EU-Altersnachweis-App: Sicherheitsprobleme nach nur wenigen Minuten

14
News Jacqueline Brosch Als bevorzugte Quelle auf Google hinzufügen
EU-Altersnachweis-App: Sicherheitsprobleme nach nur wenigen Minuten
Quelle: PC Games

Eine neue EU-App zur Altersverifizierung steht kurz nach ihrer Vorstellung in der Kritik. Sicherheitsforscher berichten von Schwachstellen, die grundlegende Schutzmechanismen betreffen könnten.

Die Europäische Union hat eine App zur digitalen Altersverifikation vorgestellt, die künftig den Zugang zu Online-Diensten regulieren soll. Kurz nach der Veröffentlichung des Quellcodes berichten Sicherheitsexperten jedoch von möglichen Schwachstellen.

Die Anwendung wurde von der EU-Kommission als technisch einsatzbereit präsentiert und soll perspektivisch in mehreren Mitgliedsstaaten genutzt werden. Ziel ist es, Altersnachweise online zu ermöglichen, ohne umfassende personenbezogene Daten an Plattformbetreiber weiterzugeben. Grundlage ist ein sogenannter Zero-Knowledge-Ansatz, bei dem lediglich bestätigt wird, ob ein Nutzer eine Altersgrenze überschreitet.

Empfohlener redaktioneller Inhalt [EMBED_URL] An dieser Stelle finden Sie externe Inhalte von [PLATTFORM]. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Mehr dazu in unserer Datenschutzerklärung.
Externe Inhalte Mehr dazu in unserer Datenschutzerklärung.

Nach Veröffentlichung des Open-Source-Codes haben Sicherheitsforscher umgehend mit der Analyse begonnen. Der Sicherheitsberater Paul Moore erklärt auf der Plattform X, er habe die App innerhalb weniger Minuten manipulieren können. Nach seiner Darstellung würden PIN-Daten lokal gespeichert und könnten durch Eingriffe in Konfigurationsdateien zurückgesetzt werden. Dadurch lasse sich der Zugriff auf die Anwendung neu initialisieren, ohne die ursprüngliche Identitätsprüfung erneut durchlaufen zu müssen.

Ähnliche Einschätzungen äußert auch der französische IT-Sicherheitsforscher Baptiste Robert. Gegenüber Politico soll er bestätigt haben, dass sich bestimmte Schutzmechanismen umgehen lassen könnten. Demnach sei es möglich, Authentifizierungsprozesse zu umgehen, sodass weder PIN noch biometrische Verfahren zwingend erforderlich seien.

Auch Olivier Blazy, Kryptografie-Forscher und Mitglied einer französischen Arbeitsgruppe zu digitaler Identität, soll gegenüber Politico auf konzeptionelle Schwächen verwiesen haben. Seinen Angaben zufolge sei die Verknüpfung zwischen Gerät, Nutzer und verifizierter Identität nicht ausreichend abgesichert. So soll es möglich sein, dass eine einmal bestätigte Altersfreigabe auch von anderen Personen auf demselben Gerät genutzt werden könnte.

Ein weiterer Kritikpunkt ist offenbar die Begrenzung von Fehlversuchen, die als einfacher Zähler in einer Konfigurationsdatei gespeichert sein soll und damit zurückgesetzt werden kann. Zudem lasse sich eine Einstellung zur biometrischen Authentifizierung offenbar manuell deaktivieren.

Die EU-Kommission soll darauf verwiesen haben, dass es sich bei der analysierten Version um eine Entwicklungs- und Testfassung handle. Nach Angaben von Sprechern sind bekannte Schwachstellen bereits adressiert worden und würden derzeit überarbeitet. Gleichzeitig wird betont, dass die Anwendung fortlaufend weiterentwickelt werde und noch nicht als final veröffentlicht gelte.

Was halten Sie von dem aktuellen Stand der EU-Alters-App? Sinnvoll oder Spielerei? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Beachten Sie beim Kommentieren aber bitte die Forenregeln. Folgen Sie uns außerdem für Neuigkeiten in der Hardware-Welt oder unsere exklusiven Inhalte gern auf Whatsapp und X. Unsere Video-Inhalte finden Sie bei Youtube, Instagram und Tiktok .

Quelle: Politico, Paul Moore auf X

14
    • Kommentare (14)

      Zur Diskussion im Forum
      • Von LastManStanding Volt-Modder(in)
        Zitat von XT1024
        Was, digitalisierung bei Online-Diensten?

        Von einem Online-Dienst einen Brief zugeschickt zu bekommen um das per Postident mit dem ganzen Zusatzaufwand durchzudühren ist inhaltlich bestimmt etwas ganz anderes.

        Und ich dachte es geht um

        So kann man sich irren.

        Muss jeder selbst wissen ob man nicht eher versucht generell seine Leben und seine privaten Daten aus der Öffentlichkeit und dem offenen Zugang "Online/Server" im Internet, fern zu halten.

        Fakt ist alles was Digital bereit gestellt wird, ist zwangsläufig der unbestreitbar großen Gefahr des Datenmissbrauchs preisgegeben. Schlimmer noch; "Zu glauben es gäbe Digitale-Daten die sicher vor unberechtigtem Zugang sind!
        "Online" ist mit uneinholbar großem Abstand der Unsicherste Ort für...so ziemlich Alles!

        Schon allein zu verifizieren wie Alt man ist kann schlicht keine Anonymität beinhalten. Zuvor muss schon irgendjemand es irgendwo festgestellt und festgehalten haben, um diesen Nachweis als Nachweis zu rechtfertigen!
        Es ist vermessen von Betreibern jeglicher Software nahe 100% Sicherheit zu Fordern. Weil sie einfach nicht existiert!
        Nur man selbst kann durch -Nicht nutzen- und keiner Weitergabe obgleich welcher Folgen seine Sicherheit wenigstens "nahe" dieser Grenze bringen!

        Bedeutet nichts anderes als das man einfach mal verzichtet etwas zu tun wenn noch mehr Daten als ohnehin bei Internet Nutzung angegeben werden müssen.
        Wer das Internet und die Digitalisierung nutzt für sein Wirtschaftliches leben, und dann wegen Datenmissbrauch jammert, ist nicht nur Naiv sondern vermeintlich Realitätsfern! Denn es ist eine unausweichlich Logische Folge!
      • Von LastManStanding Volt-Modder(in)
        Zitat von XT1024
        Was, digitalisierung bei Online-Diensten?

        Von einem Online-Dienst einen Brief zugeschickt zu bekommen um das per Postident mit dem ganzen Zusatzaufwand durchzudühren ist inhaltlich bestimmt etwas ganz anderes.

        Und ich dachte es geht um

        So kann man sich irren.

        Muss jeder selbst wissen ob man nicht eher versucht generell seine Leben und seine privaten Daten aus der Öffentlichkeit und dem offenen Zugang "Online/Server" im Internet, fern zu halten.

        Fakt ist alles was Digital bereit gestellt wird, ist zwangsläufig der unbestreitbar großen Gefahr des Datenmissbrauchs preisgegeben. Schlimmer noch; "Zu glauben es gäbe Digitale-Daten die sicher vor unberechtigtem Zugang sind!
        "Online" ist mit uneinholbar großem Abstand der Unsicherste Ort für...so ziemlich Alles!

        Schon allein zu verifizieren wie Alt man ist kann schlicht keine Anonymität beinhalten. Zuvor muss schon irgendjemand es irgendwo festgestellt und festgehalten haben, um diesen Nachweis als Nachweis zu rechtfertigen!
        Es ist vermessen von Betreibern jeglicher Software nahe 100% Sicherheit zu Fordern. Weil sie einfach nicht existiert!
        Nur man selbst kann durch -Nicht nutzen- und keiner Weitergabe obgleich welcher Folgen seine Sicherheit wenigstens "nahe" dieser Grenze bringen!

        Bedeutet nichts anderes als das man einfach mal verzichtet etwas zu tun wenn noch mehr Daten als ohnehin bei Internet Nutzung angegeben werden müssen.
        Wer das Internet und die Digitalisierung nutzt für sein Wirtschaftliches leben, und dann wegen Datenmissbrauch jammert, ist nicht nur Naiv sondern vermeintlich Realitätsfern! Denn es ist eine unausweichlich Logische Folge!
      • Von blautemple Kokü-Junkie (m/w)
        Zitat von LastManStanding
        Nach meiner Meinung eine völlig unnütze Erfindung.
        Die nichts anderes macht als den Zwang zur Digitalisierung weiter auszubauen wo die Identifikation einer Person Grundvoraussetzung ist!
        Oh man...

        Die App will genau das Gegenteil bewirken. So wird eine Möglichkeit gegeben digital sein Alter zu verifizieren ohne irgendwelche Daten mitzugeben. Also genau das was du willst.

        Die Umsetzung ist natürlich alles andere als optimal, aber die Idee ist super.
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        08/15-Verbraucher wissen nicht einmal, was F-Droid ist und natürlich könnte man, dank Open Source, weitere Implementierungen schaffen – wenn man es denn kann. Aber Datenkrake Google kriegt den Service frei Haus, während selbst Nutzer von Windows oder MacOS im Regen stehen, von Linux-PCs ganz zu schweigen. Dabei reden wir hier doch von einem Markt, für den große Monitore wichtig sind.^^
      • Von Sidewinder Software-Overclocker(in)
        Zitat von PCGH_Torsten
        Verstehe ich das richtig? Die Sicherheitslücken bestehen nur auf User-Seite, sodass jemand, der sich des Geräts bemächtigt und die nötigen Software-Kenntnisse hat und ggf. sehr viel Zeit* den fremden Altersnachweis auslösen/nutzen könnte?

        Ja, die größte Gefahr besteht darin, dass sich der Hacker-Nachwuchs Papis Handy "ausborgt"
        Zitat von PCGH_Torsten
        Meiner Meinung nach sollte man lieber mal darüber diskutieren, dass diese Entwicklung scheinbar wieder nur für Android und gegebenenfalls noch iOS durchgeführt, also trotz Open-Source-Grundgedanken** für die technisch weniger versierten 95 bis 99 Prozent der EU-Bürger nur dann zugänglich ist, wenn sie ihre Daten an Google oder/und Apple geben. Datensparsamkeit wo?

        Ich hoffe die App wird auch auf F-Droid veröffentlicht, damit sie die breite Masse auch auf den immer populärer werdenden Google freien Android Smartphones nutzen kann.
        Da sie auf GitHub veröffentlicht wird, kann man sie als Open Source Nutzer natürlich auch über Obtainium installieren.
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Verstehe ich das richtig? Die Sicherheitslücken bestehen nur auf User-Seite, sodass jemand, der sich des Geräts bemächtigt und die nötigen Software-Kenntnisse hat und ggf. sehr viel Zeit* den fremden Altersnachweis auslösen/nutzen könnte?

        Also verglichen mit sämtlichen bisherigen Systemen außer ggf. dem international (=online) unbrauchbaren E-Perso finde ich das vertretbar. Zugangsdaten zu einmalig via Video-Ident freigeschaltete Accounts lassen sich genauso duplizieren und haben generell keinen zwingende Biometrie-Verifikation, an das Smartphone gekoppelte Verfahren lassen sich mitsamt diesem klauen und eine Kreditkartennummer brauchen sich dritte nur abschreiben, um sie einzeln nutzen zu können. Und dass dann nicht nur zum Altersnachweis, sondern auch um das Konto leerzuräumen.

        Meiner Meinung nach sollte man lieber mal darüber diskutieren, dass diese Entwicklung scheinbar wieder nur für Android und gegebenenfalls noch iOS durchgeführt, also trotz Open-Source-Grundgedanken** für die technisch weniger versierten 95 bis 99 Prozent der EU-Bürger nur dann zugänglich ist, wenn sie ihre Daten an Google oder/und Apple geben. Datensparsamkeit wo?

        *: Die primär abzuschottende Zielgruppe, Kinder im gleichen Haushalt, werden vermutlich über keine automatisierten Verfahren zum Durchprobieren von Pins verfügen. Das heißt nach Diebstahl von Muttis Handy und leichter Aushebelung des Counters steht dem Nachwuchs immer noch ein Brute-Force-Marathon mit Eingabe von im Schnitt 3.000.000 Ziffern an, ehe der Weg zu EU-Porno-Seiten offen steht.
      Direkt zum Diskussionsende
  • Print / Abo
    Apps
    PCGH Magazin 08/2026 PC Games 07/2026 play5 08/2026 N-Zone 07/2026 Linux Magazin 07/2026 LinuxUser 07/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk