Die als sicher beworbene EU-App zur Altersverifikation weist gravierende technische M\u00e4ngel auf, die den Zugriff auf biometrische Daten und eine Umgehung der Kontrolle erm\u00f6glichen.<\/p>\n
Die neue Alterspr\u00fcfungs-App der EU-Kommission ist nach ihrer Vorstellung nur zwei Tage sp\u00e4ter als unsicher entlarvt worden. Unabh\u00e4ngige Sicherheitsforscher demonstrierten, dass sich die Kernfunktionen der als \u201eGoldstandard\u201c beworbenen Anwendung in weniger als zwei Minuten umgehen lassen. Die Enth\u00fcllungen treffen die EU in einer heiklen Phase, kurz vor der verpflichtenden Einf\u00fchrung des Digitalen Identit\u00e4tswallets.<\/p>\n
Die Europ\u00e4ische Kommission stellte die App am Mittwoch offiziell als Werkzeug vor, um Plattformen bei der Einhaltung des Digital Services Act (DSA) zu unterst\u00fctzen. Nutzer sollten damit beweisen k\u00f6nnen, \u00fcber 18 zu sein, ohne ihre volle Identit\u00e4t preiszugeben. Kommissionspr\u00e4sidentin Ursula von der Leyen betonte bei der Vorstellung, die Technologie erf\u00fclle h\u00f6chste globale Datenschutzstandards. Doch schon am Donnerstag meldeten Sicherheitsexperten gravierende technische Schwachstellen, die den Zugriff auf biometrische Daten und eine komplette Umgehung der Alterskontrolle erm\u00f6glichen.<\/p>\n
Anzeige<\/p>\n
Der aktuelle Fall zeigt erneut, wie verwundbar sensible Daten auf Mobilger\u00e4ten sein k\u00f6nnen, wenn Sicherheitsstandards nicht konsequent umgesetzt werden. Ein kostenloser PDF-Ratgeber bietet Ihnen jetzt 5 einfache Schritt-f\u00fcr-Schritt-Ma\u00dfnahmen, um Ihr eigenes Android-Smartphone effektiv vor Hackern und Datenmissbrauch zu sch\u00fctzen. 5 sofort umsetzbare Schutzma\u00dfnahmen entdecken<\/a><\/p>\n Fundamentale Architekturfehler kompromittieren Sicherheit<\/p>\n Sicherheitsforscher Paul Moore analysierte eine Reihe grundlegender Designfehler. Sein zentraler Befund: Die App speichert den zur Anmeldung ben\u00f6tigten PIN zwar verschl\u00fcsselt auf dem Ger\u00e4t, verkn\u00fcpft ihn aber nicht kryptografisch mit der eigentlichen Identit\u00e4tsdatenbank. Ein Angreifer mit physischem Zugriff kann daher die Konfiguration l\u00f6schen, einen neuen PIN setzen und erh\u00e4lt so Zugang zu den hinterlegten Identit\u00e4tsdaten des vorherigen Nutzers.<\/p>\n Doch das ist nicht das einzige Problem. Der Mechanismus, der Brute-Force-Angriffe verhindern soll, basiert auf einem simplen Z\u00e4hler in einer Konfigurationsdatei. Diesen kann ein Angreifer einfach auf Null zur\u00fccksetzen. Zudem l\u00e4sst sich die biometrische Authentifizierung komplett abschalten, indem ein Wert in derselben Datei von \u201etrue\u201c auf \u201efalse\u201c ge\u00e4ndert wird. Experten fragen sich, warum das Entwicklungsteam nicht auf die sichere Hardware-Umgebung moderner Smartphones zur\u00fcckgegriffen hat.<\/p>\n Die schwerwiegendste Datenschutz l\u00fccke betrifft biometrische Daten. Vorl\u00e4ufige Code-Analysen zeigen, dass die App Gesichtsbilder aus Ausweisdokumenten und Selfies zur Lebenderkennung unverschl\u00fcsselt auf dem lokalen Speicher ablegt \u2013 und das auch dann, wenn der Verifizierungsvorgang abbricht. Diese Praxis widerspricht dem Versprechen einer datensparsamen L\u00f6sung und schafft ein leichtes Ziel f\u00fcr Schadsoftware.<\/p>\n Eiliger Vorreiter f\u00fcr das digitale EU-Wallet<\/p>\n Die schnelle Ver\u00f6ffentlichung der App wird als Reaktion auf den Druck gewertet, die Jugendschutzregeln des DSA durchzusetzen. Bereits im M\u00e4rz stellte die Kommission bei mehreren gro\u00dfen Adult-Plattformen vorl\u00e4ufige Verst\u00f6\u00dfe fest, weil diese keine robuste Alterspr\u00fcfung einsetzten. Den Plattformen drohen nun Bu\u00dfgelder von bis zu sechs Prozent ihres globalen Jahresumsatzes.<\/p>\n Die aktuelle App dient als Vorl\u00e4ufer f\u00fcr den vollwertigen Europ\u00e4ischen Digitalen Identit\u00e4ts-Wallet (EUDI), den alle Mitgliedstaaten bis Ende 2026 bereitstellen m\u00fcssen. Die Kommission hatte Ende 2024 bereits eine Ausschreibung \u00fcber vier Millionen Euro f\u00fcr diese \u201eMini-Wallet\u201c-L\u00f6sung finanziert, um L\u00e4ndern wie Deutschland, Frankreich und D\u00e4nemark eine schnelle Option f\u00fcr nationale Pilotprojekte zu bieten.<\/p>\n Technisch nutzt die App die W3C Digital Credentials API und unterst\u00fctzt OID4VP. Die Integration von Zero-Knowledge Proofs (ZKPs) \u2013 einer kryptografischen Methode, die den Nachweis des Alters ohne Preisgabe des Geburtsdatums erlaubt \u2013 ist jedoch bisher nur in der Android-Version aktiv. F\u00fcr iOS-Ger\u00e4te wird derzeit noch ein System mit Einmal-Tokens verwendet.<\/p>\n Zivilgesellschaft warnt vor \u00dcberwachung und Ausschluss<\/p>\n Anzeige<\/p>\n