EU-Altersverifikation erneut geknackt: Müssen wir bald alle unseren Ausweis zeigen?


Die EU-Kommission plant, dass sich Nutzer sozialer Medien in der Europäischen Union künftig über eine Altersverifikations-App anmelden können. Dabei soll die Anonymität gewahrt bleiben – doch genau daran bestehen Zweifel. Sicherheitsforscher sehen grundlegende Schwächen im System.

Im April zeigte ein Sicherheitsforscher, dass sich eine frühe Testversion der App innerhalb von Minuten umgehen ließ. Nun hat er nachgelegt: Mit einer selbst entwickelten Browser-Erweiterung für Google Chrome konnte er auch eine aktualisierte Version erneut aushebeln – nach eigenen Angaben in weniger als zwei Minuten. Seine Analyse legt eine grundlegende Schwäche im Design des anonymen Altersverifikationssystems offen und wirft die Frage auf, ob echte Anonymität unter diesen Voraussetzungen überhaupt möglich ist.

Gefälschte Altersbescheinigung in zwei Minuten

In einem auf X veröffentlichten Video demonstriert der Sicherheitsforscher Paul Moore seinen Ansatz. Die zu überprüfende Webseite zeigt einen QR-Code, der normalerweise mit der EU-Wallet-App auf dem Smartphone gescannt werden soll. Die App sendet anschließend eine Bestätigung, dass der Nutzer volljährig ist – ohne dabei persönliche Daten wie Namen oder Geburtsdatum offenzulegen.

Moores Browser-Erweiterung greift jedoch in die Kommunikation ein und simuliert die Wallet direkt im Browser. Statt einer echten, hardwaregesicherten Identitätsprüfung – etwa durch Biometrie oder Ausweisscan – erzeugt die Erweiterung eine gefälschte Altersbescheinigung. Diese wird vom System akzeptiert und mit „Zugangsdaten angenommen“ bestätigt. Laut Moore kann dabei immer wieder dieselbe „Über 18“-Bestätigung verwendet werden.

Ein zentraler Kritikpunkt betrifft die Architektur des Systems. Die Einmalverwendung von Bescheinigungen wird offenbar nur clientseitig – also auf dem Gerät des Nutzers – kontrolliert. Dem Server fehlen damit die nötigen Informationen, um Missbrauch effektiv zu erkennen, obwohl genau dies offiziell Ziel der Maßnahme sein sollte.

Moore spricht deshalb von einem grundlegenden Konstruktionsproblem. „Das ist kein Bug, sondern ein Designfehler“, schreibt er. Seiner Einschätzung nach lasse sich das Problem nur beheben, wenn die Architektur grundlegend geändert werde – was jedoch bedeuten könnte, dass Nutzer stärker identifiziert werden müssten: „Anonyme Altersverifizierung funktioniert nicht“, das Fazit des Sicherheitsforschers.

Bereits bei seiner Analyse im April hatte Moore weitere Schwachstellen aufgezeigt. So speichert die App eine verschlüsselte PIN lokal auf dem Gerät. Diese Datei könne jedoch manipuliert oder gelöscht werden. Nach einem Neustart akzeptiere das System eine neue PIN, während zuvor erzeugte Identitätsnachweise weiterhin gültig bleiben.

Auch Schutzmechanismen wie die Begrenzung von PIN-Eingaben (Rate-Limiting) ließen sich laut Moore zurücksetzen. Zudem sei die biometrische Überprüfung nicht ausreichend gegen Manipulation abgesichert. Sein Fazit: Kritische Sicherheitsfunktionen würden auf dem Endgerät verbleiben und seien dort angreifbar.

Die EU-Kommission hatte die App zuvor als „technisch ausgereift“ und „datenschutzfreundlich“ bezeichnet. Die aktuellen Vorwürfe stellen diese Einschätzung nun infrage.

Lesen Sie mehr zum Thema