am „http://“ vor der URL, bei sicheren Websites steht ein „https://“ vor der URL. Die meisten Browser markieren sichere Websites auch mit einem kleinen Schloss.