EU-Altersprüfungs-App: Goldstandard mit schweren Sicherheitslücken

Die neue Altersprüfungs-App der EU-Kommission ist nach ihrer Vorstellung nur zwei Tage später als unsicher entlarvt worden. Unabhängige Sicherheitsforscher demonstrierten, dass sich die Kernfunktionen der als „Goldstandard“ beworbenen Anwendung in weniger als zwei Minuten umgehen lassen. Die Enthüllungen treffen die EU in einer heiklen Phase, kurz vor der verpflichtenden Einführung des Digitalen Identitätswallets.

Die Europäische Kommission stellte die App am Mittwoch offiziell als Werkzeug vor, um Plattformen bei der Einhaltung des Digital Services Act (DSA) zu unterstützen. Nutzer sollten damit beweisen können, über 18 zu sein, ohne ihre volle Identität preiszugeben. Kommissionspräsidentin Ursula von der Leyen betonte bei der Vorstellung, die Technologie erfülle höchste globale Datenschutzstandards. Doch schon am Donnerstag meldeten Sicherheitsexperten gravierende technische Schwachstellen, die den Zugriff auf biometrische Daten und eine komplette Umgehung der Alterskontrolle ermöglichen.

Der aktuelle Fall zeigt erneut, wie verwundbar sensible Daten auf Mobilgeräten sein können, wenn Sicherheitsstandards nicht konsequent umgesetzt werden. Ein kostenloser PDF-Ratgeber bietet Ihnen jetzt 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr eigenes Android-Smartphone effektiv vor Hackern und Datenmissbrauch zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Fundamentale Architekturfehler kompromittieren Sicherheit

Sicherheitsforscher Paul Moore analysierte eine Reihe grundlegender Designfehler. Sein zentraler Befund: Die App speichert den zur Anmeldung benötigten PIN zwar verschlüsselt auf dem Gerät, verknüpft ihn aber nicht kryptografisch mit der eigentlichen Identitätsdatenbank. Ein Angreifer mit physischem Zugriff kann daher die Konfiguration löschen, einen neuen PIN setzen und erhält so Zugang zu den hinterlegten Identitätsdaten des vorherigen Nutzers.

Doch das ist nicht das einzige Problem. Der Mechanismus, der Brute-Force-Angriffe verhindern soll, basiert auf einem simplen Zähler in einer Konfigurationsdatei. Diesen kann ein Angreifer einfach auf Null zurücksetzen. Zudem lässt sich die biometrische Authentifizierung komplett abschalten, indem ein Wert in derselben Datei von „true“ auf „false“ geändert wird. Experten fragen sich, warum das Entwicklungsteam nicht auf die sichere Hardware-Umgebung moderner Smartphones zurückgegriffen hat.

Die schwerwiegendste Datenschutz lücke betrifft biometrische Daten. Vorläufige Code-Analysen zeigen, dass die App Gesichtsbilder aus Ausweisdokumenten und Selfies zur Lebenderkennung unverschlüsselt auf dem lokalen Speicher ablegt – und das auch dann, wenn der Verifizierungsvorgang abbricht. Diese Praxis widerspricht dem Versprechen einer datensparsamen Lösung und schafft ein leichtes Ziel für Schadsoftware.

Eiliger Vorreiter für das digitale EU-Wallet

Die schnelle Veröffentlichung der App wird als Reaktion auf den Druck gewertet, die Jugendschutzregeln des DSA durchzusetzen. Bereits im März stellte die Kommission bei mehreren großen Adult-Plattformen vorläufige Verstöße fest, weil diese keine robuste Altersprüfung einsetzten. Den Plattformen drohen nun Bußgelder von bis zu sechs Prozent ihres globalen Jahresumsatzes.

Die aktuelle App dient als Vorläufer für den vollwertigen Europäischen Digitalen Identitäts-Wallet (EUDI), den alle Mitgliedstaaten bis Ende 2026 bereitstellen müssen. Die Kommission hatte Ende 2024 bereits eine Ausschreibung über vier Millionen Euro für diese „Mini-Wallet“-Lösung finanziert, um Ländern wie Deutschland, Frankreich und Dänemark eine schnelle Option für nationale Pilotprojekte zu bieten.

Technisch nutzt die App die W3C Digital Credentials API und unterstützt OID4VP. Die Integration von Zero-Knowledge Proofs (ZKPs) – einer kryptografischen Methode, die den Nachweis des Alters ohne Preisgabe des Geburtsdatums erlaubt – ist jedoch bisher nur in der Android-Version aktiv. Für iOS-Geräte wird derzeit noch ein System mit Einmal-Tokens verwendet.

Zivilgesellschaft warnt vor Überwachung und Ausschluss

Während staatliche Apps mit Sicherheitslücken kämpfen, können Nutzer selbst aktiv werden, um ihre digitale Identität durch moderne Technologien wie Passkeys abzusichern. Erfahren Sie in diesem kostenlosen Report, wie Sie die passwortlose Anmeldung bei Diensten wie Amazon oder WhatsApp einrichten und so das Risiko von gehackten Konten massiv senken. Kostenlosen Passkey-Ratgeber herunterladen

Während die Kommission die App als Werkzeug für mehr Sicherheit darstellt, äußern Bürgerrechtsorganisationen grundsätzliche Bedenken. Das Center for Democracy and Technology (CDT) kritisiert, dass die technische Fertigstellung vor einer umfassenden, unabhängigen Sicherheitsprüfung verkündet wurde. Es bleibe unklar, ob die grundlegenden Fragen zu Privatsphäre und Meinungsfreiheit bei massenhafter Altersprüfung gelöst seien.

Die Electronic Frontier Foundation (EFF) warnt seit Monaten vor „Mission Creep“: Sobald die Infrastruktur zur Altersverifikation in Betriebssystemen verankert ist, könnte sie leicht ausgeweitet werden, um Nutzerverhalten über verschiedene Dienste hinweg zu tracken. Zudem könnte die Abhängigkeit von offiziellen App-Stores und Googles „Play Integrity“-Checks Nutzer ausschließen, die datenschutzorientierte Betriebssysteme verwenden.

Auch datenschutzrechtliche Konflikte zeichnen sich ab. Der Europäische Datenschutzausschuss (EDPB) hatte bereits 2025 klargestellt, dass Altersprüfverfahren verhältnismäßig sein und keine unnötige Profilbildung ermöglichen dürfen. Die Speicherung unverschlüsselter biometrischer Dateien könnte die hohen Hürden einer Datenschutz-Folgenabschätzung für risikobehaftete Verarbeitungen verfehlen.

Vertrauensverlust bedroht gesamte EU-Identitätsstrategie

Die EU-Kommission hat auf die konkreten Sicherheitsvorwürfe bisher nicht offiziell reagiert. Sie verwies lediglich darauf, dass der Open-Source-Ansatz des Projekts community-getriebene Verbesserungen ermöglichen solle. Auf dem Global Age Assurance Standards Summit in Manchester dürfte die Sicherheit des EU-Prototyps diese Woche ein zentrales Thema sein.

Für Online-Plattformen bedeutet der Sicherheitsskandal zusätzliche Komplexität. Der DSA verlangt zwar „angemessene Maßnahmen“ zum Schutz Minderjähriger, doch der Einsatz eines fehlerhaften offiziellen Tools könnte sie sekundären Risiken wie Datenlecks aussetzen. Branchenbeobachter erwarten nun eine Reihe dringender Patches, bevor die App später dieses Jahr in das größere EUDI-Wallet-Ökosystem integriert wird.

Langfristig hängt der Erfolg der gesamten EU-Digitalidentitätsstrategie vom öffentlichen Vertrauen ab. Die Enthüllung, dass ein Flaggschiff-Projekt für Privatsphäre kurz nach dem Start so leicht zu umgehen ist, stärkt die Kritiker. Sie argumentieren, dass Jugendschutzziele auf Kosten einer robusten Cybersicherheitsarchitektur verfolgt werden. Der Druck, von „ersten Entwicklungsversionen“ zu unternehmensreifer Sicherheit überzugehen, war für die Mitgliedstaaten auf dem Weg zur Wallet-Pflicht Ende 2026 wohl nie größer.

de | boerse | 69175928 |