Die EU-Kommission will ja eine App zur Altersverifikation durchsetzen, um den Jugendschutz im Internet gewährleisten zu können. Diese App wurde mit Aufwand entwickelt und EU-Kommissionspräsidentin von der Leyen verkündete, dass die Open Source-App jetzt technisch "fertig" sei und eine Altersprüfung anonym erfolgen können – die App halte die weltweit höchsten Datenschutzstandards ein. Ein Sicherheitsexperte brauchte laut eigener Aussage gerade einmal zwei Minuten, um die App zu hacken.
Die EU-App zur Altersverifikation
Das Thema ist mir bereits die letzten Tage untergekommen. zum 15. April 2026 hat EU-Kommissionspräsidentin Ursula von der Leyen die EU-App zur Altersverifikation vorgestellt (siehe dieses YouTube-Video). Die Kollegen von Dr. Windows haben in diesem Beitrag einige Informationen veröffentlicht. Ich greife mal die Tagesschau-Berichterstattung vom 15. April 2026 auf, die im Artikel Schutz für Kinder und Jugendliche EU-App zur Altersprüfung im Internet kommt über das Thema berichtet. Es heißt, um den Jugendschutz im Internet zu verbessern, habe die EU eine App zur Altersverifizierung entwickelt. Die App soll anonym, nicht nachverfolgbar und auf allen Geräten nutzbar – und schon bald in allen 27 Mitgliedsstaaten verfügbar – sein. Gegenüber der App lässt sich das Alter per Dokument wie Personalausweis oder Reisepass nachweisen. Die App soll dann gegenüber Online-Netzwerke wie TikTok, Instagram und YouTube sowie anderen Internetseite im Hinblick auf den Jugendschutz nachweisen, dass die App-nutzende Person eine Altersgrenze überschritten hat.
Lilith Wittman hatte sich in einer Serie von Tweets bereits über die Berichterstattung der Tagesschau und die EU-App zur Altersverifikation an sich ausgelassen.
Wittmann kritisiert, dass die Aussagen der EU-Kommissionspräsidentin von der Leyen schlicht Unsinn seien. Denn diese könne die Aussagen gar nicht treffen, da die Mitgliedstaaten die Funktionen zum Ausstellen der Credentials (also des Altersstatus) selbst implementieren. In Deutschland arbeitet laut Tagesschau eine von Bundesfamilienministerin Karin Prien (CDU) eingesetzte Expertenkommission an konkreten Handlungsempfehlungen zum "Kinder- und Jugendschutz in der digitalen Welt". Die Ergebnisse sollen im Sommer 2026 vorliegen.
EU-App zur Altersverifikation in 2 Minuten gehackt
Security Consultant Paul Moore hat sich die App mal genauer angesehen und schreibt in nachfolgendem Tweet, dass er die App zur Altersverifikation in unter zwei Minuten hacken konnte (das beschreiben dauerte länger).
pIn obigem Tweet zerlegt der Consultant die App und schreibt, dass diese den Nutzer während der Einrichtung auffordert, eine PIN zu erstellen. Nach der Eingabe verschlüsselt die App diese PIN und speichert das Ergebnis im Verzeichnis shared_prefs. Paul Moore merkt folgendes an:
- Die PIN sollte überhaupt nicht verschlüsselt werden – das sei ein wirklich schlechtes Design.
- Die PIN sei nicht kryptografisch mit dem Tresor verknüpft, der die Identitätsdaten enthält.
Ein Angreifer könne also einfach die Werte PinEnc und PinIV aus der shared_prefs-Datei entfernen und die App neu starten. Nach der Auswahl einer anderen PIN präsentiere die App die unter dem alten Profil erstellten Anmeldedaten und lässt einen Angreifer diese Daten als gültig vorlegen. Dann weist Moore auf weitere Probleme hin:
- Die Ratenbegrenzung für PIN-Eingaben ist eine inkrementierende Zahl in derselben Konfigurationsdatei. Setzt jemand diesen Wert einfach auf 0 zurück, kann er beliebig oft versuchen, die PIN zu erraten.
- Es gibt einen booleschen Wert UseBiometricAuth in derselben Datei, die steuert, ob eine biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung) erfolgen soll. Setzt jemand den Wert auf "false", und dieser Schritt zur Prüfung wird einfach übersprungen.
Der Sicherheits-Consultant meint, es sei nur eine Frage der Zeit, bis dieses Produkt der Auslöser für einen massiven Sicherheitsverstoß sein werde. In einem weiteren Tweet zitiert er EU-Kommissionspräsidentin von der Leyen mit folgenden Aussagen "The European AgeVerification app is technically ready. It respects the highest privacy standards in the world. It's open-source, so anyone can check the code…".
Er hat den Aufruf, genau hinzuschauen, wörtlich genommen und sehr schnell ein ernstes Datenschutzproblem gefunden. Die App unternehme zwar große Anstrengungen, um die Altersverifikationsdaten nach der Erfassung zu schützen (is_over_18: true wird mit AES-GCM verschlüsselt). Das funktioniere zwar ziemlich gut. Aber im Sinne "vorne hui, hinten pfui" werde das Quellbild, das zur Erfassung dieser Altersverifikationsdaten verwendet werde, unverschlüsselt auf die Festplatte geschrieben und nicht ordnungsgemäß gelöscht.
Für die Erfassung biometrischer Daten per NFC-Schnittstelle weist der Sicherheitsexperte auf folgendes hin: Die App ruft DG2 ab und schreibt ein verlustfreies PNG in das Dateisystem. Das Kürzel "DG 2" steht hier für Datengruppe 2 auf dem kontaktlosen Chip des elektronischen Personalausweises oder Reisepasses. Diese Datengruppe enthält biometrische Daten, typischerweise das Gesichtsbild (Foto) des Inhabers.
Dieses Gesichtsbild werde nur bei Erfolg gelöscht, schreibt Moore. Schlägt der Vorgang aus irgendeinem Grund fehl (Benutzer klickt zurück, Ausweis-Scan schlägt fehl und wird wiederholt, App stürzt ab usw.), verbleibt das vollständige biometrische Bild im Cache des Geräts. Dieses ist auf Android-Ebene durch CE-Schlüssel geschützt, aber die App unternimmt keinen Versuch, diese zu verschlüsseln oder zu schützen.
Mit der App können auch Selfie-Bilder erstellt werden. Diese Bilder werden laut Moore im verlustfreien PNG-Format auf den externen Speicher geschrieben, aber sie werden nie gelöscht. Diese Daten sind auf Android-Ebene mit DE-Schlüsseln geschützt, aber auch hier unternimmt die App keinen Versuch, sie zu verschlüsseln oder zu schützen.
Paul Moore schreibt dazu, dass dies so sei, als würde man mit der Kamera-App ein Foto seines Reisepasses oder Personalausweises machen und es für alle Fälle aufbewahren. "Man kann die daraus gewonnenen Daten verschlüsseln, bis man blau im Gesicht ist. Das Originalbild auf der Festplatte zu belassen, ist verrückt und unnötig."
Aus Sicht der DSGVO weist Moore darauf hin, dass erfasste biometrische Daten zu den Daten besonderer Kategorien gehören. Wenn es keine rechtmäßige Grundlage gibt, sie nach der Verarbeitung aufzubewahren, ist das potenziell ein schwerwiegender Verstoß. Schert die App aber nicht. Politico hat in diesem Beitrag noch einige Informationen zum Thema (in Englisch) zusammen gefasst; einen deutschsprachigen Beitrag mit einer weiteren Übersicht gibt es hier.
Ergänzung: Es gibt ein "Sicherheitsupdate" der EU-App, welches das Konzept härten soll. Ich habe es im Beitrag Update für EU-App zur Altersverifikation; gleicher Mist, neu angepinsel? näher beleuchtet.
MVP: 2013 – 2016
2 Minuten!
s.a. https://yourdevice.ch/zwei-minuten-so-lange-hielt-die-eu-altersverifikations-app/
Was die EU-Entwickler gebaut haben
Damit ihr eine Vorstellung bekommt, über welches Qualitätsniveau wir hier reden:
Die PIN liegt verschlüsselt auf dem Gerät – aber die Verschlüsselung ist nicht an den Identitätsspeicher gekoppelt. Wer ein paar Werte in der Konfigurationsdatei löscht und die App neu startet, kann eine neue PIN vergeben und behält trotzdem Zugriff auf die vorher hinterlegten Identitätsdaten. Mit anderen Worten: Ein Minderjähriger erstellt einmal einen verifizierten Altersnachweis, ein Erwachsener übernimmt die PIN – fertig ist der Schwarzmarkt für „über 18"-Tokens.
Der Zähler für fehlgeschlagene PIN-Eingaben liegt als simpler Wert in derselben, editierbaren Konfigurationsdatei. Brute-Force-Schutz? Einfach den Zähler auf Null setzen. Wiederholen bis die PIN passt.
Die biometrische Authentifizierung lässt sich mit einem einzigen true → false komplett abschalten.
Secure Enclave auf iOS oder Trusted Execution Environment auf Android? Fehlanzeige. Die Hardware-Sicherheitsmodule, die seit Jahren in jedem Smartphone stecken und exakt für solche Aufgaben gebaut wurden, wurden nicht verwendet. Stattdessen: Klartext-Konfigurationsdatei. Ernsthaft.
Moores Kommentar dazu: Dieses Produkt wird irgendwann der Auslöser für eine massive Datenpanne sein. Es sei nur eine Frage der Zeit.
"Ein Minderjähriger erstellt einmal einen verifizierten Altersnachweis, ein Erwachsener übernimmt die PIN – fertig ist der Schwarzmarkt für „über 18"-Tokens."
Wenn ein Minderjähriger den Altersnachweis erstellt, wäre es dann nicht ein U18 Token?
OT: Hacking under 2 Minutes – 2 Stunden klingt ja fast sicher 😜
hab es korrigiert,danke
Moin,
@Günter – Danke für den Bericht.
Kommentieren brauch man das nicht mehr. Bin langssam zu alt für den Sch… – überall!.
Trotzdem, Allen einen schönen Sonntag
Moin zusammen,
da frage ich mich, wie doof ich nur gewesen war, dass ich mich nicht selbst für den millionenschweren Auftrag beworben habe. So ein Schrott hätte ich denen auch liefern können und deren Geld dann bei mir versenkt ;-))
Schönen Sonntag.
Ist doch gut, denn damit ist es erst einmal wieder mausetot – bis Ursula den nächsten Anlauf unternimmt, denn ich denke, so schnell gibt sie nicht auf.
Frage: Wurde dafür Steuergeld ver(sch)wendet?
Egal, ist ja nur Geld…
Schon beunruhigend, in welcher Blase aus Wunschdenken und Unwissenheit die Verantwortlichen dahinschweben. Die lassen sich für Steuergeld willig Placebos und Scheinlösungen andrehen. Das lässt ahnen, dass es in anderen Bereichen nicht besser ist und die Bürger an allen Ecken und Enden in falscher Sicherheit gewiegt werden. Einfach weil man dem Volk angenehme Antworten präsentieren will und nicht bittere Wahrheiten einräumen.
Und Frau Wittmann hat Recht: Es wäre natürlich Aufgabe der Medien, solche wohlklingenden Darstellungen kritisch zu prüfen und sie nicht bloß aufwandlos nachzuplappern wie einen gesponserten PR-Artikel.
Vorgestellt wurde nur ein technisches Konzept. Die C++ beta ist privat. Alle EU-Mitgliedsstaaten werden schon bald eigene Wallets bereitstellen.
Heise Faketicker meldet:
Die Mitgliedsländer haben nun ihre eigenen, sicheren Wallets gestartet, mit denen die Sicherheitsprobleme der EU-App, Borncity berichtete, behoben sind. Erreicht wurde das, in dem die Wallet-Apps nun unter Aufsicht in einem Bürgerbüro installiert und eingerichtet werden müssen. Um Missbrauch zu verhindern und Kinder zu schützen, überträgt die Wallet-App nun jeden AVA-Request, inkl. Ziel, auch an das "Bundesweite Informations- und Gefahrenabwehr-
Behördennetz zur Registrierung, Organisation, Tracking,
Historisierung und Evaluierung von Realdaten".
— hf/go
Quelle direkt bei der EU: https://germany.representation.ec.europa.eu/news/kinderschutz-online-eu-app-zur-altersuberprufung-steht-2026-04-15_de
Wortwörtliches Zitat von der Leyen
Wenn ich das richtig verstehe, geht Paul Moore von einem Gerät mit root-Rechten aus, andernfalls kommt der User nicht an die Configdatei heran.
Das ist ein entscheidender Unterschied und relativiert die 2 Minuten doch ziemlich. Den 13-Jährigen mit gerootetem Gerät, den mag es geben, aber die restlichen 99,9% wissen nicht was ein Bootloader ist.
Das wissen die aber rel. schnell, wenn ein 13-jähriger fragt, wie man die App überlisten kann.
Dann kommt schnell, das man das Gerät rooten kann etc. und das werden dann viele Kinder/Jugendliche machen.
Wird trotzdem ausgerollt, ist ein wichtiger weiterer Schritt zur allpräsenten digitalen Identität ohne die im Alltag kaum mehr etwas möglich sein wird, die Würfel sind längst gefallen.
War jemals von den Laien in der EU etwas anderes zu erwarten außer viel unsinniges Geschwafel? Zumindest unter diesem Gesichtspunkt kann die EU weg. Zusammen mit der Aufweichen bzw. weitgehde Abschaffung der bahnbrechenden DSGVO hat sich die EU in Dachen Cybersecurity als Bremnsklotz und daher völlig überflüssig gezeigt.
Diese Altersverifikation dient nicht zum Schutz der Kidner sondern dafür de facto klar nahmen im WWW durch zu setzen.
So was ist genau nur so lange anonym wie lange die authentisierenden Server keine Logs führen, sprich gar nicht.
Solcher Mist gehört wahrlich boykottiert und sabotiert bei jeder Gelegenheit.