Facebook-Konto gehackt? Recovery-Anleitung Schritt für Schritt

Was tun, wenn das eigene Profil übernommen wurde, Pages verschwunden sind und der Werbeaccount fremde Kampagnen schaltet? Eine ehrliche Anleitung Schritt für Schritt – mit dem, was 2026 tatsächlich noch funktioniert.

Die unbequeme Vorabwahrheit: Facebook-Account-Recovery nach einer kompletten Übernahme ist 2026 schwieriger als noch vor wenigen Jahren. Mehr als die Hälfte aller Betroffenen gibt innerhalb von zwei Tagen auf. Aber mit dem richtigen Vorgehen – in der richtigen Reihenfolge – stehen die Chancen deutlich besser. Entscheidend ist, was du in den ersten Stunden tust und welche Schritte du auslässt.

Was eigentlich gestohlen wurde

Bevor wir zum Vorgehen kommen, eine Klarstellung, die viele Recovery-Versuche von Anfang an in die falsche Richtung schiebt: Bei den aktuellen Phishing-Maschen rund um „Verified Badge“ oder „Seitenlöschung“ wird nicht primär ein Passwort gestohlen, sondern die aktive Sitzung des persönlichen Profils. Das bedeutet zweierlei.

Erstens: Die Übernahme kann passiert sein, ohne dass du dein Passwort jemals eingegeben hast. Zweitens: Es geht nicht um deine Facebook-Seite, sondern um dein persönliches Konto – und damit potenziell um alles, was daran hängt. Pages, Business Manager, Werbekonten mit hinterlegten Zahlungsmitteln, das verbundene Instagram, der Messenger-Verlauf, deine Freundesliste.

Drei Szenarien – wie schlimm ist es wirklich?

Die Erfolgschance bei der Wiederbeschaffung hängt fast vollständig davon ab, wie weit die Angreifer schon waren, bevor du es bemerkt hast. Der Median zwischen erfolgreicher Übernahme und dem ersten Daten-Tausch durch die Täter liegt bei unter vier Minuten. Diese Geschwindigkeit erklärt, warum die ersten Stunden so entscheidend sind.

Szenario A – günstig

Login klappt nicht, aber Recovery-Mail und Telefonnummer im Konto sind noch die eigenen. Recovery oft in unter einer Stunde realistisch.

Szenario B – ernst

Recovery-Mail und Nummer wurden bereits getauscht. Mit Ausweis-Upload und Selfie-Verifikation in Tagen bis Wochen lösbar, Erfolgschance solide.

Szenario C – kritisch

Profil komplett überschrieben: Name, Profilbild, Freunde entfernt, neue 2FA-Geräte. Recovery dauert Wochen bis Monate, manche Profile sind verloren.

Offizielle Anlaufstellen auf einen Blick

Bevor wir in die Schritte gehen, hier die wichtigsten offiziellen Adressen von Meta und Facebook. Druck sie dir aus oder speicher sie auf einem zweiten Gerät – mitten in der Panik sind sie sonst nicht zur Hand. Alle weiteren Schritte verweisen auf diese Adressen.

Direkte Meta- und Facebook-Anlaufstellen

Nutze diese Adressen ausschließlich. Alle anderen „Recovery-Dienste“ im Netz sind nicht autorisiert.

Hinweis für Nutzer aus Österreich und Deutschland: Das österreichische Meta-Recovery-Portal ist die offiziell für den deutschsprachigen Raum vorgesehene Anlaufstelle. Wer in Deutschland sitzt, kann es trotzdem nutzen – der Pfad ist derselbe.

Schritt 1: Ruhe bewahren, anderes Gerät nehmen

Bevor du irgendetwas anklickst: Setz dich kurz hin. Panik führt fast immer zu vermeidbaren Fehlern – zu vielen parallelen Recovery-Versuchen, zu schneller Re-Eingabe von Passwörtern auf demselben Gerät, zu Klicks auf vermeintliche „Hilfe-Mails“, die selbst Folge-Phishing sind.

Nimm ein anderes Gerät als das, auf dem du die Phishing-Seite geöffnet hast. Idealerweise dein primäres Smartphone oder einen Computer, von dem aus du in der Vergangenheit oft bei Facebook eingeloggt warst. Facebook erkennt vertrauenswürdige Geräte und bietet auf diesen mehr Recovery-Optionen an als auf unbekannten.

Wichtig: Klicke keinen Link aus E-Mails an, die jetzt plötzlich von „Facebook Security“ oder „Meta Support“ eintrudeln und Hilfe anbieten – außer du hast den Absender klar als @facebookmail.com oder @meta.com verifiziert. In dieser Phase laufen oft Folge-Phishing-Wellen, die die Verunsicherung des Opfers ausnutzen.

Schritt 2: Den Email-Reversal-Link suchen

Das ist der wichtigste und meist übersehene Schritt. Wenn ein Angreifer die hinterlegte E-Mail-Adresse deines Facebook-Kontos ändert, schickt Facebook automatisch eine Benachrichtigung an die alte – also deine ursprüngliche – Mail-Adresse. Diese Mail enthält einen Button oder Link mit dem Text „Sicherheit wiederherstellen“ oder „Secure your account“.

Dieser Link ist deine schnellste und zuverlässigste Recovery-Option: Ein Klick darauf macht die Email-Änderung der Angreifer rückgängig und sperrt deren Zugriff. Aber: Der Link funktioniert nur innerhalb von rund 24 Stunden. Danach läuft das Fenster ab.

So findest du die Mail

Suche im Posteingang deiner ursprünglichen Facebook-Mail-Adresse nach Absender von der Domain facebookmail.com. Betreff oft: „Your email was changed“ oder auf Deutsch „Deine E-Mail-Adresse wurde geändert“. Prüfe auch den Spam-Ordner. Klicke auf den enthaltenen Sicherheits-Link.

Wenn du diese Mail findest und der Link noch aktiv ist: gut. Wenn nicht – oder wenn der Zeitraum abgelaufen ist –, geht es weiter mit Schritt 3.

Schritt 3: Den Hijacking-Recovery-Pfad starten

Facebook hat einen eigenen Flow speziell für übernommene Konten. Er ist anders aufgebaut als „Passwort vergessen“. Zwei zentrale Einstiegspunkte:

Auf der facebook.com/hacked-Seite wirst du gezielt durch die Hijacking-Szenarien geführt: „Jemand hat sich in mein Konto eingeloggt“, „Mein Konto wurde übernommen und die Mail wurde geändert“ und so weiter. Folge dem Pfad, der deiner Lage am nächsten kommt.

Bei der Konto-Suche unter facebook.com/login/identify/?ctx=recover kannst du dein Profil auch mit Daten finden, die die Angreifer nicht so leicht entfernen können: vollem Namen, alter Telefonnummer, alter Mail-Adresse oder über die URL deines Profils, falls du sie kennst.

Welche Fehlermeldung Facebook dir dabei zeigt, ist diagnostisch wertvoll:

„Falsches Passwort“ – das Konto existiert noch unter deiner Mail-Adresse, die Angreifer haben nur das Passwort geändert. Passwort-Reset funktioniert.
„Konto nicht gefunden“ – die Mail-Adresse wurde getauscht. Suche dein Konto über Name oder alte Telefonnummer.
„Konto deaktiviert / gesperrt“ – Facebook selbst hat eingegriffen, oft wegen verdächtiger Aktivitäten. Das kann eine gute Nachricht sein: Die Wiederherstellung läuft dann teils unkomplizierter.

Schritt 4: Identität nachweisen – ID-Upload und Selfie-Video

Wenn die automatischen Recovery-Pfade scheitern, bietet Facebook 2026 zwei manuelle Verifikationswege an. Beide brauchen Geduld, aber beide funktionieren auch, wenn die Angreifer Mail, Telefon und sogar deinen Profilnamen schon getauscht haben.

Variante A: Ausweis-Upload

Lade einen amtlichen Lichtbildausweis hoch – Personalausweis, Reisepass oder Führerschein. Anforderungen, die Facebooks KI-Prüfung 2026 verlangt: Alle vier Ecken sichtbar, kein Glanz, kein Schatten, der volle Name und das Geburtsdatum lesbar. Niedrige Bildqualität oder beschnittene Ausweise werden inzwischen automatisiert abgelehnt.

Wichtig: Der Name auf dem Ausweis muss zum Profilnamen passen. Wenn die Angreifer deinen Profilnamen bereits geändert haben, füge in derselben Anfrage Belege bei – Screenshots alter Profilbilder, alte Posts mit Datum, frühere Versionen deines Profils.

Variante B: Video-Selfie-Verifikation

Neuer Pfad, der seit 2026 standardmäßig angeboten wird, wenn dein Profil ausreichend Gesichts-Fotos enthält: Du nimmst ein kurzes Selfie-Video auf, das eine biometrische Prüfung mit den Fotos auf deinem Profil abgleicht. Die Verifizierung dauert in der Regel zwölf bis 48 Stunden.

Beide Methoden parallel zu starten ist ein häufiger Fehler. Facebook hat ein Anti-Missbrauchs-System mit Rate-Limits – mehrere gleichzeitige Anfragen können dazu führen, dass alle abgelehnt werden. Eine Methode wählen, abwarten, erst bei Misserfolg zur nächsten wechseln.

Schritt 5: Wenn eine Page oder ein Business Manager dranhängt

Hier liegt ein zweiter Recovery-Pfad, den viele übersehen. Wer eine Facebook-Page mit Reichweite betreibt oder einen Business Manager nutzt, hat Anspruch auf direkten Support über das Meta Business Help Center. Dieser Pfad ist deutlich zugänglicher als der normale Privatkunden-Support.

Business-Recovery-Pfad

Aufrufen unter business.facebook.com/business/help. Hier gibt es Live-Chat- und Mail-Support für Page-Admins und Werbekunden. Die Erfolgsquote ist messbar höher als beim Standard-Support, weil Meta Business-Konten als eigenständige, schützenswerte Assets behandelt.

Pragmatischer Hinweis: Die Begründung „Business-Account-Übernahme mit aktivem Werbeschaden“ wirkt in der Kommunikation mit Meta deutlich stärker als „mein privates Profil wurde gehackt“. Geld – auch das Risiko von Erstattungsforderungen – beschleunigt die Reaktion.

Schritt 6: Parallel laufende Sofortmaßnahmen

Während die Recovery-Anträge laufen, gibt es Dinge, die nicht warten können. Diese Schritte parallel und schnell:

Zahlungsmittel sperren. Bank anrufen, hinterlegte Kreditkarte sperren lassen. Wenn die Täter über dein Werbekonto Kampagnen schalten, kommen die Rechnungen sonst weiter. PayPal, Klarna, hinterlegte SEPA-Lastschriften ebenfalls prüfen und ggf. widerrufen.
Verknüpfte Konten sichern. Überall, wo du „Mit Facebook anmelden“ genutzt hast – Instagram, WhatsApp Business, Spotify, Airbnb, Pinterest, Tinder –, drohen Folgeübernahmen. Auf diesen Diensten Passwort ändern und die Facebook-Verknüpfung trennen.
Kontakte warnen. Über andere Kanäle – Mail, SMS, Signal, WhatsApp aus einem zweiten Account – die wichtigsten Kontakte informieren: „Mein Facebook ist gehackt. Falls euch eine Nachricht von mir erreicht, die um Geld bittet oder seltsam wirkt, ignoriert sie.“ Das stoppt die häufigste Folgemasche.
Anzeige erstatten. In Österreich bei der nächsten Polizeidienststelle oder online über die Meldestelle des Bundeskriminalamts. In Deutschland bei der örtlichen Polizei oder der Online-Wache. Eine Anzeige bringt dein Konto zwar nicht zurück, ist aber unverzichtbar für Bankrückbuchungen, Versicherungen und mögliche Folgeschäden. Aktenzeichen sichern.
Browser bereinigen. Auf dem Gerät, auf dem die Phishing-Seite geöffnet wurde: Cookies löschen, Browser-Verlauf prüfen, ggf. Browser-Erweiterungen kontrollieren. Falls die Phishing-Seite Schadcode geladen hat, ist eine Virenprüfung sinnvoll.

Wenn alles scheitert – Eskalationsstufen

Vier bis sechs Wochen ohne Erfolg auf den offiziellen Pfaden? Dann gibt es noch drei realistische Optionen.

Öffentlichen Druck aufbauen

Wer eine größere Page betreibt oder eine öffentlich bekannte Person ist, kann über X (Twitter), LinkedIn oder Threads mit Erwähnung von @Meta und @FacebookApp öffentliche Sichtbarkeit erzeugen. Klingt absurd, funktioniert aber regelmäßig. Meta reagiert auf öffentliche Sichtbarkeit deutlich schneller als auf Support-Tickets im stillen Kämmerlein.

DSGVO-Auskunft beantragen

Nach Artikel 15 DSGVO kannst du bei Meta als Datenverantwortlichem Auskunft über alle zu deinem Konto gespeicherten Daten verlangen. Das öffnet manchmal einen Kommunikationskanal, der nicht über den normalen Support läuft – und dokumentiert deinen Fall offiziell. Anlaufstelle: das Privacy Center von Meta.

Anwalt oder Datenschutzbehörde

Lohnt sich realistisch nur bei substanziellem wirtschaftlichem Schaden – etwa wenn Werbung im Namen deines Unternehmens geschaltet wurde, Kunden auf gefälschte Versionen deiner Page reagiert haben oder Verträge betroffen sind. In Österreich: Datenschutzbehörde DSB. In Deutschland: zuständige Landesdatenschutzbehörde.

Was du auf keinen Fall tun solltest

Keine „professionellen Account-Recovery-Dienste“ aus dem Internet beauftragen. 95 Prozent davon sind selbst Betrug – sie kassieren Vorkasse und liefern nichts, oder sie sind ihrerseits Hacker, die mit deinen Daten weitere Übernahmen starten. Meta arbeitet mit keinem dieser Dienste zusammen.
Nicht auf vermeintliche „Meta-Mitarbeiter“ in Direct Messages reagieren. Echte Meta-Mitarbeitende kontaktieren Privatnutzer nicht über Messenger, Instagram oder WhatsApp.
Keine Telefonnummer für Recovery anrufen, die nicht von Facebook selbst stammt. Facebook hat keine Recovery-Hotline für Privatnutzer. Wenn dir jemand eine Nummer nennt: es ist Folge-Phishing.
Nicht das Passwort des Mail-Accounts ändern, bevor du Schritt 2 abgeschlossen hast. Du brauchst eventuell den Reversal-Link aus der ursprünglichen Mail.
Keine mehrfachen parallelen Recovery-Anfragen stellen. Das Anti-Missbrauchs-System sperrt dann oft alle.

Prävention für das nächste Mal

Egal, ob du dein altes Konto zurückbekommst oder ein neues anlegen musst: Diese Maßnahmen halbieren das Risiko einer nächsten Übernahme deutlich.

2FA per Authenticator-App, nicht per SMS. SMS-Codes lassen sich über SIM-Swapping abfangen. Authenticator-Apps wie Aegis, Authy oder Google Authenticator sind sicherer. Hardware-Sicherheitsschlüssel (YubiKey) sind die stärkste Option, vor allem für Profile, die Pages verwalten.

Recovery-Codes der 2FA-App ausdrucken und an einem sicheren Ort verwahren – sie sind die einzige Rettung, wenn das Smartphone verloren geht.
Eine eigene, sonst nirgends verwendete Recovery-Mail-Adresse einrichten, idealerweise bei einem anderen Anbieter als deine Hauptmail.
Facebook Protect aktivieren – ein erweitertes Sicherheitsprogramm, das Meta für Page-Admins und öffentlich sichtbare Profile anbietet.
Im Business Manager bei jeder Page mindestens zwei Admin-Konten einrichten, am besten auf verschiedene Personen. So bleibt Zugriff erhalten, wenn ein Konto übernommen wird.
Aktive Sitzungen regelmäßig prüfen unter facebook.com/settings?tab=security – „Wo bist du angemeldet“. Unbekannte Geräte sofort abmelden.
Phishing-Mails niemals direkt aus dem Posteingang heraus anklicken. Im Zweifel die offizielle Facebook-URL manuell tippen.

Eine ehrliche Schlussbemerkung

Nicht jedes Konto kommt zurück. Wer realistisch akzeptiert, dass eine vollständige Übernahme manchmal nicht reversibel ist, kann früher mit dem Aufbau eines neuen, besser abgesicherten Profils beginnen. Pages lassen sich über den Meta-Support oft neu zuweisen, wenn das alte Profil noch existiert und du dich per Ausweis identifizieren kannst – auch das ist ein Weg, der Wochen dauert, aber funktioniert.

Das wichtigste an dieser Anleitung ist nicht der einzelne technische Schritt, sondern eine Haltung: Ruhig bleiben, eine Methode nach der anderen, keine Abkürzungen, niemandem trauen, der angeblich helfen will. Wer so vorgeht, hat 2026 die besten Karten – und schützt sich für die Zukunft.

Bahngastrechte: Besserer Schutz bei Zugreisen

Koalitionsausschuss: Wirksame Entlastung nur im Gesamtpaket

„Völlig inakzeptabel“: Tankrabatt kommt nicht an

Gebäudemodernisierungsgesetz: Prinzip Hoffnung statt Klarheit

Abschaltung des Gasanschlusses darf nicht zur Kostenfalle werden

FC Bayern macht’s offiziell: Rekordtorhüter Manuel Neuer hängt noch ein Jahr dran

Vermögen verdoppelt: Die Beckhams mausern sich zu Milliardären

Geldstrafe, Presse, Matthäus: Frankfurts Kamikaze-Trainer schlägt zum Abschied wild um sich

Xi warnt vor Konflikt mit USA: Trump zögert bei wichtiger Waffenlieferung an Taiwan

Nach „kurzer schwerer Krankheit“: Schauspieler Günther Maria Halmer gestorben