EU-Altersverifikations-App: Persönliche Dokumente in Minuten hackbar

Kaum hat Ursula von der Leyen ihre neueste digitale Errungenschaft stolz der Öffentlichkeit präsentiert, da zerbröselt die Fassade bereits wie ein Sandkuchen im Herbstregen. Die EU-App zur Altersverifikation, die künftig europaweit zum Einsatz kommen soll, weist offenbar gravierende Sicherheitslücken auf. Ein britischer Sicherheitsberater demonstrierte, wie sich die App innerhalb weniger Minuten knacken lässt – und damit persönliche Ausweisdokumente der Nutzer frei zugänglich werden.

Von der Leyen präsentiert – Hacker demontiert

Am Mittwoch verkündete die EU-Kommissionspräsidentin noch voller Zuversicht, die App sei technisch fertiggestellt und bereit für den europaweiten Einsatz. Nur einen Tag später veröffentlichte der britische IT-Sicherheitsexperte Paul Moore ein Video, das die vermeintliche Errungenschaft als digitales Kartenhaus entlarvte. Der Quellcode der Anwendung ist öffentlich einsehbar – und genau das wurde ihr zum Verhängnis.

Das Konzept der App klingt zunächst simpel: Nutzer sollen ihren Personalausweis oder Reisepass in der Anwendung hinterlegen, woraufhin automatisch berechnet wird, ob die betreffende Person volljährig ist. Persönliche Daten würden angeblich nicht weitergegeben, versicherte von der Leyen. Doch was nützt dieses Versprechen, wenn ein Angreifer die gespeicherten Dokumente ohnehin direkt vom Gerät abgreifen kann?

Die Schwachstelle: Erschreckend banal

Moore beschrieb sein Vorgehen mit einer Nüchternheit, die das ganze Ausmaß des Versagens erst recht deutlich macht. Die App wird eigentlich durch eine PIN geschützt. Diese PIN wird verschlüsselt in einem Ordner namens „shared_prefs" gespeichert. Wer sich unbefugt Zugang verschaffen möchte, muss lediglich die PIN-Datei aus diesem Ordner löschen, die App neu starten – und erhält vollständigen Zugriff auf das hinterlegte Ausweisdokument. Kein ausgefeilter Hackerangriff, keine komplexen Algorithmen. Einfach löschen und neu starten. So simpel, so erschreckend.

Fairerweise muss erwähnt werden, dass es sich bei der getesteten Version um die sogenannte „White-Label-Version" handelt – eine Grundversion, die vor der offiziellen Veröffentlichung noch angepasst werden soll. Diese ist öffentlich auf der Webseite ageverification.dev abrufbar. Ob die finale Version diesen Sicherheitsfehler behoben haben wird, bleibt indes völlig unklar.

Telegram-Gründer Durov wittert Kalkül

Besonders brisant ist die Einschätzung von Pavel Durov, dem Gründer der Messenger-Plattform Telegram. Er äußerte auf X eine Vermutung, die man durchaus als beunruhigend bezeichnen darf: Die EU präsentiere möglicherweise bewusst eine „datenschutzfreundliche", aber leicht hackbare Version der App. Das Kalkül dahinter? Wenn diese Version scheitere, könne man anschließend eine neue Variante rechtfertigen, die den Datenschutz weitgehend über Bord wirft – unter dem Vorwand, nur so die Sicherheit der Nutzer gewährleisten zu können.

Sollte diese Vermutung zutreffen, wäre dies ein perfides Manöver: Erst das Scheitern inszenieren, dann die totale Überwachung als alternativlose Lösung verkaufen. Ein Muster, das man aus Brüssel leider nur allzu gut kennt.

Grundsätzliche Konstruktionsfehler

Moores Fazit fällt vernichtend aus: So, wie die öffentlich verfügbare Grundversion der App konzipiert sei, könne es keinen ausreichenden Schutz geben, wenn gleichzeitig eine dezentrale und die Anonymität wahrende Lösung angestrebt werde. Mit anderen Worten: Die EU versucht, einen Spagat zu vollführen, der technisch schlicht nicht funktioniert. Entweder Datenschutz oder Sicherheit – beides zusammen scheint mit diesem Ansatz nicht realisierbar.

Hinzu kommt ein weiteres fundamentales Problem, das die App nicht lösen kann: Sie unterscheidet nicht, ob die Person, die sich als volljährig verifizieren lässt, tatsächlich der Besitzer des Handys ist. Jeder, der das Gerät in die Hände bekommt, kann die Altersverifikation nutzen. Ein Jugendlicher, der das Smartphone eines Erwachsenen verwendet, passiert die Kontrolle mühelos.

Digitale Ausweispflicht durch die Hintertür?

Man muss kein Verschwörungstheoretiker sein, um hier ein Muster zu erkennen. Jede Sicherheitsbehörde in Europa warnt seit Jahren davor, Ausweisdokumente digital zu speichern oder gar im Internet hochzuladen – die Missbrauchsgefahr sei schlicht zu groß. Und nun verlangt ausgerechnet die EU-Kommission von ihren Bürgern genau das? Wer sein Handy verliert oder bestohlen wird, liefert seine sensibelsten Identitätsdokumente gleich mit.

Die Frage, die sich jeder mündige Bürger stellen sollte, lautet: Wem dient diese App wirklich? Dem Schutz von Minderjährigen, wie offiziell behauptet? Oder ist sie vielmehr ein weiterer Baustein auf dem Weg zur lückenlosen digitalen Identifizierung – und damit Überwachung – aller EU-Bürger? Die Erfahrungen der vergangenen Jahre, von der Corona-Warn-App bis zum digitalen Impfpass, lassen wenig Raum für Optimismus.

Es ist bezeichnend, dass ausgerechnet jene Kommissionspräsidentin, deren SMS-Kommunikation mit dem Pfizer-Chef bis heute im Dunkeln liegt, nun von ihren Bürgern verlangt, ihre persönlichsten Dokumente einer App anzuvertrauen, die offenbar nicht einmal grundlegende Sicherheitsstandards erfüllt. Transparenz für den Bürger, Intransparenz für die Mächtigen – so funktioniert die EU im Jahr 2026.

Für all jene, die ihr Vermögen ebenso wenig leichtfertig digitalen Systemen anvertrauen möchten wie ihre Ausweisdokumente, bleibt der Griff zu physischen Edelmetallen eine zeitlose Alternative. Gold und Silber kennen keine Sicherheitslücken, keine Hacker und keine Hintertüren – sie sind greifbar, anonym und seit Jahrtausenden bewährt als Instrument der Vermögenssicherung in unsicheren Zeiten.