Am 15. April 2026 erklarte die Europaische Kommission ihre neue App zur digitalen Altersverifizierung fur technisch einsatzbereit. EU-Kommissionsprasidentin Ursula von der Leyen stellte die Anwendung personlich vor und betonte, sie erfulle "hochste Datenschutzstandards." Das Tool soll Minderjahrige vor schadlichen Inhalten in sozialen Netzwerken schutzen.
Das technische Konzept klang uberzeugend: Reisepass- oder Ausweisscan, biometrische Verifikation per Video-Selfie, vollstandige Verarbeitung auf dem Gerat des Nutzers ohne Datenweitergabe an externe Server. Quelloffener Code, Kompatibilitat mit dem kunftigen EU Digital Identity Wallet (EUDI). Das Versprechen: Altersnachweis ohne Preisgabe personlicher Daten.
Umgangen in weniger als 2 Minuten
Nur wenige Stunden nach dem offiziellen Launch veroffentlichte der britische Sicherheitsforscher Paul Moore eine vollstandige Demonstration zur Umgehung der Authentifizierung. Benotigter Aufwand: unter zwei Minuten.
Die Methode war beunruhigend simpel. Der Zahler fur den Brute-Force-Schutz der PIN ist als einfache Ganzzahl in einer Klartextkonfigurationsdatei gespeichert - lasst sich manuell auf null zurucksetzen. Die biometrische Prufung ist als boolesches Flag in derselben Datei implementiert - auf false setzen, Schritt komplett ubergehen. Zwei Werte loschen (PinEnc und PinIV), App neu starten, fremdes Identitationsprofil offnet sich.
Kein Spezialwerkzeug, kein Zero-Day-Exploit - nur ein Texteditor. Ein Sicherheitsaudit vom Marz 2026 hatte bereits festgestellt, dass die Issuer-Komponente der App nicht verifizieren kann, ob die Passprufung tatsachlich auf dem Gerat des Nutzers stattgefunden hat.
Durow: Hackbar durch Design
Telegram-Grunder Pavel Durow kommentierte die Situation in seinem Kanal. Seine Einschatzung: Die App sei nicht zufallig, sondern architekturbedingt hackbar. Wenn ein System kritische Sicherheitsparameter in bearbeitbaren Klartextdateien ablegt und dem lokalen Gerat blind vertraut, sind Sicherheitsgarantien von Anfang an wertlos.
Durow auBerte eine schwerwiegendere Sorge: Das spektakulare Scheitern konnte den EU-Behorden als willkommener Vorwand dienen, die App auf zentralisierte Verifizierung umzustellen - also eine Infrastruktur zu schaffen, bei der jeder Besuch einer altersbeschrankten Website auf Regierungsservern protokolliert wird. Aus einem Kinderschutzinstrument konnte so ein Instrument zur flachendeckenden Uberwachung der Online-Aktivitaten von Burgern werden.
Durow hatte bereits Spaniens Plane zur Pflicht-Altersverifizierung in sozialen Netzwerken als Schritt zum "Uberwachungsstaat" bezeichnet und sich wiederholt gegen die EU-Chat-Control-Plane ausgesprochen.
Der groere Zusammenhang
Die Altersverifizierungs-App ist Teil der umfassenderen digitalen Agenda der EU. Gema eIDAS 2.0 mussen alle Mitgliedstaaten bis Ende 2026 nationale Versionen des EU Digital Identity Wallet einfuhren. Die App sollte der erste offentliche Schritt hin zu einem einheitlichen digitalen Identitatsystem fur EU-Burger sein.
Kritiker hatten langst darauf hingewiesen: Jedes System, das eine Identitatsbestatigung fur den Zugang zu Inhalten erfordert, schafft zwangslaufig Uberwachungsinfrastruktur - unabhangig von den Absichten der Entwickler. Der Zwei-Minuten-Hack bestatigt, dass die technische Umsetzung weit hinter dem Anspruch zuruckbleibt.
Zum Redaktionsschluss hatte die Europaische Kommission weder offiziell reagiert noch ein Sicherheits-Update veroffentlicht.
Weitere Sicherheitslucken und DSGVO-Bedenken
Weitere Analysen deckten zusatzliche Schwachstellen auf. Gesichtsfotos aus Ausweisdokumenten werden als unverschlusselte PNG-Dateien auf dem Gerat gespeichert. Verifizierungs-Selfies werden in den externen Speicher geschrieben und nie geloscht. Forscher Moore demonstrierte auch, dass eine Browser-Erweiterung gultige Verifizierungsantworten falschlich erzeugen kann - ohne die App uberhaupt zu nutzen. Das widerspricht direkt der offiziellen Behauptung, es wurden "keine personlichen Daten gespeichert" - und wirft ernsthafte Fragen zur DSGVO-Konformitat auf.
Ein aufschlussreiches Detail: Das offizielle GitHub-Repository der App enthalt eine Warnung, dass es sich um eine "fruhe Entwicklungsversion" mit niedrigeren Sicherheitsstandards handelt und von einem Produktionseinsatz abrat. Diese Warnung stand dort bereits wahrend des Ankundigungsevents von Ursula von der Leyen.
Quellen: Durows Telegram-Post, Cybernews, CyberSecurityNews, PiunikaWeb, CyberInsider, Biometric Update
