Die Europäische Union arbeitet an einer neuen Altersprüfungs-App, die den Zugang zu Online-Inhalten für Minderjährige besser kontrollieren soll – ohne dabei die Privatsphäre der Nutzer zu gefährden.
Doch nur wenige Stunden nach der öffentlichen Vorstellung durch EU-Kommissionspräsidentin Ursula von der Leyen wurde das System bereits massiv kritisiert. Sicherheitsforscher demonstrierten, dass sich die Anwendung innerhalb von Minuten kompromittieren lässt.
Der bekannte Security-Experte Paul Moore zeigte öffentlich, wie die App in weniger als zwei Minuten ausgenutzt werden kann.
Damit steht ein zentrales EU-Projekt unter Druck:
Ist die EU-Altersprüfungs-App wirklich sicher oder ein gefährliches Privacy-Risiko?
Was ist die EU-Altersprüfungs-App?
Die App soll eine zentrale Funktion im digitalen EU-Ökosystem übernehmen: die Verifikation des Alters ohne vollständige Preisgabe persönlicher Daten.
Ziel der Anwendung:
- Altersverifikation für Online-Dienste
- Schutz von Minderjährigen in sozialen Netzwerken
- Datenschutzfreundliche Identitätsprüfung
- Integration in zukünftige EU-Digitalidentität (EUDI)
Die Idee basiert auf dem Prinzip:
„Nachweis ohne Preisgabe von Identität“
Wie die EU-Altersprüfungs-App funktioniert (Theorie)
Die Architektur basiert auf mehreren Sicherheits- und Authentifizierungsmechanismen.
1. Lokale Datenspeicherung
- PIN-Codes werden auf dem Gerät gespeichert
- Sensible Daten verbleiben lokal
Problem: unzureichende Verschlüsselung
2. Biometrische Authentifizierung
- Face ID oder Touch ID zur Verifikation
- Aktivierung optional
Problem: leicht deaktivierbar
3. Rate-Limiting & Zugriffsschutz
- Begrenzung von Login-Versuchen
- Schutz vor Brute-Force-Angriffen
Problem: Umgehung durch Konfigurations-Reset möglich
4. Open-Source-Ansatz
- Quellcode öffentlich einsehbar
- Ziel: Transparenz und Sicherheit durch Community-Review
Problem: noch keine ausgereiften Sicherheitsstandards
Sicherheitsforscher schlagen Alarm: App in Minuten gehackt
Der Sicherheitsforscher Paul Moore demonstrierte, dass sich zentrale Schutzmechanismen der App extrem schnell umgehen lassen.
Kritische Schwachstellen:
- PIN-Schutz leicht aushebbar
- Biometrie mit einem Klick deaktivierbar
- Rate-Limits durch Reset umgehbar
- Zugriff auf gespeicherte Daten ohne Schutz möglich
Seine Einschätzung ist deutlich:
„Dieses System könnte zu einem massiven Datenabfluss führen.“
Bestätigung durch weitere Experten
Der französische Sicherheitsforscher Baptiste Robert bestätigte die Ergebnisse.
Auch Kryptographie-Experte Olivier Blazy warnt vor einem grundlegenden Designproblem:
Beispiel-Szenario:
- Ein Nutzer weist sich als volljährig aus
- Eine andere Person nutzt anschließend das gleiche Gerät
- Die Altersverifikation bleibt weiterhin gültig
Problem: keine starke Bindung zwischen Identität und Nutzer
Datenschutzproblem: Ist die EU-Anonymität wirklich gegeben?
Ein zentrales Versprechen der EU ist Privatsphäre durch Pseudonymisierung.
Doch Experten widersprechen:
Kritikpunkte:
- Nutzeraktivitäten könnten langfristig verknüpft werden
- Pseudonyme sind potenziell rückverfolgbar
- Tracking über Plattformen bleibt möglich
Aussage von Forschern:
Echte Privatsphäre erfordert Unverknüpfbarkeit der Daten – genau diese sei nicht gewährleistet.
Open Source: Vorteil oder Sicherheitsrisiko?
Die App ist Open Source – ein Ansatz, der eigentlich als Sicherheitsvorteil gilt.
Vorteile:
- Transparente Codeprüfung
- Schnellere Fehlererkennung
- Community-Review möglich
Nachteile im aktuellen Fall:
- Code erfüllt noch keine hohen Sicherheitsstandards
- Fehlende Reife in der Implementierung
- Gefahr voreiliger politischer Einführung
Kritik an der EU-Strategie
Viele Experten stellen die Grundsatzfrage:
Warum entwickelt die EU eine neue App statt bestehender Systeme wie EUDI zu nutzen?
Kritikpunkte:
- Doppelstrukturen in der digitalen Identität
- Abweichung von etablierten Sicherheitsstandards
- Unklare langfristige Architekturstrategie
Umgehung der Altersprüfung: einfacher als gedacht
Forscher zeigen mehrere Wege, die Altersverifikation zu umgehen:
- Nutzung von VPN-Diensten zur Standortverschleierung
- Zugriff aus Nicht-EU-Ländern ohne Kontrolle
- Manipulation lokaler App-Daten
Fazit der Experten:
Die Altersprüfung ist „trivial zu umgehen“
Risiken für die EU-Digitalstrategie (EUDI)
Die Altersprüfungs-App ist eng verbunden mit der geplanten European Digital Identity (EUDI).
Mögliche Auswirkungen:
- Vertrauensverlust in EU-Digitalprojekte
- Verzögerungen bei EUDI-Einführung
- Kritische öffentliche Wahrnehmung von Privacy-Standards
Wichtige Sicherheitsprobleme im Überblick
| Bereich | Problem |
|---|---|
| Authentifizierung | Biometrie leicht deaktivierbar |
| Datenverarbeitung | Lokale Speicherung ungeschützt |
| Zugriffsschutz | Rate-Limits umgehbar |
| Architektur | Fehlende Identitätsbindung |
| Design | Unklare Privacy-Garantien |
Best Practices, die fehlen
Experten sehen mehrere fehlende Sicherheitsprinzipien:
- Zero Trust Architektur
- Starke Gerätebindung
- Kryptografisch gesicherte Identitätsprüfung
- Robustes Session-Management
- Privacy-by-Design konsequent umgesetzt
Fazit: Ein ambitioniertes Projekt mit erheblichen Sicherheitslücken
Die EU-Altersprüfungs-App zeigt deutlich, wie schwierig die Balance zwischen Jugendschutz, Benutzerfreundlichkeit und Datenschutz ist.
Trotz guter Intentionen ist das aktuelle Sicherheitsniveau nach Einschätzung von Experten nicht ausreichend.
Die wichtigsten Erkenntnisse:
- Sicherheitslücken wurden sehr früh gefunden
- Biometrie und PIN-Schutz sind unzureichend implementiert
- Datenschutzversprechen sind technisch fraglich
- Architektur muss grundlegend überarbeitet werden
Die EU hält zwar am Zeitplan fest, doch klar ist:
Der Weg zu einer sicheren digitalen Identitätslösung ist noch weit.