EU-App zur Altersprüfung fällt bei Sicherheitsexperten durch

Es ist ja so: Wenn durch die EU-Kommission eine neue App angekündigt wird, die gleichzeitig Jugendschutz garantieren und die Privatsphäre respektieren soll, dann klingt das etwas nach eierlegender Wollmilchsau.

Eine Altersverifikation ohne Datenpreisgabe wäre natürlich eine feine Sache: politisch sexy und technisch ambitioniert. Nur leider trat Captain Reality mal wieder kräftig auf die Bremse, denn kaum war die App vorgestellt, zerstörte der Security-Experte Paul Moore auf X den schönen Schein. Innerhalb von weniger als zwei Minuten „knackte“ er das System. Das ist ungefähr die Zeit, die man braucht, um einen halbwegs komplizierten WLAN-Namen einzugeben. Was folgte, war ein Lehrstück darüber, wie fragil digitale Heilsversprechen sein können.

Die Liste der Schwachstellen liest sich wie ein Worst-of der IT-Sicherheit: PIN-Codes unzureichend geschützt, Schutzmechanismen durch simples Zurücksetzen aushebelbar, biometrische Sperren per Klick deaktivierbar. Auch der französische Sicherheitsforscher Baptiste Robert bestätigte die Befunde, während Kryptologe Olivier Blazy ein ganz praktisches Szenario skizzierte: Einmal als volljährig verifiziert, wird das Smartphone zum Generalschlüssel für die ganze Familie. Das dürfte kaum im Sinne der Erfinder sein.  

Die EU verweist derweil auf eine angeblich veraltete Testversion. Ein Klassiker! Wenn allerdings Demo und „finale Version“ schwer auseinanderzuhalten sind, ist das weniger ein Kommunikationsproblem als ein strukturelles. Vertrauen entsteht nicht durch nachträgliche Rechtfertigungen, sondern durch robuste Systeme.

Interessant ist, dass die App Open Source ist. Ein richtiger und wichtiger Schritt, denn Transparenz ermöglicht Kontrolle. Doch wie Anja Lehmann vom Hasso-Plattner-Institut betont, ersetzt Offenheit keine Qualität. Wenn Quellcode einsehbar ist, macht ihn das noch lange nicht sicher. Und selbst perfekte Kryptografie löst ein Grundproblem nicht: Anonymität im Netz bleibt ein Mythos, sobald Metadaten ins Spiel kommen.

Irritierend wirkt zudem ein Werbevideo mit biometrischem Abgleich zwischen Gesichtsscan und Ausweisdokument, einer Methode, die politisch bisher sehr kritisch gesehen wurde. Judith Simon, Professorin für Ethik in der Informationstechnologie, erinnert zu Recht daran, dass echte Privatsphäre nur mit strikter Trennung von Daten funktioniert. Am Ende bleibt die Frage: Braucht es wirklich eine neue App, wenn parallel an der digitalen Identität (EUDI) gearbeitet wird? Oder wäre weniger Technik und mehr „digitale Verkehrserziehung“, wie es der Kryptografie-Professor Tibor Jager vorschlägt, der klügere Weg?

Der Traum vom „Goldstandard für Privatsphäre“ ist vorerst jedenfalls geplatzt.