IT-Sicherheitsexperten werfen der EU vor, der Code ihrer neuen App zur Altersprüfung in sozialen Netzwerken enthalte gravierende Lücken und kritisieren Brüssel scharf.
Die von der Europäischen Union entwickelte Altersprüf-App soll Kinder vor den Risiken sozialer Medien schützen. Direkt nach ihrer Vorstellung geriet sie jedoch in eine heftige Debatte über Sicherheit und Datenschutz.
WERBUNG
WERBUNG
IT-Sicherheitsfachleute werfen Brüssel vor, der Code der App enthalte „offensichtliche Schwachstellen“.
Von der Leyen: „Technisch bereit“
EU-Kommissionspräsidentin Ursula von der Leyen stellte die App in Brüssel vor. Sie erklärte, das System sei „technisch bereit“ und werde bald verfügbar sein.
Zugleich betonte sie, der Programmcode sei offen zugänglich: „Jede und jeder kann ihn prüfen.“
Daraufhin nahmen Experten den Code der Anwendung genauer unter die Lupe.
Wie das System funktioniert
Die App soll das Alter von Nutzern über vertrauenswürdige Quellen wie Pass, Personalausweis oder Bank verifizieren.
Technisch funktioniert sie wie ein digitales Ausweisdokument: Das Alter wird über offizielle Dokumente oder Dienstleister wie Banken bestätigt.
Entscheidend ist dabei ein anderes Detail: Plattformen wie soziale Netzwerke erhalten nicht die vollständige Identität, sondern lediglich die Information, ob jemand über 18 Jahre alt ist. Dieses Prinzip basiert auf einem kryptografischen Verfahren namens Zero-Knowledge-Proof („Null-Wissen-Nachweis“).
Das Projekt wird vom schwedischen Unternehmen Scytáles und der Deutsche Telekom entwickelt, die im Jahr 2024 eine Ausschreibung im Wert von vier Millionen Euro gewonnen haben.
Experten decken Schwachstellen auf
Sicherheitsforscher, die den auf GitHub veröffentlichten Code analysierten, verweisen auf gravierende Designfehler.
Der Sicherheitsberater Paul Moore erklärte, die App speichere sensible Daten ungeschützt auf dem Smartphone. Er habe das System „in weniger als zwei Minuten gehackt“.
Nach Moores Analyse lässt sich der Mechanismus zur Identitätsprüfung leicht aushebeln. Während der Installation verlangt die App die Einrichtung einer PIN. Diese müsste eigentlich sicher gespeichert und eng mit der Identität des Nutzers oder der Nutzerin verknüpft sein.
Tatsächlich werde die PIN zwar verschlüsselt und in einer Datei auf dem Telefon abgelegt. Sie sei jedoch nur schwach mit dem System verknüpft, in dem die eigentlichen Identitätsdaten liegen. Das hat Folgen: Ein Hacker könnte diese Datei verändern, die PIN zurücksetzen und eine neue festlegen – die zuvor bestätigten Ausweisdaten blieben trotzdem gültig.
Der französische Ethik-Hacker Baptiste Robert bestätigt diese Befunde. Dem Medium Politico erklärte er, das biometrische Sicherheitssystem der App lasse sich ebenfalls leicht umgehen; der Zugang sei also auch ohne PIN oder Fingerabdruck möglich.
Der Kryptografie-Experte Olivier Blazy schildert das Problem an einem einfachen Beispiel: „Wenn ich mit der App nachweise, dass ich über achtzehn bin, kann mein Neffe später mein Handy nehmen und sich mit derselben Anwendung ebenfalls als über achtzehn ausgeben.“
Kommission bleibt bei ihrer Linie
Trotz der wachsenden Kritik stellt sich die Europäische Kommission weiter hinter die App. In einer Stellungnahme an die Zeitung erklärte sie, die Vorwürfe bezögen sich auf „eine ältere Demoversion“ und die entdeckte Lücke sei inzwischen geschlossen. Moore und Blazy halten dagegen und betonen, sie hätten mit dem aktuellsten Code gearbeitet.
Thomas Regnier, Sprecher für Digitalpolitik, räumte ein, dass es noch keine endgültige Fassung gebe: „Die sogenannte finale Version ist im Grunde immer noch eine Demo.“ Der Code werde laufend überarbeitet.
Zu schnell auf den Markt gebracht?
Nach Ansicht von Fachleuten liegt das Problem nicht nur in der Technik. Blazy hält die Öffnung des Codes zwar für einen richtigen Schritt, betont aber, der veröffentlichte Stand erfülle nicht die üblichen Cybersicherheitsstandards für eine so kritische Anwendung.
„Wir hatten Sorge, dass die Kommission die App trotz der Sicherheitsprobleme hastig freigibt“, sagt Blazy. Das könne das Vertrauen in künftige Projekte für digitale Identitäten nachhaltig beschädigen.
Hinter der Debatte steckt eine größere Krise
Die Auseinandersetzung um die Altersprüf-App macht eine grundlegendere Spaltung sichtbar. Weltweit versuchen Regierungen, Kinder mit Alterskontrollen vor sozialen Netzwerken und pornografischen Inhalten zu schützen. Datenschützer, Technologiekonzerne und viele Politikerinnen und Politiker warnen jedoch vor gravierenden Risiken und sind tief uneins über den richtigen Weg.
Der französische Präsident Emmanuel Macron lud zu einem Videogipfel mit europäischen Staats- und Regierungschefs. Teil nahmen unter anderem Giorgia Meloni aus Italien, Pedro Sánchez aus Spanien und Bundeskanzler Friedrich Merz.
Kritik: „Technik unreif, leicht zu umgehen“
Kritiker halten solche Systeme für noch nicht ausgereift genug, um Sicherheit und Privatsphäre zu garantieren. Zudem ließen sich Altersbarrieren mit Hilfsmitteln wie VPN-Diensten leicht umgehen, heißt es.
Bereits im März forderten in einem offenen Brief mehr als vierhundert Fachleute von der Europäischen Kommission ein Moratorium. Solche Projekte sollten demnach ruhen, bis die Folgen der Technologien besser absehbar seien.
Die tschechische Europaabgeordnete Markéta Gregorová, die an dem Gesetz im Parlament mitarbeitet, spricht von einem Verfahren, das „unter politischem Druck überhastet“ werde. Die deutsche Abgeordnete Birgit Sippel nennt die App „eine halbherzige Lösung, die nicht einmal den eigenen Standards der EU genügt“.