EU-App
Die EU-App wurde innerhalb von wenigen Minuten gehackt.
Bildquelle: ChatGPT

EU-App zur Altersüberprüfung in zwei Minuten gehackt!

von Lars Sobiraj Lesezeit: 6 Min.

Die erst gestern vorgestellte EU-App zur Altersüberprüfung konnte ein Sicherheitsforscher innerhalb von zwei Minuten hacken.

Inhalt

Die Europäische Union stellte am gestrigen Mittwoch eine neue App zur Altersüberprüfung vor. Damit können Nutzer ihr Alter online nachweisen, ohne persönliche Daten an Plattformen weitergeben zu müssen, wodurch Websites keine sensiblen Informationen mehr erfassen müssen. Doch die EU-App hat der Sicherheitsforscher Paul Moore schon gehackt, wie er bei X schrieb.

EU-App ist bei weitem nicht sicher genug

Moores Meldung kommt direkt nachdem Ursula von der Leyen die neue Altersüberprüfungs-App als „technisch ausgereift“ und im Einklang mit „den höchsten Datenschutzstandards“ gelobt hatte. Sie hatte ebenfalls deren Open-Source-Charakter als Zeichen der Transparenz hervorgehoben. Womöglich ist die Software etwas zu transparent, denn Sicherheitsexperten äußerten sich auf X (ehemals Twitter) kritisch zur Sicherheit der neuen ID-Anwendung. Der Sicherheitsberater Paul Moore beschrieb detailliert, was er als grundlegende Designfehler im Altersverifizierungssystem der EU bezeichnete. „Im Ernst, Frau von der Leyen – dieses Produkt wird irgendwann der Auslöser für einen massiven Datenverstoß sein. Es ist nur eine Frage der Zeit“, schrieb er. Die EU hatte bereits im Juli 2025 den ersten Prototypen ihrer geplanten EU-App vorgestellt.

Einfache Umgehung der Sicherheitsvorkehrungen

Laut Moore speichert die App eine verschlüsselte PIN lokal. Doch entscheidend sei, dass die Verschlüsselung nicht mit dem Identitätsspeicher des Nutzers verknüpft ist, der die sensiblen Verifizierungsdaten aufbewahren soll. Das öffnet die Tür für eine überraschend einfache Umgehung. Durch das Löschen bestimmter, mit der PIN verknüpfter Werte aus den Konfigurationsdateien und einem Neustart der EU-App kann ein Angreifer eine neue PIN festlegen und gleichzeitig weiterhin Zugriff die Anmeldedaten behalten, die man vorher erstellt hatte. Somit akzeptiert die App wiederverwendete Identitätsdaten eines Minderjährigen mit einer vom Hacker eingestellten Zugriffskontrolle. Das war so natürlich nicht gedacht.

Inhalte von Twitter erlauben?

Diese Seite enthält Inhalte, die von Twitter bereitgestellt werden. Wir bitten dich um deine Zustimmung, bevor wir die Inhalte laden, da sie Cookies und andere Technologien verwenden können. Du solltest die Datenschutzerklärung von Twitter und die Cookie-Richtlinie lesen, bevor du einwilligst.

Sicherheitsmechanismen kann man problemlos ausschalten

Moore wies zudem auf weitere Schwachstellen hin, die Brute-Force-Angriffe oder andere Umgehungsversuche noch einfacher gestalten. Die Anzahl der Versuche der PIN-Eingabe ist eigentlich begrenzt. Sie dient dazu, per Brute-Force-Attacke immer wieder die Eingabe zu wiederholen, bis man die richtige PIN eingegeben hat. Die Anzahl der Versuche speichert die EU-App als einfachen Zähler in der gleichen editierbaren Konfigurationsdatei. Setzt man die PIN-Eingabe auf Null zurück, vergisst das System immer wieder, wie oft der Hacker schon versucht hat, die richtige PIN einzugeben. Auch die biometrische Authentifizierung kann man leicht umgehen. Stellt man den entsprechenden Wert von „true“ auf „false“ um, dann überspringt die App die biometrischen Überprüfungen einfach komplett.

Mehrere Entwickler äußerten sich online und stellten das Design der Software in Frage. Sie schreiben, sensible Authentifizierungsdaten dürfen sie offen einsehbar sein, womit man sie auch verändern kann. Und warum nutzte man für die Verwaltung der sensiblen Daten nicht die Secure Enclave von iOS? Bei Android nennt sich dieser Sicherheitsbereich Trusted Execution Environment. Andere äußerten allgemeinere Bedenken hinsichtlich der Logik der App, darunter die Begrenzung der Anzahl der Altersüberprüfungen pro Nutzer. Doch das war noch nicht alles. Warum gibt es für den Altersnachweis ein Ablaufdatum, fragte jemand anderes. Wer einmal über 18 ist, wird es auch bleiben. Warum muss man sein Alter trotzdem immer wieder überprüfen lassen? So ausgereift wie angekündigt, scheint die EU-App trotz aller Bemühungen nicht zu sein.

Altersüberprüfungen sorgen anhaltend für Kritik

Immer mehr Länder weltweit gehen gegen Online-Gefahren für Kinder vor. EU-Gesetzgeber haben sich bereits für Altersbeschränkungen in sozialen Medien ausgesprochen und Verbote für Kinder unter 13 Jahren sowie die Einholung der elterlichen Zustimmung bis zum Alter von 16 Jahren vorgeschlagen. Doch die elterliche Zustimmung bei den meisten Video-Portalen oder sozialen Netzwerken zu umgehen, ist sehr einfach, was kein Zufall sein wird.

In Großbritannien hat man im Rahmen des „Online Safety Act“ einen entschlossenen Kurs eingeschlagen. Die Regierung verlangt von den Betreibern der Pornoseiten, zwingend vor dem Zugang zu den Inhalten eine Altersüberprüfung einzurichten. Natürlich ist es einfach, diese Vorgabe mit einem VPN* zu umgehen.

Großbritannien verhängte zudem eine Geldstrafe in Höhe von 20 Millionen Dollar gegen Reddit wegen Versäumnissen bei der Altersüberprüfung. In der letzten Märzwoche kündigte Reddit entsprechende Pläne an. Zudem zwang UK Apple schließlich dazu, einen gerätebasierten „Child by Default“-Modus einzuführen, der Millionen von iPhone-Nutzern den Zugriff einschränkt, sofern sie ihr Alter nicht bewiesen haben.

Australien war schließlich das erste Land, das soziale Medien für unter 16-Jährige gänzlich verbot, wobei Meta, TikTok und Snapchat sich daran hielten. Nach dem Verbot begannen Erwachsenen-Websites wie Pornhub und xHamster, nicht verifizierte australische Nutzer vollständig zu sperren. Doch auch diese Blockade kann man mit einem VPN* problemlos umgehen.

Kind, Minderjährige

Tech-Konzerne versuchen sich zu widersetzen

Die Altersüberprüfung stößt bei einigen Technologieunternehmen auf Widerstand. Sie argumentieren, dass die Durchsetzung von Altersbeschränkungen praktische Probleme und Datenschutzbedenken mit sich bringen kann.

Discord geriet ins Kreuzfeuer der Kritik, nachdem das Unternehmen „Teen-by-Default“-Einstellungen angekündigt hatte, die von allen Erwachsenen verlangen, ihr Alter mittels Gesichtserkennung oder eines amtlichen Ausweises zu bestätigen. Wer das nicht tut, kann die Software zwar weiterhin nutzen. Bestimmte Bereiche mit Inhalten für Erwachsene bleiben den ungeprüften Nutzern aber verwehrt. Sicherheitsexperten warnten, dass diese Maßnahme gefährlich sei. Man schaffe mit den vielen Daten einen zentralen „Identitäts-Honeypot„. Sollte jemand Discord hacken, könnte man die biometrischen Daten von Millionen Nutzern kopieren. Das zwang die Betreiber dazu, die weltweite Einführung zumindest zu verschieben. Die Befürchtungen sind nicht unbegründet, den Kundendienst von Discord hat man ja bereits im September des Vorjahres gehackt.

Altersüberprüfung mit weitreichenden Folgen

In einem offenen Brief warnten im Februar diesen Jahres 405 Sicherheitsforscher aus aller Welt vor den geplanten Gesetzesvorhaben. Die Gesetze würden den Datenschutz einschränken und die Überwachungsrisiken erhöhen.

Untersuchungen aus November 2025 ergaben zudem, dass Gesetze zur Altersüberprüfung Millionen von Nutzern dazu veranlassen werden, auf unsichere weil kostenlose VPN-Dienste auszuweichen. So mancher Anbieter verdient sein Geld mit dem Verkauf der Nutzungsdaten. In dem Fall bezahlen die Anwender den VPN-Zugang statt mit Geld mit ihren Nutzungsdaten. Das steht aber nirgendwo online bei den kostenlosen VPN-Providern. Das wird wahrscheinlich auch nur den wenigsten Nutzern bewusst sein.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

5 Kommentare lesen
Mehr zu dem Thema
Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.