Rollout bis Jahresende vorgesehen
EU-Altersnachweis: Experten kritisieren Google-Technik
Die geplante Altersprüfungs-App der Europäischen Union sorgt weiter für Diskussionen. Nachdem die EU-Kommission erst vor wenigen Tagen auf einen schnellen Rollout bis Ende des Jahres gedrängt hatte, rückt nun die technische Grundlage der Anwendung in den Mittelpunkt.
So sieht die iOS-Altersprüfung in Großbritannien aus
Nach Recherchen von netzpolitik.org nutzt die EU-Kommission für ihre geplante Altersprüfungs-App ein Verfahren, das maßgeblich von Google-Entwicklern geprägt wurde.
Die Anwendung soll künftig dabei helfen, Altersgrenzen im Netz zu überprüfen, etwa bei Glücksspielangeboten oder Inhalten für Erwachsene. Nutzer sollen dabei lediglich bestätigen, dass sie ein bestimmtes Mindestalter erreicht haben. Persönliche Daten wie das genaue Geburtsdatum sollen nicht übertragen werden. Die Altersprüfung gilt zugleich als Vorläufer der geplanten europäischen EUDI-Wallet, die digitale Nachweise und Ausweisdokumente bündeln soll.
Altersnachweis ohne Preisgabe persönlicher Daten
Technisch setzt die EU auf sogenannte Null-Wissen-Beweise. Diese ermöglichen es, bestimmte Eigenschaften nachzuweisen, ohne die zugrunde liegenden Informationen offenzulegen. Vereinfacht gesagt bestätigt die Anwendung lediglich, dass ein Nutzer alt genug ist. Weitere Angaben bleiben verborgen.
Damit dieses Verfahren funktioniert, müssen vertrauenswürdige Stellen digitale Altersnachweise ausstellen. Denkbar sind hier Behörden, Banken oder Mobilfunkanbieter. Die eigentliche Herausforderung besteht anschließend darin, dass sich einzelne Altersnachweise nicht dauerhaft einer bestimmten Person zuordnen lassen.
Hierfür kommen sogenannte anonyme Zugangsnachweise zum Einsatz. Bei jeder Nutzung werden neue digitale Belege erzeugt. Plattformen sollen dadurch nicht erkennen können, ob mehrere Altersnachweise von derselben Person stammen.
Experten warnen vor Abhängigkeiten
Kritik gibt es nun vor allem an der technischen Grundlage der geplanten Altersprüfung. Die EU-Kommission setzt auf ein Verfahren, das zwar mit bestehenden Systemen kompatibel ist, laut Fachleuten aber deutlich aufwendiger ausfällt als andere verfügbare Lösungen. Kritiker befürchten dadurch langfristige Probleme bei Wartung, Sicherheit und Weiterentwicklung.
Mehrere Sicherheitsexperten halten alternative Verfahren für sinnvoller, weil diese bereits länger erforscht und einfacher aufgebaut seien. Besonders kritisch sehen Fachleute zudem, dass zentrale Teile der Technik von Google-Entwicklern mitgestaltet wurden. Zwar ist der Quellcode öffentlich zugänglich, dennoch warnen Experten davor, dass Änderungen praktisch nur von wenigen Spezialisten umgesetzt werden könnten.
Die EU-Kommission weist die Kritik zurück und verweist auf Sicherheitsprüfungen sowie laufende Standardisierungsverfahren. Ob die Technik später auch in der geplanten europäischen EUDI-Wallet eingesetzt wird, ist bislang noch offen.
Mich würde ja interessieren, warum nur „wenige Spezialisten“ Anpassungen an diesem Code vornehmen können sollen? Die FOSS-Community ist für einige der bedeutendsten und meistverbreiteten Softwarekomponenten der Welt verantwortlich.
Weil der verwendete Verschlüsselungs-Algo namens Elliptic Curve Digital Signature Algorithm auf mehr als 20.000 Zeilen Code basiert und nur von Mathe- bzw. Krypto-Spezialisten wirklich durchschaut werden kann.
Ehrlich gesagt, irgendeiner kritisiert immer irgendetwas. Man wird es sowieso niemals komplett überblicken.
Gibt es doch schon! Ich klicke immer auf 18 oder älter!
Frederik! Wo treibst du dich denn herum?
Ich sehe vor allem ein großes Problem in der größer werdenden Abhängigkeit der großen zentralen Anbieter. Angenommen Apple oder Google übernehmen die Verifizierung meines Ausweises und lassen sich anschließend zum anonymen Nachweis des Alters im Netz nutzen. Wenn einem der Account doch mal abgeschaltet wird, steht man als Nutzer vor verschlossenen Türen und hat keinen Zugriff mehr auf sämtliche Angebote, welche einen Nachweis fordern.
Da ist aber Google per Se nicht im Spiel. Bzw. ist das nicht notwendigerweise so. Google hat nur vorrangig am Algorithmus bzw. der Methode mitentwickelt
Eine App mit Gesichtserkennung auf dem Handy kann das jeweilige Alter des jeweiligen Nutzers doch identifizieren, ohne irgendwelche Daten irgendwohin zu senden. Und dann wird das entsprechende Handy für die aktuelle Anwendung für den aktuellen Nutzer freigegeben.
Wo ist das Problem?
Wie soll denn der Gesichtsscan z.b. mit dem iPhone erkennen, ob die Person nun 17 oder 18 Jahre alt ist. Da gibt es keine Anhaltspunkte, dass das auch nur ansatzweise klappen könnte.
Face-ID erkennt eine Person, nicht das Alter.
Eine Gesichtserkennung kann sicher auch das Alter erkennen. Möglicherweise müssen das lernen, wie andere KI auch.
Mit Gesichtserkennung in China ist es laut Ranga Yogeshwar möglich, sogar die sexuelle und andere Präferenzen zu 99% sicher zu erkennen. Warum sollten solche Programme am
Alter scheitern?
@karl Heinz
Am Gesicht kann man natürlich unterscheiden, ob jemand 15 oder 35 Jahre alt ist. Aber zu erkennen, ob jemand 17 oder 18 ist, dürfte unmöglich sein. Da kann die KI noch so gut sein (was sie nicht ist), das schafft sie definitiv nicht.
Eine Freundin von mir wurde von einem Vertreter mal gefragt, ob ihre Mutti zu Hause wäre – war sie leider nicht, aber ihre Tochter! ;-)
Ich sehe schon Millionen Menschen, die dann Probleme haben werden, sich bei den einfachsten Dingen anzumelden.
Hauptsache irgendetwas regulieren, schließlich gibt es genügend Leute, die sind immer mehr Bevormundung wünschen.
Wieso solltest du dich bei den „einfachsten“ Dingen mit Alter ausweisen müssen und dann keinen Zugang mehr erhalten?
Wenn du Pornos gucken willst, dann musst du halt nachweisen, dass du über 18 bist, wenn du die Sendung mit der Maus gucken willst, wird sicherlich niemand nach deinem Alter fragen. Ist doch nicht so kompliziert…
Es geht hier auch um Social Media. Youtube ist social media, selbst private Blogs fallen unter social media. Die Sendung mit der Maus ohne Altersnachweis in der WDR Bibliothek schauen? Möglich. Die Sendung auf Youtube schauen, wenn hier nicht doch irgendwann Ausnahmen folgen: Nein.
@ Pazuzu: Ja. Und? Dann meldet man sich für die Sendung mit der Maus eben auch an. Das ist aber auch kein Problem.
Wenn man volljährig ist. Als Minderjähriger umgeht man die Alterssperre um seine Folge Sendung mit der Maus zu schauen. (Wie gesagt, noch fehlen hier genaue Definitionen bzw. Einschränkungen dieses Social Media Verbots. Stattdessen wird von einem generellem Social Media Verbot für Minderjährige gesprochen. Die Entscheidungen werden halt von technischen Laien getroffen. Die jetzt darüber nachdenken VPN Nutzung einzuschränken. Das kann dann Unternehmen, Universitäten, Selbstständige, Journalisten etc. treffen bzw. faktisch lahmlegen. Aber bleiben wir realistisch: Jugendliche hält das sowieso nicht von der Nutzung der Dienste ab.)
Hauptsache es kommt was. Und zwar so schnell wie möglich. Und vor allem zuverlässig funktionierend.
Wer mehr wissen möchte, der sollte sich die englische Wikipedia-Seite zu „Elliptic Curve Digital Signature Algorithm“ ansehen. Die Bedenken finden sich am Ende der Seite (nur auf der englischen Seiten, nicht auf der deutschen Seite):
1. Politische Bedenken: Die Vertrauenswürdigkeit der vom NIST erstellten Kurven wird in Frage gestellt, nachdem bekannt wurde, dass die NSA bewusst Hintertüren in Software, Hardwarekomponenten und veröffentlichte Standards einbaut; namhafte Kryptografen haben Zweifel an der Art und Weise geäußert, wie die NIST-Kurven entworfen wurden, und bereits in der Vergangenheit wurde nachgewiesen, dass es zu einer absichtlichen Verfälschung gekommen ist.
2. Technische Bedenken: die Schwierigkeit, den Standard ordnungsgemäß umzusetzen, seine Langsamkeit sowie Konstruktionsmängel, die bei unzureichend abgesicherten Implementierungen die Sicherheit beeinträchtigen.
Die grössten Lumpen sind Verbrecher in staatlichem Auftrag. Das ist ja nichts Neues.
Da obsiegen die Interessen gegenüber den Menschenrechten.
Das hat Egon Bahr schon vor 50 Jahren öffentlich kundgetan.
Wieso nutzt man nicht einfach die Ausweis-App? Die ist doch dafür da und man könnte das problemlos so machen, dass sonst keine Daten übertragen werden, außer das Alter.