EU-Alters-App: Sicherheitslücken gefährden digitale Identität

Die neue EU-Altersverifikations-App, Europas Antwort auf sichere Online-Alterskontrollen, ist bereits vor dem Start schwer angeschlagen. Nur Stunden nach der offiziellen Vorstellung demonstrierten Sicherheitsforscher, wie sich die Kernfunktionen der Anwendung in wenigen Minuten umgehen lassen. Die Enthüllungen stellen nicht nur die App infrage, sondern die gesamte europäische Strategie für eine digitale Identität.

Technische Mängel gefährden Kernversprechen

Die Kontroverse begann am 15. April 2026. Die EU-Kommission präsentierte die App als "Blaupause" für eine einheitliche europäische Lösung. Sie sollte höchste Datenschutzstandards erfüllen und Plattformen keine Ausreden mehr lassen, das Alter ihrer Nutzer nicht zu prüfen. Doch innerhalb von 24 Stunden nach Veröffentlichung des Open-Source-Codes war der Jubel vorbei.

Während die EU noch an sicheren Identitätslösungen arbeitet, nehmen Cyberkriminelle bereits gezielt Android-Systeme ins Visier. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, wie Sie Ihr Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. Kostenlosen Sicherheits-Ratgeber für Android herunterladen

Sicherheitsforscher identifizierten kritische Designfehler. Der gravierendste: Die App vertraut auf lokal gespeicherte Konfigurationsdateien, die sich einfach bearbeiten lassen. Der britische Sicherheitsberater Paul Moore zeigte am 16. April, wie ein Angreifer mit physischem Zugang zu einem entsperrten Gerät die Sicherheit in unter zwei Minuten aushebeln kann.

Die App speichert sensible Steuerungsdaten – darunter verschlüsselte PINs und Schutzmechanismen gegen Brute-Force-Angriffe – in einer einfachen Textdatei im Android-System. Löscht man bestimmte Werte und startet die App neu, lässt sich eine neue PIN setzen, während die verifizierten Identitätsdaten weiterhin als gültig gelten. Auch die biometrische Authentifizierung lässt sich per Texteditor abschalten.

Architektonische Schwächen schon länger bekannt

Die aktuellen Umgehungen sind nur die Spitze des Eisbergs. Schon im März 2026 wies eine Sicherheitsanalyse auf ein grundlegendes Problem hin: Die App kann nicht technisch überprüfen, ob ein physischer Ausweis tatsächlich auf dem Gerät verifiziert wurde.

Das System stellt digitale Berechtigungen aus, basierend auf einer Behauptung – nicht auf kryptografisch gesicherten Beweisen. Diese Lücke zu schließen, würde bedeuten, sensible Daten an einen zentralen Server zu senden. Genau das lehnt die Kommission aber ab, um das Versprechen von Anonymität und Datensparsamkeit nicht zu brechen.

Experten sehen hier ein fundamentales Problem: Die App behandelt das Smartphone als sicheren Tresor, legt die Schlüssel dafür aber an einem Ort ab, den jeder mit Zugang zum Gerät manipulieren kann. Ein klassischer Fall von "Client-Side-Trust", der in sicherheitskritischen Anwendungen als Anti-Pattern gilt.

Unter Druck: Die DSA-Verfahren und der Zeitplan

Der Zeitpunkt der Enthüllungen könnte kaum ungünstiger sein. Seit März 2026 läuft ein formales Verfahren der Kommission gegen mehrere große Adult-Plattformen – darunter Pornhub und XVideos. Grund: Sie hätten keine wirksamen Maßnahmen zum Schutz Minderjähriger umgesetzt, wie es die Digital Services Act (DSA) vorschreibt.

Die technischen Mängel bei der Altersverifikation zeigen, wie riskant die Abhängigkeit von klassischen Passwörtern und PINs auf mobilen Geräten ist. Erfahren Sie in diesem Gratis-Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp & Co. endlich hacker-sicher machen. Passkey-Ratgeber kostenlos sichern

Die Altersverifikations-App sollte die "Referenzlösung" sein, die Plattformen jede Ausrede nimmt. Mit einem kostenlosen, datenschutzfreundlichen Tool wollte die EU Konzerne zwingen, entweder das staatliche System zu übernehmen oder gleichwertige Technologien zu entwickeln.

Befürworter des Projekts argumentieren, dass die Aufdeckung der Schwächen zeige, dass der Open-Source-Ansatz funktioniere. Im GitHub-Repository stand deutlich, dass es sich um eine Entwicklerversion handele. Fehler in einer transparenten Umgebung zu finden, sei besser, als sie später in einer proprietären Software bei Millionen Nutzern zu entdecken.

Doch Kritiker sehen das anders. Über 400 Forscher hatten bereits in einem offenen Brief gewarnt, dass zentralisierte Identitätssysteme zu attraktiven Zielen für Cyberangriffe und Überwachung werden könnten. Die jüngsten Funde bestärken sie in ihrer Sorge: Der??iche Druck, die DSA-Fristen einzuhalten, könnte die technische Integrität der gesamten europäischen Digital-Identity-Infrastruktur gefährden.

Was bedeutet das für den EUDI-Wallet-Rollout?

Die Alters-App ist kein Einzelprodukt. Sie ist eine Kernkomponente des kommenden Europa?ischen Digitalen Identita?ts-Wallets (EUDI Wallet). Sechs Mitgliedstaaten – darunter Frankreich, Spanien und Dänemark – testen die Technologie bereits in Pilotprojekten.

Das Ziel ist ambitioniert: Bürger sollen damit ihr Alter in Bars, bei Festivals oder online nachweisen können, ohne Namen, Adresse oder Geburtsdatum preiszugeben. Doch der Weg dorthin ist holprig. Während Länder wie Deutschland bis Ende 2026 eine robuste Version anstreben, signalisieren andere wie die Niederlande mögliche Verzögerungen bis 2027.

Die EU-Kommission steht nun unter Druck, die dokumentierten Mängel zu beheben, bevor die App aus dem Prototypen-Stadium in den finalen Release übergeht. Die Debatte wird sich daran entzünden, ob die Sicherheit verstärkt werden kann, ohne die dezentrale, "Privacy-First"-Architektur aufzugeben, die eine Nutzerverfolgung durch die Kommission verhindern soll.

Bis Ende 2026 müssen alle Mitgliedstaaten ihren Bürgern mindestens eine Version des EUDI-Wallets anbieten. Ab Mitte 2027 müssen regulierte private Dienste und sehr große Online-Plattformen diese Wallet für starke Authentifizierung und Altersverifikation akzeptieren.

Die Einhaltung dieses Zeitplans hängt nun davon ab, ob EU-Entwickler die Lücke zwischen "technischer Vollständigkeit" und "operativer Sicherheit" schließen können. Werden die architektonischen Schwächen nicht behoben, droht ein "gestaffelter und ungleichmäßiger" Rollout – und das strategische Ziel einer einheitlichen, souveränen digitalen Identität für alle Europäer wäre in weiter Ferne. Jetzt liegt der Fokus auf der Open-Source-Community. Sie muss die Referenzimplementierung patchen, bevor die nächste Pilotphase im Sommer beginnt.

de | boerse | 69202944 |