Die EU-Kommission möchte den Jugendschutz im Netz durch eine neue App zur Altersverifikation stärken. Ursula von der Leyen plant einen zeitnahen Start des Systems, das auf dem Zero-Knowledge-Proof-Verfahren basiert. Theoretisch ist das ein Gewinn für die Privatsphäre: Plattformen erfahren nur, ob ein Nutzer alt genug ist, erhalten aber keinen Zugriff auf Namen oder Geburtsdaten. Doch die technische Umsetzung der Open-Source-Anwendung steht massiv in der Kritik, da fundamentale Sicherheitsprinzipien missachtet wurden.
Konstruktionsfehler bei der lokalen Datenspeicherung
Das größte Problem liegt derzeit in der Architektur der App-Konfiguration. Sicherheitsforscher wie Paul Moore haben nachgewiesen, dass die Verknüpfung zwischen der Benutzer-PIN und den gespeicherten Identitätsdaten unzureichend ist. Obwohl die PIN verschlüsselt hinterlegt wird, fehlt die kryptografische Bindung an den Datenspeicher. Das hat zur Folge, dass Angreifer oder technisch versierte Nutzer die PIN-Abfrage durch Manipulation lokaler Konfigurationsdateien einfach zurücksetzen können, während die verifizierten Ausweisdaten im System verbleiben.
Umgehung der Sicherheitsmechanismen
Neben der schwachen PIN-Logik wurden weitere Mängel in der Zugriffskontrolle entdeckt. Die Ratenbegrenzung für falsche PIN-Eingaben - ein Standard-Schutz gegen Brute-Force-Angriffe - lässt sich durch das einfache Zurücksetzen eines Zählers aushebeln. Besonders kritisch: Selbst die biometrische Authentifizierung ist nicht manipulationssicher implementiert. Durch die Änderung eines einzelnen Wertes in der Konfiguration kann diese Hürde deaktiviert werden. Damit wird das Versprechen eines sicheren digitalen Ausweises untergraben, bevor die App überhaupt im Einsatz ist.
Risiken für die digitale Identität in Europa
Die App wird von Scytales und der Deutschen Telekom entwickelt und hat bisher rund vier Millionen Euro gekostet. Während die Kommission betont, dass es sich um eine noch nicht finale Version handelt, warnen Experten vor den langfristigen Folgen eines übereilten Rollouts. Wenn ein Leuchtturmprojekt wie die Altersverifikation aufgrund vermeidbarer Implementierungsfehler scheitert, beschädigt dies das Vertrauen in die kommende EUDI-Brieftasche (European Digital Identity Wallet) nachhaltig.
Anspruch und Wirklichkeit bei Zero-Knowledge-Systemen
Zero-Knowledge-Verfahren sind hochkomplex und erfordern eine fehlerfreie Implementierung, um ihren Vorteil auszuspielen. Die aktuellen Schwachstellen zeigen jedoch, dass nicht das kryptografische Verfahren selbst das Problem ist, sondern das mangelhafte Zusammenspiel zwischen lokaler Speicherung auf dem Smartphone und der Zugriffssicherung. Solange die Architektur es erlaubt, Sicherheitsbarrieren durch einfache Dateiänderungen zu umgehen, bleibt die App ein Sicherheitsrisiko für die Nutzerdaten. Ohne tiefgreifende Nachbesserungen bei der kryptografischen Verankerung der Nutzerdaten im Gerät ist ein sicherer Betrieb kaum vorstellbar.
Kommentare (0)