Zwei Minuten. So lange hielt die EU-Altersverifikations-App.

Ein Nachtrag zu unserem Artikel „Altersverifikation auf Betriebssystemebene" – und ein Lehrstück darüber, wem ihr eure Identität bald anvertrauen sollt.

Erinnert ihr euch noch an die grossen Worte? „Technisch ausgereift." „Höchste Datenschutzstandards der Welt." „Open Source, jeder kann den Code prüfen." Genau das hat Ursula von der Leyen am Mittwoch, dem 16. April 2026, über die frisch vorgestellte EU-App zur Altersverifikation verkündet. Einen Tag später war das Ding kaputt.

Der britische Sicherheitsberater Paul Moore hat sich den Code tatsächlich angeschaut – so, wie man das bei Open Source halt machen darf. Er hat zwei Minuten gebraucht. Zwei. Minuten.

Inhaltsverzeichnis Verbergen

Was die EU-Entwickler gebaut haben

Das sind die Leute, die über eure Identität entscheiden wollen

Das Muster ist immer dasselbe

Was ihr tun könnt

Was die EU-Entwickler gebaut haben

Damit ihr eine Vorstellung bekommt, über welches Qualitätsniveau wir hier reden:

Die PIN liegt verschlüsselt auf dem Gerät – aber die Verschlüsselung ist nicht an den Identitätsspeicher gekoppelt. Wer ein paar Werte in der Konfigurationsdatei löscht und die App neu startet, kann eine neue PIN vergeben und behält trotzdem Zugriff auf die vorher hinterlegten Identitätsdaten. Mit anderen Worten: Ein Minderjähriger erstellt einmal einen verifizierten Altersnachweis, ein Erwachsener übernimmt die PIN – fertig ist der Schwarzmarkt für „über 18"-Tokens.
Der Zähler für fehlgeschlagene PIN-Eingaben liegt als simpler Wert in derselben, editierbaren Konfigurationsdatei. Brute-Force-Schutz? Einfach den Zähler auf Null setzen. Wiederholen bis die PIN passt.
Die biometrische Authentifizierung lässt sich mit einem einzigen true → false komplett abschalten.
Secure Enclave auf iOS oder Trusted Execution Environment auf Android? Fehlanzeige. Die Hardware-Sicherheitsmodule, die seit Jahren in jedem Smartphone stecken und exakt für solche Aufgaben gebaut wurden, wurden nicht verwendet. Stattdessen: Klartext-Konfigurationsdatei. Ernsthaft.

Moores Kommentar dazu: Dieses Produkt wird irgendwann der Auslöser für eine massive Datenpanne sein. Es sei nur eine Frage der Zeit.

Das sind die Leute, die über eure Identität entscheiden wollen

Haltet euch das kurz vor Augen: Dieselbe EU, die euch erklärt, dass ihr euer Alter künftig digital nachweisen müsst, bevor ihr das Internet benutzen dürft – dieselbe EU, die mit der EUDI-Wallet den europaweiten Identitäts-Hub aufbaut, an den später Zahlungen, Führerschein, Krankenkasse und irgendwann wahrscheinlich euer Einkaufsverhalten angeflanscht werden – diese EU liefert als Referenz-Implementierung einen Prototyp, der an den grundlegendsten Konzepten der Mobile-App-Security scheitert.

Keine Hardware-Sicherheit. Editierbare Config-Files für sicherheitskritische Zustände. Brute-Force-Schutz, den man mit einem Texteditor aushebelt.

Das sind keine subtilen Fehler, die nur Spezialisten entdecken. Das ist das Niveau eines Security-Kurses aus dem ersten Semester. Und genau diese Leute wollen, dass ihr eurer Regierung, eurem Betriebssystem-Hersteller und einer Handvoll Grossunternehmen eure biometrischen Daten und eure Identität anvertraut. Jedes Mal, wenn ihr etwas online tun wollt.

Das Muster ist immer dasselbe

Zur Erinnerung: Discord wurde im September 2025 am Kundendienst gehackt – dabei gingen Scans von Ausweisen und Führerscheinen der Nutzer flöten. Genau das, was Altersverifikations-Gesetze jetzt noch flächendeckender einfordern. Im Februar 2026 haben 405 Sicherheitsforscher aus aller Welt einen offenen Brief unterschrieben, der exakt vor diesen Szenarien warnt. Gebracht hat es: nichts.

Jede Altersverifikation, jedes Identitätssystem, jede zentrale Datensammlung, die in den letzten Jahren eingeführt wurde, ist früher oder später gebrochen worden. Das ist keine Verschwörungstheorie, das ist Empirie. Und trotzdem bekommen wir jedes halbe Jahr ein neues System präsentiert, das dieses Mal ganz sicher sicher ist. Ehrlich. Versprochen.

Was ihr tun könnt

Jedes zusätzliche Verifikationssystem, das ihr ablehnt, ist ein Sieg. Jeder Dienst, den ihr durch eine selbstgehostete Alternative ersetzt, ist ein Datenpunkt weniger, den sie verlieren können. Jedes GrapheneOS statt Stock-Android, jedes Linux statt Windows, jeder Matrix-Server statt WhatsApp – das sind keine paranoiden Spielereien, das ist praktische Selbstverteidigung in einem Umfeld, in dem die Gegenseite nachweislich nicht weiss, was sie tut.

Die EU-Altersverifikations-App war zwei Minuten lang sicher. Zwei Minuten. Fragt euch, wie lange die EUDI-Wallet halten wird, wenn es ernst wird.

Wer freie Software, GrapheneOS-Geräte oder selbstgehostete Infrastruktur sucht: yourdevice.ch hilft weiter.

Quelle: Tarnkappe.info – EU-App zur Altersüberprüfung in zwei Minuten gehackt!

Was die EU-Entwickler gebaut haben

Das sind die Leute, die über eure Identität entscheiden wollen

Das Muster ist immer dasselbe

Was ihr tun könnt

Mit LUKS verschlüsselten Ordner erstellen

WG Tunnel, die Wireguard Android App Alternative

Browser Fingerprinting und Privatspähre - weniger Plugins sind besser!

Telegram ohne Google Push verwenden (Unified Push)

Online Sicherheit mit Bitwarden Passwortmanager optimieren

Twitter / X ohne Account nutzen

Schreibe einen Kommentar Antwort abbrechen

Stratum V2 – Warum das Bitcoin-Mining ein neues Protokoll braucht

Metadaten bei Messengern: Was Nachrichten über euch verraten

Synology Ordner auf Linux Rechner direkt einbinden

Nextcloud-Apps installieren und aktuell halten

Telegram, Signal oder Whatsapp über das Tor Netzwerk nutzen

Server über Tor erreichen mit SSH und Torsocks

NewPipe, die datenschutzfreundliche Youtube Alternative

Lust was zu verkaufen?

Was die EU-Entwickler gebaut haben

Das sind die Leute, die über eure Identität entscheiden wollen

Das Muster ist immer dasselbe

Was ihr tun könnt

Ähnliche Beiträge

Schreibe einen Kommentar Antwort abbrechen

Lust was zu verkaufen?