Frühe Analyse deckt technische Probleme auf
EU-Altersprüfung per App: Offener Ansatz bringt Schwachstellen ans Licht
Die EU-Kommission hat Ende letzter Woche ihre neue Anwendung zur Altersprüfung vorgestellt. Diese soll Nutzern den Nachweis ihres Alters zu ermöglichen, ohne persönliche Daten preiszugeben. Wie bereits berichtet, soll die Lösung perspektivisch in die geplanten europäischen Digital-Wallets integriert werden.
Kurz nach der Veröffentlichung wurde die öffentlich zugängliche Version von Sicherheitsexperten untersucht. Dabei zeigten sich mehrere Schwachstellen. Schutzmechanismen lassen sich demnach vergleichsweise einfach umgehen. PIN-Codes sind nur eingeschränkt abgesichert und Begrenzungen für Eingabeversuche können durch Änderungen an lokalen Dateien zurückgesetzt werden. Auch biometrische Sicherungen lassen sich deaktivieren.
Hinzu kommt ein praktisches Problem bei der Nutzung. Ist das Alter einmal bestätigt, kann die Anwendung offenbar auch von anderen Personen auf demselben Gerät verwendet werden. Eine eindeutige Bindung an eine einzelne Person ist damit derzeit nicht gewährleistet.
Open Source sorgt für schnelle Rückmeldungen
Dass diese Punkte so früh bekannt wurden, hängt auch mit dem offenen Entwicklungsansatz zusammen. Die App wird als quelloffene Software bereitgestellt. Dadurch können externe Fachleute den Code prüfen und Schwachstellen schnell identifizieren. Erste Analysen zeigen jedoch, dass die aktuelle Umsetzung noch nicht alle üblichen Sicherheitsanforderungen erfüllt.
Auch beim Datenschutz gibt es Diskussionsbedarf. Zwar soll nur ein Altersmerkmal übermittelt werden. Fachleute weisen jedoch darauf hin, dass die Nutzung über Pseudonyme erfolgt. Dadurch könnten Aktivitäten über längere Zeiträume hinweg zusammengeführt werden.
Für zusätzliche Aufmerksamkeit sorgte ein Werbevideo zur Anwendung. Darin ist ein biometrischer Abgleich zwischen Gesicht und Ausweisdokument zu sehen. Dieses Verfahren steht im Spannungsfeld zu früheren Aussagen der EU, an die das Fachportal heise.de erinnert.
Die Kommission betont, dass es sich bei den aktuell untersuchten Versionen noch um Vorabstände handelt. Die endgültige Anwendung für Bürger soll erst zu einem späteren Zeitpunkt bereitgestellt werden und wird bis dahin weiter angepasst.
Der offene Ansatz könnte sich dabei als Vorteil erweisen. Schwachstellen werden früh sichtbar und können vor einem breiten Einsatz behoben werden. Gleichzeitig bleibt die Altersprüfung eng mit der geplanten EUDI-Wallet verknüpft, die bis Ende 2026 verschiedene digitale Nachweise bündeln soll.
Ich verstehe den Sinn dieser extra EU-App nicht so ganz.
Ist das jetzt nur eine Machbarkeitsstudie? Ein Service für kleine EU-Länder die Schwierigkeiten mit der Entwicklung ihrer EU-Wallet haben?
Oder soll das am Schluss zusätzlich für alle ne App werden die dann auch nicht mehr kann als die nationale EU-Wallet?
Jedes Land muss seine eigene App entwickeln um die zentrale Wallet zu nutzen. Ganz einfach gesagt ist die EU Wallet ein Server und jeder braucht noch seinen Client. Da jedes Land noch eigene Gesetze mitbringt können die Anforderungen unterschiedlich sein. Daher, viele eigene Apps die mit dem Server zusammen arbeiten.
Und ja, da könnten bestimmt so einige zusammenarbeiten und die gleiche App nutzen.
Und für was ist jetzt diese extra App der EU-Kommission?
„Wie bereits berichtet, soll die Lösung perspektivisch in die geplanten europäischen Digital-Wallets integriert werden.“
Ist also eine Vorversion bzw. ein Teil der EU Wallet das vorab getrennt released wird
Bei den genannten Problemen Zweifel ich bei zwei Punkten an der Relevanz:
1. Andere User des Systems: Die Sicherheit des verifizierten Programmes was Nutzung durch Dritte betrifft kann die EU Wallet nicht leisten. Es ist ein eigenes Programm. Ist ja nicht so als würde die Wallet es starten. Die Wallet hat den Nutzenden nur als Berechtigt ausgewiesen. Das Muss die App schon selbst leisten.
2 Das Pseudonym: Wie ich Testsysteme kenne, konnten sich die Forscher nur als ein Drittsystem ausgeben. (Das ist eine Hypothese! Darauf basiert mein Beitrag.) In dem Fall lässt sich nicht feststellen ob das Pseudonym ein Problem ist. Ich habe an Software gearbeitet, bei dem jedes Nutzende System ein eigenes Pseudonym bekommen hat. Da lässt sich nichts tracken.
Die PIN Sicherheit ist allerdings lächerlich. Da hoffe ich mal, das die Kollegen einfach noch nicht fertig waren. Sind ja noch ein paar Monate und das ganze EU Wallet Thema dürfte aufgrund des Haushaltstops (Ende letzte/Anfang diese Regierung) vor kurzem ganz schön kurzfristig in die Entwicklung gegangen sein.
Das Thema geht mir ungemein auf den S….!
+1
Bei jeder Webseite extra Authentifizieren.
Wird ja nochmal das gleiche wie die Cookie Banner.
Außer auf jugendfreien Seiten FSK0 :D
Totaler Blödsinn.
Am Ende haben wir ein ähnlich nutzloses System, wie diese Cookie Zustimmung, die sich niemand durchliest und jeden nervt.
Hauptsache das Internet für alle komplizierter machen, weil man ja unbedingt social Media für Kinder sperren muss.
Das sehe ich auch so, wir täten gut daran, auf Kinder schlichtweg besser aufzupassen, aber nicht immer alles verbieten und sperren
+1
Oder auf Kinder ganz verzichten, erspart jede Menge Unannehmlichkeiten (Ironie off)
Auch wenn es mich nervt wäre es halb so schlimm, wenn sich die Seiten meine Entscheidung merken wurde. (Wenn ich es ihnen erlaube.)
So muss ich jede Seite immer wieder bestätigen. Einmal pro würde echt reichen.
Ich hatte so eine Anfrage bisher nur einmal bei Claude – Apple hat dann die Altersklasse bestätigt.
Nett von Apple
Die EU sollte sich aus den Angelegenheiten der Bürger raushalten. Es ist doch nur logisch, dass es immer mehr Verdruss gegen die EU gibt wenn sie uns Bürger immer weiter gängelt. Das was wichtig ist wird nicht gemacht, das was sinnlos ist wird gemacht. Weniger statt mehr Bürokratie wär mal was.
Ich sehe da eher EU-Bürger wie dich als Problem. Klar ist die EU nicht perfekt aber wer ist das schon? Sind wir besser froh, dass wir in der EU leben und nicht anderswo
Für wenn ist die EU denn da wenn nicht letztlich für die EU Bürger!
Wenn es den Regierenden nur noch um die Regierenden gehen würde. Dann hätte ich ein Problem mit der ganzen Sache!
@googmann ich lebe gerne in Europa aber nicht unter diesem EU Bürokraten Apparat der uns normalen Bürgern das Leben, teilweise aus ideologischen Gründen, schwer macht. Darf man in einer Demokratie noch sagen oder?
@Traval leider ist die EU für mich als Bürger nicht da. Kann man an wenig bis gar nichts erinnern was gutes von dem Bürokraten Apparat EU kam für uns Bürger. Wenn du dir anschaust wie das Bürokratensystem funktioniert wirst du schnell merken dass da Vorschriften gemacht werden um den Vorschriften willen. Ich sage nur Thema Gurken.
@PhUset total am Thema vorbei. In einer Demokratie sollten wir sachlich über Politik diskutieren können oder?
Das Thema mit den Gurken ist nachweislich Unsinn.
Hier mal
Eine Aufstellung an Gesetzen die dich schützen wenn du auf ein Bier in deine doefkneope gehst (ja, KI generiert, aber deswegen nicht unwahr):
Recht auf Freizügigkeit und freien Personenverkehr innerhalb der EU (Art. 21 AEUV, Art. 45 GRC): Du darfst dich frei von deinem Zuhause zum Wirtshaus bewegen, ohne ungerechtfertigte Einschränkungen
Recht auf Gleichbehandlung und Nichtdiskriminierung, z.B. wegen Nationalität, Geschlecht, Religion oder Weltanschauung (Art. 18 AEUV, Art. 21 GRC): Niemand darf dir den Zutritt zum Wirtshaus oder die Bedienung verweigern, solange du dich an die Gesetze hältst
Recht auf Achtung der Menschenwürde (Art. 1 GRC): Deine Würde wird auf dem gesamten Weg und während des Aufenthalts im Wirtshaus geschützt
Recht auf persönliche Freiheit und Sicherheit (Art. 6 GRC): Du bist vor willkürlicher Festnahme oder Freiheitsentziehung geschützt, solange du dich rechtmäßig verhältst
Recht auf Achtung des Privat- und Familienlebens (Art. 7 GRC): Deine Privatsphäre wird auch beim Restaurantbesuch gewahrt, z.B. beim Bezahlen oder bei Gesprächen
Recht auf Schutz personenbezogener Daten (Art. 8 GRC): Deine persönlichen Daten (z.B. bei Reservierungen oder beim Bezahlen) dürfen nur nach EU-Datenschutzregeln verarbeitet werden
Recht auf unternehmerische Freiheit und Vertragsfreiheit (Art. 16 GRC): Das Wirtshaus darf dir im Rahmen der Gesetze Speisen und Getränke anbieten, du darfst diese konsumieren
Recht auf Zugang zu Waren und Dienstleistungen (Verbraucherschutz, Art. 38 GRC): Du hast Anspruch auf faire Behandlung und transparente Informationen beim Kauf von Bier und Mittagessen
Recht auf Gesundheitsschutz (Art. 35 GRC): Die angebotenen Speisen und Getränke müssen gesundheitlich unbedenklich sein und den EU-Standards entsprechen
Recht auf wirksamen Rechtsschutz (Art. 47 GRC): Bei Verletzung deiner Rechte (z.B. Diskriminierung, fehlerhafte Abrechnung) kannst du dich an Gerichte oder Behörden wenden
Recht auf Versammlungsfreiheit (Art. 12 GRC): Du darfst dich mit anderen im Wirtshaus treffen, solange keine gesetzlichen Einschränkungen bestehen
Dann zieh in die USA und leide dort im Land der Freiheit.
Und wieder einmal wird bestätigt, dass Open Source ideal ist, um Sicherheitsforschern ihre Arbeit zu ermöglichen.
Deshalb verliere ich mehr und mehr Vertrauen in Apple.
Bevor du dein Vertrauen an Apple verlierst solltest du mal dein Vertrauen nach Brüssel überdenken ;-). Big Brother is watching you!
Die demokratisch (!) gewählte EU-Regierung ist vertrauenswürdiger als Apple.
@Dertu also ich habe VdL nicht wählen dürfen. Auch die EU-Kommission kann man nicht wählen. Wir bekommen von Menschen die im Hinterzimmer auserkoren werden Vorschriften gemacht welche unser Leben beeinflussen. Das ist wenig demokratisch und schon lange kritisiert. Ändern tut sich, zum Wohle der Demokratie, leider bis jetzt nichts.
Lese es dir das einfach nochmal durch…
Ok, vielleicht bin ich nur Verschwörungstheoretiker, aber wenn ich die EU höre, wie ihr das anonyme im web schon lange ein Dorn im Auge ist, dann mache ich mir schon Gedanken.
Folgendes Szenario:
1. bringe eine App raus, wo man sein Perso hinterlegen muss
2. mache ein Gesetz, das Social Media etc. nur noch mit Altersverifikation zu nutzen ist (Schutz der Kinder bla bla)
3. mache es verpflichtend, dass alle Social Media Plattformen die App aus Schritt 1 nutzen müssen zur Verifikation.
Und schon ist es geschafft, man hat durch die Hintertür und unter dem Deckmantel des Kinderschutzes eine direkte Verbindung zwischen jeden Account im Netz und einer echten Identität geschaffen und damit ein Ende der Redefreiheit
Alles bis zum sechsten Wort ist richtig.
Danach wirds leider schwurbelig.
Oh weia
Das ist leider keine Verschwörungstheorie, sondern sehr akkurat. Es ist die reine Technische Konsequenz.
Was hat das mit Einschränkung der Redefreiheit zu tun?
Wenn du Beleidigungen, Drohungen, Aufruf zu illegalen Handlungen usw. meinst, dann ist das richtig so.
@PhUset einen Kanzler, welcher offensichtlich gelogen hat, Pinocchio zu nennen ist keine Beleidigung und dürfte in einer Demokratie keine Ermittlungen nach sich ziehen. Wer in der Demokratie schläft, wacht in der Diktatur auf. Das sollten wir uns immer vor Augen halten. Stell dir mal vor die EU führt für alle Länder Europas sowas ein und es kommt wirklich eine faschistische Partei an die Macht. Was könnte die mit so einem Instrument anstellen?
Offen = geht nicht, warum? Weil es nicht geht, verriegelt und verrammelt muss sowas sein, wie ein Kerker oder Schlossturm, wenn „offen“ funktionieren würde, bräuchten wir keine Schlösser, Zäune und sonstige Sicherungen im Leben, Willst die etwas verhindern, musst du Hindernisse schaffen, jeder Kompromiss ist weicht die Maßnahmen auf, dass gilt im Prinzip allgegenwärtig. Bei Gesetzen (zum Beispiel Jugendschutz) hilft auch nur Konsequenz, jedes Nachgeben ist ein Schritt in Richtung Anarchie…