Frühe Analyse deckt technische Probleme auf
EU-Altersprüfung per App: Offener Ansatz bringt Schwachstellen ans Licht
Die EU-Kommission hat Ende letzter Woche ihre neue Anwendung zur Altersprüfung vorgestellt. Diese soll Nutzern den Nachweis ihres Alters zu ermöglichen, ohne persönliche Daten preiszugeben. Wie bereits berichtet, soll die Lösung perspektivisch in die geplanten europäischen Digital-Wallets integriert werden.
Kurz nach der Veröffentlichung wurde die öffentlich zugängliche Version von Sicherheitsexperten untersucht. Dabei zeigten sich mehrere Schwachstellen. Schutzmechanismen lassen sich demnach vergleichsweise einfach umgehen. PIN-Codes sind nur eingeschränkt abgesichert und Begrenzungen für Eingabeversuche können durch Änderungen an lokalen Dateien zurückgesetzt werden. Auch biometrische Sicherungen lassen sich deaktivieren.
Hinzu kommt ein praktisches Problem bei der Nutzung. Ist das Alter einmal bestätigt, kann die Anwendung offenbar auch von anderen Personen auf demselben Gerät verwendet werden. Eine eindeutige Bindung an eine einzelne Person ist damit derzeit nicht gewährleistet.
Open Source sorgt für schnelle Rückmeldungen
Dass diese Punkte so früh bekannt wurden, hängt auch mit dem offenen Entwicklungsansatz zusammen. Die App wird als quelloffene Software bereitgestellt. Dadurch können externe Fachleute den Code prüfen und Schwachstellen schnell identifizieren. Erste Analysen zeigen jedoch, dass die aktuelle Umsetzung noch nicht alle üblichen Sicherheitsanforderungen erfüllt.
Auch beim Datenschutz gibt es Diskussionsbedarf. Zwar soll nur ein Altersmerkmal übermittelt werden. Fachleute weisen jedoch darauf hin, dass die Nutzung über Pseudonyme erfolgt. Dadurch könnten Aktivitäten über längere Zeiträume hinweg zusammengeführt werden.
Für zusätzliche Aufmerksamkeit sorgte ein Werbevideo zur Anwendung. Darin ist ein biometrischer Abgleich zwischen Gesicht und Ausweisdokument zu sehen. Dieses Verfahren steht im Spannungsfeld zu früheren Aussagen der EU, an die das Fachportal heise.de erinnert.
Die Kommission betont, dass es sich bei den aktuell untersuchten Versionen noch um Vorabstände handelt. Die endgültige Anwendung für Bürger soll erst zu einem späteren Zeitpunkt bereitgestellt werden und wird bis dahin weiter angepasst.
Der offene Ansatz könnte sich dabei als Vorteil erweisen. Schwachstellen werden früh sichtbar und können vor einem breiten Einsatz behoben werden. Gleichzeitig bleibt die Altersprüfung eng mit der geplanten EUDI-Wallet verknüpft, die bis Ende 2026 verschiedene digitale Nachweise bündeln soll.
Ich verstehe den Sinn dieser extra EU-App nicht so ganz.
Ist das jetzt nur eine Machbarkeitsstudie? Ein Service für kleine EU-Länder die Schwierigkeiten mit der Entwicklung ihrer EU-Wallet haben?
Oder soll das am Schluss zusätzlich für alle ne App werden die dann auch nicht mehr kann als die nationale EU-Wallet?
Jedes Land muss seine eigene App entwickeln um die zentrale Wallet zu nutzen. Ganz einfach gesagt ist die EU Wallet ein Server und jeder braucht noch seinen Client. Da jedes Land noch eigene Gesetze mitbringt können die Anforderungen unterschiedlich sein. Daher, viele eigene Apps die mit dem Server zusammen arbeiten.
Und ja, da könnten bestimmt so einige zusammenarbeiten und die gleiche App nutzen.
Bei den genannten Problemen Zweifel ich bei zwei Punkten an der Relevanz:
1. Andere User des Systems: Die Sicherheit des verifizierten Programmes was Nutzung durch Dritte betrifft kann die EU Wallet nicht leisten. Es ist ein eigenes Programm. Ist ja nicht so als würde die Wallet es starten. Die Wallet hat den Nutzenden nur als Berechtigt ausgewiesen. Das Muss die App schon selbst leisten.
2 Das Pseudonym: Wie ich Testsysteme kenne, konnten sich die Forscher nur als ein Drittsystem ausgeben. (Das ist eine Hypothese! Darauf basiert mein Beitrag.) In dem Fall lässt sich nicht feststellen ob das Pseudonym ein Problem ist. Ich habe an Software gearbeitet, bei dem jedes Nutzende System ein eigenes Pseudonym bekommen hat. Da lässt sich nichts tracken.
Die PIN Sicherheit ist allerdings lächerlich. Da hoffe ich mal, das die Kollegen einfach noch nicht fertig waren. Sind ja noch ein paar Monate und das ganze EU Wallet Thema dürfte aufgrund des Haushaltstops (Ende letzte/Anfang diese Regierung) vor kurzem ganz schön kurzfristig in die Entwicklung gegangen sein.
Das Thema geht mir ungemein auf den S….!
+1
Bei jeder Webseite extra Authentifizieren.
Wird ja nochmal das gleiche wie die Cookie Banner.
Totaler Blödsinn.
Am Ende haben wir ein ähnlich nutzloses System, wie diese Cookie Zustimmung, die sich niemand durchliest und jeden nervt.
Hauptsache das Internet für alle komplizierter machen, weil man ja unbedingt social Media für Kinder sperren muss.