EU-Alterscheck gehackt: Vorzeige-App bekommt schnell Sicherheitskratzer

Die Europäische Kommission hat ihre neue Altersverifikations-App am 15. April als „ready for deployment“ vorgestellt. Laut Kommission soll sie Nutzern erlauben, ihr Alter gegenüber Plattformen nachzuweisen, ohne mehr persönliche Daten preiszugeben als nötig. Das Projekt ist damit mehr als ein Tool: Es ist ein politisches Versprechen, Online-Kinderschutz mit einem datensparsameren europäischen Ansatz zu verbinden.  

Genau dieses Versprechen gerät nun unter Druck. Cybernews berichtet, der Sicherheitsforscher Paul Moore habe gezeigt, dass sich Schutzmechanismen der Android-Demo in kurzer Zeit durch lokale Änderungen umgehen lassen. Der Vorwurf zielt nicht auf ein spektakuläres Hacking von außen, sondern auf grundlegende Schwächen in der Implementierung: PIN-Schutz und biometrische Sperre seien demnach nicht hart genug an den eigentlichen Credential-Speicher gebunden.  

Politisch ist das heikel, weil die App nie nur ein Technikprodukt war. Reuters berichtet, dass Brüssel den Druck auf Plattformen beim Jugendschutz erhöhen will und mehrere europäische Staaten parallel strengere Altersgrenzen für soziale Medien prüfen. Die App soll dabei als europaweit anschlussfähige Referenz dienen. Wenn ausgerechnet diese Referenz früh Sicherheitszweifel produziert, beschädigt das nicht nur ein Einzelprojekt, sondern das Vertrauen in die größere europäische Regulierungsarchitektur.  

Hinzu kommt die strategische Fallhöhe. Die Kommission beschreibt die Lösung als offenen, datensparsamen Baustein auf dem Weg zur europäischen digitalen Identität. Auch WIRED ordnet die App als Vorläufer einer breiteren Infrastruktur ein, die Mitgliedstaaten in nationale Wallet-Systeme integrieren oder eigenständig einsetzen können. Damit wird aus einem Demo-Bypass schnell eine größere Frage: Kann Europa wirklich ein digitales Gegenmodell bauen, das regulatorisch ambitioniert und technisch belastbar zugleich ist?