Es war als technologischer Meilenstein für den Jugendschutz gedacht: Eine EU-App, die das Alter verifiziert, ohne die Privatsphäre zu opfern. Doch wenige Stunden nach der Vorstellung durch Kommissionspräsidentin Ursula von der Leyen geriet das Projekt unter Beschuss. Der Security-Experte Paul Moore demonstrierte auf X, wie er das System in weniger als zwei Minuten „knackte“.
Seine Analyse offenbart, dass sensible Daten ungeschützt auf dem Gerät bleiben. So werden PIN-Codes unzureichend gesichert, Ratenbegrenzungen lassen sich durch das Zurücksetzen einfacher Konfigurationsdateien aushebeln, die biometrische Authentifizierung ist mit einem Klick deaktivierbar. Moore warnt: „Dieses Produkt wird der Katalysator für einen gewaltigen Datenabfluss sein.“
Der französische Hacker Baptiste Robert bestätigte Moores Funde. Es wäre auch möglich, den PIN-Code oder Touch ID einfach zu überspringen. Der Kryptologe Olivier Blazy sieht ein praktisches Problem: „Nehmen wir an, ich lade die App herunter und beweise, dass ich über 18 bin. Dann kann mein Neffe mein Telefon nehmen, die App entsperren und sie nutzen, um sich selbst als volljährig auszuweisen.“
Die Kommission verteidigt ihr Tool. Eine Sprecherin räumte nur ein, es ließen sich noch Dinge verbessern. Zudem hieß es aus Brüssel, die Hacker hätten eine veraltete Demoversion getestet, was diese aber bestritten. Später kam die Erläuterung, dass auch die online verfügbare „finale Version“ noch eine Demo sei. Das Endprodukt für Bürger werde erst später angeboten, der Code laufend aktualisiert.
Open Source als Korrektiv
Dass diese Lücken überhaupt so schnell gefunden wurden, liegt auch daran, dass die App Open Source ist. Blazy lobt diesen Ansatz. Er moniert aber, dass der Quelltext bisher nicht den erwarteten Sicherheitsstandards entspreche. Ein überstürzter Start könne das Vertrauen in künftige Projekte wie die digitale Identität EUDI untergraben.
Daneben scheint die von der Kommissionschefin versprochene Anonymität fraglich. Experten wie Anja Lehmann vom Hasso-Plattner-Institut widersprechen. Da die App auf Pseudonyme setzt, könnten Website-Betreiber Nutzeraktivitäten über längere Zeiträume verknüpfen. Ein Werbevideo sorgt für Irritation: Es zeigt einen biometrischen Abgleich zwischen Gesichtsscan und Ausweisdokument – ein Verfahren, das von der Leyen bei Plattformbetreibern stets abgelehnt hatte. Judith Simon von der Universität Hamburg mahnt, die Unverknüpfbarkeit sei die Voraussetzung für echte Privatsphäre.
Viele Experten fragen sich, warum die EU eine parallele Infrastruktur zur bereits geplanten EUDI aufbaut. Lehmann hält eine separate App für „wenig sinnvoll“, da sie in wichtigen Sicherheitskriterien von etablierten Standards abweiche. Thomas Lohninger von der NGO Epicenter.works mahnt, die Kommission müsse ihre Initiative überdenken und sich auf die überfällige Durchsetzung bestehender Online-Gesetze konzentrieren.
Nicht zuletzt bleibt das Problem der Wirksamkeit. Tibor Jager von der Uni Wuppertal bezeichnet die Altersprüfung als „trivial zu umgehen“. Mittels VPN-Diensten ließe sich ein Standort außerhalb der EU vortäuschen, wo die Regeln nicht greifen. Der Forscher plädiert statt technischer Barrieren für „digitale Verkehrserziehung“. Die Kommission hält indes am Zeitplan fest. Acht Staatschefs unterstützen den Vorstoß prinzipiell, um soziale Medien für Minderjährige einzuschränken. Da die App noch nicht im regulären Einsatz ist, bleibt Zeit für Korrekturen. Der Weg zum „Goldstandard für Privatsphäre“ ist noch weit.
(mki)
English (US) ·