Report: YouTube-Kanal gehackt – was passiert und was man tun kann

21. Mai, 2026, 11:00 | Joachim Sauer

Angriffe auf YouTube-Kanäle, respektive die dahinter liegenden Google-Konten werden, wie alle Cyberattacken insgesamt, immer mehr. Hier ein Ablauf des Angriffs auf VIDEOAKTIV und ein Report über das, was man tun kann, um die Hoheit über den Google-Account und YouTube-Kanal zurückzubekommen.

 

 

Jetzt ist es auch uns passiert: Der YouTube-Kanal von VIDEOAKTIV war gut eine Woche nicht erreichbar. Und um es hier gleich vorab zu sagen: Es war eine Phishing-Mail auf die ich reingefallen bin – gut getarnt als Anfrage von einer PR-Agentur, die angeblich im Namen eines großen Mikrofonherstellers agiert. Es war eine durchaus übliche Anfrage, die so fast wöchentlich reinkommt, gut formuliert in englischer Sprache. Wir haben darauf mit einer ähnlich standardisierten Akquise-Mail geantwortet. Soweit so normal, dass auch die dann deutlich weniger standardisierte Antwort der angeblichen PR-Agentur auch nicht aufviel. Was sie wollten: Weiter Daten zum YouTube-Kanal und die Option via einem Analyse-Tool auf den Kanal zu schauen. Zugegeben: Jetzt hätte der Alarm angehen müssen – keine Ahnung, warum ich nicht aufmerksam war – fakt ist: ich bin auf die Mail reingefallen und bin dem Link gefolgt: Angeblich zu Viral Nation, einer Agentur, die tatsächlich existiert und in diesem Geschäftsfeld tätig ist. Doch wie auch immer: Wir schildern hier nicht nur den Ablauf, sondern wollen hilfreiche Tipps liefern, die man heute befolgen kann, damit sich der Schaden in Grenzen hält und man im Krisenfall handlungsfähig bleibt. Wer über unsere Tipps hinaus schon schlauer ist, darf dies uns gerne mitteilen – wir schauen, dass wir dieses Wissen dann hier einarbeiten.

Joachim Sauer hat eine Woche lang gekämpft, um die Hoheit über Kanal von VIDEOAKTIV zurück zu bekommen. Da man im Nachhinein immer schlauer ist, hat er bereits während der gesamten Zeit das erlernte festgehalten und gibt im Video und im Artikel die wichtigsten Tipps weiter.

Hätte ich doch vorher besser recherchiert und hingeschaut, wäre klar gewesen: Der Link heißt zwar ähnlich wie die Agentur, führt aber zu einer „.digital“-Domain. Gerade wie ich die letzte Registrierung eingebe, fallen mir im Header des Fensters kyrillische Schriftzeichen auf. Doch da ist es schon zu spät – die ersten Mails von Google trudeln im Postfach ein: Alle Sicherheitsvorkehrungen werden deaktiviert, eine neue G-Mail-Adresse hinterlegt, meine Mobilfunknummer durch eine Nummer aus Griechenland ersetzt und das Passwort geändert. Innerhalb von neun Minuten haben die Hacker alle Einstellungen so gemacht, dass ich nicht mehr agieren kann. Die Google-Warnmails zeigen zwar den Weg der Hacker – geholfen hätten sie aber nur, wenn ich noch eine Chance gehabt hätte ins Konto zu kommen und das Konto zu deaktivieren. Obwohl ich bei der ersten Warn-E-Mail von Google bereits reagiert habe, geht also nichts mehr – denn als ersten Schritt haben die Hacker alle aktiven User aus dem Account geschmissen und das Passwort geändert. Ohne die Option auf den Account zuzugreifen, muss ich zuschauen, wie die Hacker als nächstes den YouTube-Kanal übernehmen.

Im Sekundentakt kommen Warnmeldungen von Google – doch letztlich kommen sie zu spät, denn zu diesem Zeitpunkt haben die Hacker schon längst alle unsere Sicherheitsmaßnahmen deaktiviert und eigene Sicherheitsmaßnahmen hinterlegt.

Tipp

Hätte ich eine Chance gehabt, dagegen zu halten? Google hat einen Notfallplan, zu dem die Sicherheitsmaßnahmen wie Zwei-Faktor-Auhentifizierung, hinterlegte Telefonnummer und Passkey gehören. Doch alle Sicherheitsmaßnahmen waren vorhanden – und genauso schnell vom Hacker beseitigt. Insofern kann man sagen: Ja, bitte alle Sicherheitsmaßnahmen machen – und beim YouTube-Account auch einen weiteren Administrator hinterlegen. Aber im Ernstfall hilft das ganz offensichtlich nur wenig. Deshalb: Einfach weiterlesen…

Die Auswirkungen des Hackerangriffs waren auch auf VIDEOAKTIV sichtbar. Weil der YouTube-Kanal gelöscht wurde, waren für circa drei Tage keine Videos sichtbar. Weder auf der Startseite noch in unseren Artikeln. Bei knapp 900 Videos, die wir seit 2010 produziert haben, schmerzt das gewaltig.

GOOGLES SUPPORT

Ich taumle in einer gewissen Ohnmacht – denn tatsächlich finde ich trotz stundenlanger Suche im Netz keinen hilfreichen Hinweis, wie ich wieder an das Google-Konto komme. Klar gibt es die Kontowiederherstellung – doch alle Sicherheitsmechanismen sind deaktiviert, neue Backup-Codes angelegt, die ich zwangsläufig nicht habe. Einziger Trost: Meine Mail-Adresse (kein Gmail) bleibt beim Konto hinterlegt und ist nun fest mit der kryptischen Mailadresse im Stil von Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. verbunden. Das Ziel der Hacker: Videos posten, die nicht den YouTube-Richtlinien entsprechen und damit eine gewisse Reichweite erzielen. Genau das passiert dann auch in der Nacht, so dass am nächsten Morgen die YouTube-Algorithmen zuschlagen und den gesamten Kanal entfernen. Auf der Suche nach Hilfe stößt man auf einen X-Account (https://x.com/TeamYouTube), über den man mit dem Hashtag #TeamYouTube sein Anliegen posten soll. Tatsächlich kommt auch eine Rückmeldung, dass man eine Mail an meinen Account mit einer Anleitung geschickt hätte. Klasse, jetzt wissen die Hacker Bescheid – aber auf meine Rückmeldung, dass diese Hilfe keine wäre, kommt nie eine Antwort.

Das Protokoll zeigt, welchen Ablauf die Hacker gewählt haben um uns auszusperren – genau den gleichen Weg gehen wir entsprechend, nachdem wir wieder Zugriff auf den Account haben.

GOOGLE-ACCOUNT GESPERRT

Aber immerhin ist der entsprechende Google-Account nun gesperrt – jetzt funktioniert immerhin die Konto-Wiederherstellung auf der ursprünglich mit dem Kanal verbundenen Mail-Adresse wieder – doch da ich keine Sicherheitsmerkmale mehr habe schickt Google einen in die Warteschlange. Der Account wird wohl manuell überprüft. Deshalb heißt es nun abwarten – bis zu zwei Tage kann es dauern, bis man die entsprechende Mail bekommt, mit der es weitergeht. 

Tipp

Was ich verpasst habe: Ein sofortiger alternativer Login – auf dem entsprechenden Rechner ging das nicht mehr, aber den Versuch mit dem Smartphone habe ich nicht gemacht. Erster Schritt heißt also: Hauptsache reinkommen! Deshalb: Wenn nichts mehr geht am besten in die Kontowiederherstellung gehen https://accounts.google.com/v3/signin/recoveryidentifier?sjid=18207496800220030546-EU&flowName=GlifWebSignIn&dsh=S-752605656%3A1779100903733699 das geht dann auch mit der gekoppelten Telefonnummer (zumindest, solange diese nicht aus dem Account gelöscht ist.) Diese Routine mit Link ist deshalb nun in unserem eigenen Notfallplan vermerkt.

GEDULD OHNE ERFOLG

Zwei Tage passiert nichts – dabei hätte inzwischen eine Mail bekommen sollen, die mir die Option gibt wieder auf das Google-Konto zuzugreifen. Die Nervosität steigt, weshalb ich nochmals meine Ansprechpartnerin aus dem YouTube aus dem Creator Community Programms kontaktiere – wohl wissend, dass diese keinen Support leisten kann. Was sie aber macht: Sie leitet meinen Fall intern weiter, was dazu führt, dass ich bereits kurz darauf die ersehnte Mail bekomme und den Google-Account zurücksetzen kann. Was ich nun mache: Ich folge dem Weg der Hacker: Erstmal schauen ob es aktive Nutzer gibt – die werden entfernt, Backupcodes erzeugt und gespeichert. Zudem lege ich eine alternative E-Mail fest, und aktiviere die zwei-Faktor-Authentifizierung. Ich schaue in das Gmail-Postfach und schaue, ob hier eine Mailweiterleitung aktiv ist. Ich finde keine – dennoch muss ich später lernen: Offensichtlich gab es doch eine… Was ich außerdem checke: Gibt es installierte Drittanbieter-Apps und welche Daten sind im Wallet hinterlegt. Aber hier kann ich keine verdächtigen Einstellungen finden. Zur Sicherheit logge ich mich mit dem Smartphone und Tablett noch ein, erstelle hier Passkeys.

Neben der eigenen Mail-Adresse ist es sinnvoll eine weitere zu Hinterlegen. Doch der Hacker hat beide schnell lahmgelegt und eine Gmail-Adresse hinterlegt.

Tipp

Unser Google-Account war mit einer externen Mailadresse (nicht Gmail) verbunden, was den Vorteil hat, dass man auf diese Mails noch Zugriff hat. Unserer Meinung nach ist das sogar ganz sinnvoll, wobei es einen Einwand gibt: Wer einen kostenpflichtigen Google-Account hat, bekommt immerhin bei Google Support. Eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. wäre in jedem Fall sofort sinnvoll zudem könnt ihr den Google-Support kontaktieren über 08007235105 – wobei hier ein Sprachcomputer Euch „versucht“ an die richtige Abteilung zu leiten.

YOUTUBE-KANAL KOMPLETT ENTFERNT

Nachdem das Google-Konto wieder aktiv ist, komme ich auch wieder auf den YouTube-Kanal, wobei mir hier natürlich aufgezeigt wird, dass dieser entfernt wurde. Ich kann die Überprüfung beantragen, wobei ich hier reinschreibe, dass der Kanal gehackt wurde. Das nützt allerdings gar nichts, denn offensichtlich wird diese Überprüfung durch ein Algorithmus bearbeitet, der mir bereits kurze Zeit später mitteilt, dass er nichts für mich machen kann und einen Link zu einem Antrag auf Überprüfung zuschickt. Um es kurz zu machen: Ich glaube, wenn ich diesen Link (siehe Tipp) gleich auf in der Google Hilfe gefunden hätte, wäre die Freischaltung vielleicht etwas früher erfolgt. Doch man kann eines Zusammenfassen: Die Anleitungen der Google Hilfe sind so hilfreich wie die Warn-Meldungen, die zumindest im ersten Fall schlicht zu spät kommen, weil man beim Eintreffen der Mails kaum noch handlungsfähig ist. Auch die Hilfe geht immer davon aus, dass man noch irgendwie auf den Account kommt und irgendwas überprüfen kann. Ich muss davon ausgehen, dass der Hacker entweder extrem viel Übung hat und schnell agiert, wahrscheinlich aber einen Bott laufen hat, der ihm diese Arbeit abnimmt. Dagegen hat man manuell kaum eine Chance.

Eine der Gefahren ist es, dass die Hacker sich im verbundenen AdSense Konto als Zahlungsempfänger eintragen und über das Google Ads-Konto auf die Kosten des Geschädigten Anzeigen schalten. Die Empfehlung lautet deshalb diese Konten getrennt vom YouTube-Inhaberkonto zu halten.

Tipp

Um das Google-Formular für die Wiederherstellung des YouTube-Kanals (https://support.google.com/youtube/contact/report_youtube_hijacking) vollständig ausfüllen zu können ist es wichtig, einige Daten parat zu haben, an die man im Schadenfall kaum rankommt. Ohne diese Daten lässt sich das Formular nicht abschicken. Legt Euch also im Vorfeld eine Datei mit folgenden Daten an:

• Kanal-ID nach dem Muster youtube.com/channel/UCUZHFZ9jIKrLroW8LcyJEQQ

• Kanal-Name wie @VIDEOAKTIV_tv

• Welche Recovery-E-Mail ist hinterlegt

• Wenn man Teil des YouTube-Partnership-Programms ist: die AdSense pup ID

Unsere Empfehlung: Am besten gleich dieses Formular ausfüllen – im Idealfall erwischt man so den Support bevor die Hacker versuchen, Murks über den Kanal zu schicken.

NOCHMAL GEHACKT

Auch jetzt heißt es wieder warten – und wieder passiert erst etwas, nachdem meine YouTube Ansprechpartnerin aktiv wird. Leider geht diese Mail an die neue kryptische Mail-Adresse, auf die ich eigentlich eine Weiterleitung eingerichtet habe. Doch auf meinem normalen Mailkonto kommt diese Mail nicht an. Doch ich wähne mich in Sicherheit und denke, dass ich nur warten muss. Allerdings habe ich eine kleine Neurose entwickelt und checke meine Mail in kurzen Abständen. Als ich am Donnerstag, also rund drei Tage nach dem Angriff um 20:45 Uhr meine Mails checke sehe ich eine Google-Warnmeldung von 20:15 Uhr: Jemand hat die Zwei-Faktor-Authentifizierung via App gelöscht. Doch dieses Mal hat Google direkt reagiert und das Konto deaktiviert, bevor weiterer Schaden entstehen konnte.

Kaum haben wir den Google-Account übernommen und eigentlich alle Sicherheitsempfehlungen ausgeführt, versucht der Hacker diese wieder zu deaktivieren.

Tipp

Als sehr gut hat sich herausgestellt, dass wir Google Chrome ausschließlich für die Google Dienste nutzen und keinerlei Passwörter dort speichern. Tatsächlich könnte hätte der Hacker ansonsten die Passwörter abgreifen können, die tatsächlich im Profil gespeichert werden.

Das Versprechen, dass man nur selbst die Passwörter sehen kann, stimmt nur, solange der Google Account nicht gehackt ist. Wer Zugriff auf den Account hat, kann auch alle anderen Passwörter auslesen.

ÄNDERUNGEN NACH DEM HACK

Letztlich kann ich den Kanal wiederherstellen und bekomme von YouTube den passenden Hinweis. Offensichtlich hatten die Hacker noch Zugriff auf die Mails – wie das bei einem geänderten Passwort funktionieren kann, ist mir zwar unklar, da das Passwort geändert und somit eigentlich auch Gmail nicht mehr funktionieren sollte. Aber offensichtlich haben es die Hacker dennoch geschafft auf die Mails zuzugreifen. Deshalb empfiehlt der YouTube-Support dringend, das von den Hackern neu hinterlegte Gmail-Konto aus dem Google Account zu entfernen und somit dieses Gmail-Postfach zu löschen. Zudem ordnet YouTube von sich aus den YouTube-Kanal einem anderen Google-Account von mir zu, so dass die Hacker nun sicher keinen Zugriff auf den YouTube-Kanal mehr hat. Damit ist der Kanal nun wieder in unserer Kontrolle. Beim ersten Login kommt man automatisch in eine Überprüfung, die anzeigt, welche Änderungen YouTube den Hackern zuordnet. Deckt sich dies mit den eigenen Erkenntnissen ist man mit einer Bestätigung schon durch und kann den Kanal wieder normal betreiben. Dennoch: Auch YouTube empfiehlt nochmal alle Inhalte zu checken, die Zahlwege und die Nutzer mit Zugangsrechten zu überprüfen.

Tipp

Hat der Hacker ein Gmail-Konto hinterlegt muss dieses dringend gelöscht werden. Intuitiv ist der Weg zum Löschen des Gmail-Postfachs kaum zu finden, doch wir haben vom YouTube-Support einen Link mit einer Anleitung bekommen – mit dieser klappt es dann eigentlich ganz einfach.

Der Link zur Anleitung von dem, was manuell überprüft werden sollte, findet man hier.