Titanic-Redakteur Moritz Hürtgen heißt auf Twitter @hrtgn, hat sich als “hr Tagesgeschehen”¹ verkleidet und die Meldung getwittert, dass Horst Seehofer das Unionsbündnis aufgekündigt habe. Reuters ist drauf reingefallen, zahlreiche Medien haben die Meldung übernommen.

Auch ich war eine Zeit lang verwirrt, allerdings hauptsächlich wegen eines Details: Der Fake-hr-Account hatte einen Haken. Einen blauen von-Twitter-verifiziert-Haken. Der gehörte aber ursprünglich Moritz Hürtgen.

Gestern noch beim “hr Tagesgeschehen”, gehört der blaue Haken heute wieder zu Moritz Hürtgen.

Die falsche Schlussfolgerung: Da das “hr Tagesgeschehen” ein blaues Häkchen hatte, musste es wohl auch von Twitter als “hr Tagesgeschehen” verifiziert worden sein. Spontan einen Fake-Account zu erstellen ist einfach. Einen von Twitter verifizierten Fake-Account zu erstellen stelle ich mir dann aber doch schwieriger vor. Auf die Idee, dass ein verifizierter Account einfach seinen Namen geändert haben könnte, kam ich gar nicht.

Ursprünglich war ich davon ausgegangen, dass es Voraussetzung für die Vergabe des blauen Häkchens ist, dass der Name des Accounts in welcher Form auch immer dem offiziellen Namen entspricht. Ich meine, so etwas auch mal gelesen zu haben. Daher ging ich wohl auch implizit davon aus, dass es nicht möglich sei, den Anzeigenamen zu ändern bzw. den blauen Haken dann zu behalten. Ein Trugschluss, wie sich herausstellte.

Der blaue Twitter-Haken hilft also lediglich, den “echten” Account aus einer Auswahl von Accounts mit ähnlichem Erscheinungsbild herauszufiltern. Er besagt allerdings lediglich, dass Twitter die Person/Institution hinter dem Account identifizieren kann. Dass irgend eine der gerade angezeigten Informationen zum Account korrekt ist oder überprüft wurde, kann hingegen nicht abgeleitet werden. Während das Häkchen also in gewisser Weise bekannte Accounts vor Fakes schützt, schützt es nicht vor Fakes durch bekannte Accounts. Wieder was gelernt.

Das Häkchen erinnert ein bisschen an die Probleme mit TLS-Zertifikaten, insbesondere das, was mit einem Extended-Validation-Zertifikat für Stripe Inc. (nicht den Zahlungsdienstleister) demonstriert wurde. Auch hier verstärkt ein grundsätzlich legitimer Sicherheitsindikator im richtigen Kontext einen falschen Eindruck. Mehr zu dem konkreten Fall gibt es hier von Ian Carroll zu lesen – doch obacht, der hat auf Twitter gar kein blaues Häkchen.