Nur einen Tag nach dem Launch zeigte ein Sicherheitsberater, wie wertlos der Schutz ist — der Hack dauerte keine zwei Minuten.
Einfach die PIN löschen und fertig
Sicherheitsberater Paul Moore demonstrierte die Schwachstelle direkt nach Veröffentlichung der App. Die Architektur ist anfällig für simple Manipulationen: Moore löschte einfach bestimmte Konfigurationswerte in der App. Das Problem? Die persönliche Identifikationsnummer (PIN) wird nur lokal auf dem Gerät gespeichert – ohne Verbindung zu einem gesicherten Identitäts-Tresor.
Der aktuelle Hack zeigt drastisch, wie angreifbar persönliche Daten auf dem Smartphone sind. Dieser kostenlose Ratgeber liefert Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Android-Gerät effektiv vor unbefugten Zugriffen und Datenmissbrauch zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Weil keine externe Validierung die Daten prüft, reichen einfache Eingriffe in die App-Konfiguration. Der Zugriff auf altersbeschränkte Inhalte wird dadurch möglich. Der beabsichtigte Schutzzweck? Vollständig ausgehebelt. In Fachkreisen sorgt die Geschwindigkeit des Hacks für Empörung – Moore brauchte weniger als 120 Sekunden.
Warnungen ignoriert – Debakel vorprogrammiert
Das Projekt stand schon vor dem Start unter Beschuss. Digitalrechtsexperte Patrick Breyer warnte frühzeitig und nannte die App einen „Jugendschutz-Trojaner“. Die Kritik: Solche Systeme könnten zur Überwachung der Internetnutzung missbraucht werden und schaffen neue Einfallstore für Cyberkriminelle.
Auch die Wissenschaft schlug Alarm. Im März forderten über 400 Forscher ein Moratorium für die App. Sie verwiesen auf die Komplexität sicherer Altersverifikation und warnten vor überstürzten Lösungen. Die EU-Kommission hielt trotzdem an ihrem Zeitplan fest. Das Ergebnis: ein weithin sichtbares Sicherheitsdebakel.
Teil einer größeren digitalen Strategie
Die App ist kein Einzelfall. Sie gehört zur umfassenden digitalen Transformation der EU. Bis Ende 2026 müssen Mitgliedstaaten eine EU Digital ID Wallet bereitstellen – eine digitale Brieftasche für sichere Identitätsnachweise auf dem Smartphone. Der aktuelle Fehlschlag wirft einen Schatten auf diesen Zeitplan.
Flankiert wird das Ganze durch das NIS-2-Umsetzungsgesetz, das rund 30.000 Unternehmen zu strengeren Cybersicherheitsmaßnahmen verpflichtet. Das Digital-Omnibus-Reformpaket soll zudem DSGVO und KI-Verordnung vereinfachen. Doch Experten warnen: Regulatorische Erleichterungen dürfen nicht zulasten der technischen Sicherheit gehen.
Angriffswelle auf Mobilgeräte
Der Hack kommt in einer Phase erhöhter Bedrohungslage. Das BSI und das Bundesamt für Verfassungsschutz meldeten kürzlich Phishing-Attacken auf den Messenger Signal. Betroffen waren unter anderem Bundestagspräsidentin Julia Klöckner sowie die Ministerinnen Verena Hubertz und Karin Prien.
Sicherheitsforscher von McAfee identifizierten zudem die Malware-Kampagne „Operation NoVoice“. Sie infizierte über 2,3 Millionen Android-Geräte. Die Schadsoftware nutzt Kernel-Lücken für ein Rootkit, das sogar Werksresets überdauert. In Toronto zerschlugen Behörden einen Ring von SMS-Blaster-Betreibern, die für Millionen Netzwerkstörungen verantwortlich waren. Der Bitkom beziffert den jährlichen Schaden durch Cyberkriminalität für die deutsche Wirtschaft auf rund 200 Milliarden Euro.
Angesichts von Millionen infizierter Geräte und immer raffinierterer Malware-Kampagnen ist ein Basis-Schutz heute nicht mehr ausreichend. Erfahren Sie in diesem gratis PDF-Ratgeber, wie Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker absichern und Ihre sensiblen Apps wie WhatsApp oder PayPal schützen. Kostenlosen Sicherheits-Ratgeber herunterladen
Vertrauen verspielt
Das Versagen untergräbt das Vertrauen in staatliche Digitalprojekte massiv. Eine App zum Schutz von Kindern und Jugendlichen, die grundlegende Sicherheitsstandards vermissen lässt – das stellt die Kompetenz von Entwicklern und Prüfinstanzen infrage. Die Diskrepanz zwischen politischem Anspruch und technischer Realität ist verheerend für die digitale EU-Strategie.
Unklar bleibt auch die Haftungsfrage. Das Oberlandesgericht Koblenz entschied kürzlich, dass Banken Kunden bei professionellen Phishing-Angriffen entschädigen müssen. Wer für Schäden durch unzureichend gesicherte staatliche Identitäts-Apps haftet, ist dagegen offen.
Was jetzt passieren muss
Die EU-Kommission muss die technischen Spezifikationen grundlegend überarbeiten. Gefordert wird eine Abkehr von lokalen Speicherlösungen hin zu gesicherten Hardware-Umgebungen wie dem Trusted Execution Environment (TEE) moderner Smartphones. Google plant ab September 2026 zudem eine verschärfte Identitätsverifikation für Android-Entwickler.
Die kommenden Monate zeigen, ob die EU aus dem Debakel lernt. Private Dienstleister haben bis Ende 2027 Zeit, ihre Systeme an die neuen Wallet-Strukturen anzupassen. Bis dahin bleibt die Herausforderung, Datenschutz, Jugendschutz und technische Unangreifbarkeit zu vereinen. Der Vorfall ist ein mahnendes Beispiel: Politische Deadlines ersetzen keine gründlichen Sicherheitsaudits durch unabhängige Dritte.
