Die Europäische Kommission hat gegen die Social-Media-Plattform X (ehemals Twitter) eine Geldbuße von 120 Millionen Euro verhängt. Hintergrund sind mutmaßliche Verstöße gegen den Digital Services Act (DSA): eine aus Sicht der Aufsicht irreführende Account-Verifizierung, mangelnde Werbetransparenz und künstliche Hürden für den Zugang von Forschenden zu öffentlichen Plattformdaten. Der Fall markiert einen zentralen Praxistest dafür, wie ernst die EU ihre neuen Plattformregeln nimmt – und wie eng Cybersicherheit, Desinformation und Plattformdesign heute miteinander verknüpft sind.
Digital Services Act: Regulatorischer Rahmen für Plattform- und Informationssicherheit
Der Digital Services Act gilt seit 2022 als Kerninstrument der EU, um sehr große Online-Plattformen zu regulieren. Er verpflichtet sogenannte „Very Large Online Platforms“ unter anderem zu einem systematischen Risikomanagement rund um illegale Inhalte, Desinformation, Betrug und Manipulation öffentlicher Debatten.
Zentrales Element des DSA ist die Transparenz: Nutzerinnen und Nutzer sollen nachvollziehen können, wie Empfehlungsalgorithmen funktionieren, wer hinter Werbung steht und welchen Status Accounts tatsächlich haben. Besonders bei verifizierten Profilen erwartet der Gesetzgeber, dass Signale wie Häkchen oder Labels nicht fälschlich den Eindruck amtlicher oder geprüfter Identität erwecken.
Verifizierte Accounts als Sicherheitsfaktor: Die Rolle der „blauen Häkchen“
Irreführende Verifizierung als DSA-Verstoß
Die Kommission sieht im Verifizierungsmodell von X ein zentrales Problem. Das bekannte blaue Häkchen wird von vielen Nutzenden intuitiv als Bestätigung der Echtheit einer Person oder Organisation verstanden. Tatsächlich ist das Kennzeichen auf X jedoch vor allem an eine kostenpflichtige Mitgliedschaft gekoppelt und nicht zwingend an eine strenge Identitätsprüfung.
Der DSA verpflichtet Plattformen nicht dazu, eine Personalausweis- oder Identprüfung durchzuführen. Er untersagt jedoch ausdrücklich, falsche oder irreführende Aussagen über eine angebliche Verifizierung zu treffen. Nach Auffassung der EU entsteht bei X durch die Optik des blauen Häkchens ein Eindruck offizieller Bestätigung, der mit der tatsächlichen Prüftiefe nicht übereinstimmt. Dies erschwert es Nutzenden, zwischen authentischen und gefälschten Profilen zu unterscheiden.
Phishing, Impersonation und Social Engineering durch „Premium-Status“
Aus Sicht der Cybersicherheit verstärkt ein solches Modell die Risiken von Phishing und Impersonation. Menschen vertrauen bekannten Symbolen und Statusanzeigen häufig mehr als Absenderadressen oder technische Details – ein bekannter psychologischer Effekt, den Angreifer gezielt ausnutzen.
Erhalten Kriminelle ein bezahltes Häkchen, können sie deutlich glaubwürdiger als vermeintliche Behörden, Medienmarken, Politiker oder Unternehmen auftreten. In der Praxis erhöht dies die Erfolgswahrscheinlichkeit von Kampagnen, bei denen Zugangsdaten abgegriffen, Schadlinks verteilt oder vertrauliche Informationen erschlichen werden. Branchenberichte wie der Verizon „Data Breach Investigations Report“ zeigen seit Jahren, dass ein großer Anteil erfolgreicher Angriffe auf Social Engineering und Phishing zurückgeht – jedes zusätzliche Vertrauenssignal für Angreifer senkt hier die Hemmschwelle der Opfer.
Die EU-Kommission argumentiert daher, dass das Verifizierungsdesign von X die Einschätzung der Account-Glaubwürdigkeit verzerrt und damit Manipulationen erleichtert, die weit über Einzelfälle hinaus Wirkung entfalten können, etwa im Kontext von Wahlen oder Krisenkommunikation.
Werbetransparenz unter dem DSA: Intransparente Ad-Bibliothek als Risiko
Ein zweiter Schwerpunkt der Vorwürfe betrifft die Werbebibliothek von X. Nach DSA müssen große Plattformen ein öffentlich zugängliches Ad-Repository anbieten, in dem klar ersichtlich ist, wer eine Kampagne finanziert, welche Zielgruppen angesprochen und welche Botschaften ausgespielt werden.
Nach Einschätzung der EU erfüllt X diese Anforderungen derzeit nicht. Daten seien schwer auffindbar, schlecht durchsuchbar und nur mit hohem Aufwand auswertbar. Dies erschwert die Arbeit von Aufsichtsbehörden, Sicherheitsforschenden und Faktencheck-Organisationen, die gezielt nach betrügerischer Werbung, Desinformationskampagnen oder koordinierten Einflussoperationen suchen müssen.
Für die Cybersicherheit bedeutet fehlende Werbetransparenz, dass Scam-Kampagnen, gefälschte Gewinnspiele, Krypto-Betrug oder gezielte Desinformation schwerer erkennbar und nachweisbar sind. Gerade politisch motivierte Einflussnahmen lassen sich ohne strukturierte Werbedaten nur begrenzt analysieren und belegen.
Datenzugang für Forschende: Frühwarnsysteme gegen Desinformation im Fokus
Als drittes rügt die Kommission, dass X den Zugang zu öffentlichen Plattformdaten für unabhängige Forschende erschwert habe. Der DSA sieht ausdrücklich vor, dass Plattformen geprüften Forschungseinrichtungen einen angemessenen Zugriff auf öffentliche Daten gewähren müssen, wenn diese zur Analyse systemischer Risiken erforderlich sind.
Solche Daten werden genutzt, um Bot-Netzwerke, koordinierte Desinformationskampagnen, Hasswellen oder gezielte Angriffe auf bestimmte Personengruppen zu erkennen. Werden zugrunde liegende Datenquellen eingeschränkt oder kostenintensiv, verlieren Forschung und Zivilgesellschaft ein wichtiges Frühwarninstrument gegen groß angelegte Manipulations- und Cyberangriffe.
Fristen, mögliche Zusatzsanktionen und Signalwirkung für andere Plattformen
Die EU-Kommission hat X 60 Arbeitstage eingeräumt, um die Verifizierungspraxis an die DSA-Vorgaben anzupassen. Für die Probleme bei Werbetransparenz und Forschungszugang bleiben weitere 90 Tage, um entsprechende Maßnahmen und Pläne vorzulegen.
Kommt X diesen Auflagen nicht nach, kann die Kommission zusätzliche periodische Strafzahlungen verhängen. Neben wachsenden finanziellen Belastungen steht langfristig auch die Frage im Raum, unter welchen Bedingungen X den europäischen Markt weiter bedienen darf. Der Fall ist damit ein deutliches Signal an alle großen Plattformen, dass Verstöße gegen den DSA nicht nur juristische, sondern auch strategische Konsequenzen für ihre Produkte, Geschäftsmodelle und Sicherheitsarchitektur haben.
Für Nutzerinnen und Nutzer wie auch für Organisationen zeigt dieser Fall, dass Cybersicherheit weit über Firewalls und Passwörter hinausgeht. Verifizierungsmodelle, Werbe-Ökosysteme und Datenzugänge formen unmittelbar das Risiko für Betrug, Phishing und Desinformation. Es empfiehlt sich, „Vertrauenssymbole“ wie Häkchen in sozialen Netzwerken kritisch zu betrachten, Absender immer über unabhängige Kanäle zu prüfen und Mitarbeitende regelmäßig zu Social-Engineering- und Phishing-Gefahren zu schulen. Unternehmen sollten zudem systematisches Brand Monitoring auf Plattformen etablieren, klare Meldeprozesse für Fake-Profile definieren und Sicherheitsrichtlinien regelmäßig an neue regulatorische Vorgaben wie den DSA anpassen.
