Hadmut Danisch
Ansichten eines Informatikers

Warum die Kritik an der EU-Altersnachweis-App töricht ist

Hadmut
19.4.2026 17:56
Uncategorized

Es gibt zwei, drei Aspekte, die mich an dem aktuellen Geschrei um die EU-Altersnachweis-App stören.

Gerade schreien sie alle rum, dass die EU-Altersnachweis-App „in zwei Minuten gehackt“ worden sei.

Ich sehe das etwas anders.

„Gehackt“

Alles, was ich bisher dazu gesehen und gelesen habe, deutet darauf hin, dass die App unter Zeitdruck in Hektik und vielleicht ohne allzugroße Sachkunde zusammengenudelt wurde, genau so, wie man sich das vorstellt, wenn von der Leyen etwas unbedingt haben will (zur Erinnerung: Bei der Kinderpornosperre maulte sie, dass alle „krachend unfähig“ seien, die ihr nicht liefern, was sie will). Zum Teil deuten die Fundstellen auf Schlampigkeit und Nachlässigkeit hin, zum Teil sind das aber auch Probleme, die so grundsätzlich nicht lösbar sind, die also eher das großmäulige Versprechen als die Umsetzung betreffen.

Aber: „Gehackt“ würde ich das noch nicht nennen.

Als „gehackt“ gilt etwas, wenn eine spezifizierte Sicherheitseigenschaft umgangen wurde. Wenn man also etwa nachweist, dass

  • ein Minderjähriger sich eigenständig als volljährig ausgeben kann oder
  • die Funktion nicht so anonym ist wie versprochen und Seitenanbieter oder Staat einen (befugten) Besucher einer Webseite identifizieren oder den Zugriff protokollieren können.

Zu finden, dass da eine Datei unverschlüsselt, ungeprüft herumliegt, ist das Finden einer Schlamperei, aber noch kein „Hack“.

Beispiel Politico:

Olivier Blazy, a cryptographic researcher who is part of a French task force on digital identity, said: “Let’s say I downloaded the app, proved that I am over 18, then my nephew can take my phone, unlock my app and use it to prove he is over 18.”

Tut mir leid, aber wenn der Onkel dem Neffen sein Handy mit der angemeldeten App überlässt, dann ist das zwar ein Argument dafür, was für eine Schnapsidee diese App ist und die Vorstellung von der Leyens nicht realitätstauglich ist, aber noch kein „Hack“. Ich habe auch das Autoschließsystem nicht gehackt, wenn ich dem Dieb den Schlüssel gebe. Das ist Kleinkram, was der da gefunden hat.

Interessant wäre, wenn sich die gefunden Mängel ausnutzen lassen, um mit einer dritten App, die damit augenscheinlich gar nichts zu tun hat, die Daten, die für den Altersnachweis benötigt werden, von einem Handy eines befugten (=volljährigen) Benutzers zu klauen und auf ein anderes Handy zu übertragen, etwa im Darknet zu verteilen, so dass sich ein Jugendlicher mit den geklauten Authentifikationsdaten eines fremden Erwachsenen und ohne dessen Wissen und Einwilligung als er ausgeben kann. Oder der Staat mitprotokollieren kann, welche Webseiten man besucht hat.

Ein Fehler, nach dem ich da suchen würde, wäre zum Beispiel: Was ist eigentlich, wenn Daten geklaut wurden? Gibt es so etwas wie eine Revocation oder eine Expiry?

Oder was ist, wenn das ganze Handy geklaut wurde? Verkauft? Vererbt? Verloren? Wäre es beispielsweise möglich, einem Erwachsenen das Handy zu klauen, die Daten im Darknet zu verbreiten und dann 10.000 Jugendlichen damit den Zugang zu ermöglichen?

Oder was ist, wenn einem Pornoanbieter vorgeworfen wird, dass er Jugendliche drauf lässt: Wie weist er nach, dass der Zugriff von der App autorisiert wurde?

Da hat einer das Maul vorzeitig aufgerissen, weil er der Erste sein wollte, und die Laienpresse kocht das gleich hoch, hat aber letztlich nur Kleinigkeiten. Ich sehe da Nachlässigkeiten, aber noch keinen Hack. Das ist bisher zwar peinlich, aber doch eher Dünnschiss.

Womit ich nicht ausschließen will, dass dieselben Leute innerhalb kurzer Zeit echte Fehler finden.

Das Protokoll

Sorry, wenn ich das mal so sage, aber: Fehler in der App zu finden, ist schön, aber es trägt nicht sehr weit, weil man Fehler in der App eben auch fixen kann. Dann hat die nächste Version den Fehler eben nicht mehr, und von der Leyen posaunt, dass man schnell reagiere und die Sicherheit gewährleiste, bla bla bla, blubber, blubber.

Richtig Wirkung erzielt man, wenn man Fehler im Protokoll, im Prinzip aufdeckt, die man in der App nicht reparieren kann, und zeigt, dass das undicht oder gesetzeswidrig ist.

Der Zeitpunkt

Es war völlig dämlich, so etwas sofort herauszubrüllen, bevor die App in Gebrauch ist. Damit bewahrt man von der Leyen vor der Blamage, weil man ihr kostenlos Sicherheitstipps gibt.

Jeder, der taktisch agierte, hätte das Maul gehalten, bis die App im Einsatz ist, und dann erst die Schwächen publiziert, damit sie zurückgezogen werden muss und es eine Blamage wird. Weil die Kritiker aber nicht kooperieren, sondern konkurrieren, und jeder der Erste sein will, der „Gehackt!“ schreit, können die alle das Wasser nicht halten und stürmen vor, um dann tröpfchenweise Kleinigkeiten zu finden.

Die Leute verschießen ihr Pulver weitgehend wirkungslos, weil jeder der Erste sein will.

Man macht es von der Leyen viel zu einfach. Das war eine Ejaculatio praecox.

False Flag?

Wenn einer so als erster vorprescht und dann nicht viel mehr liefert, als ein paar Knallerbsen, aber das nach zwei Minuten, stellt sich immer die Frage, als ob das ein „False Flag Alarm“, also womöglich inszeniert war, indem man einen Fehlerreport inszeniert, den man relativ schnell und einfach fixen kann, um quasi so etwas wie „vergifteter Brunnen“ zu spielen.

Jetzt nämlich kann keiner, der darin noch echte Mängel findet, mehr der erste sein, und die Öffentlichkeit wird darauf getrimmt, dass die EU „Fehler sofort behebt“, und das „nur Randbedingungen wie Onkel-Neffe“ betrifft.

Leseranfrage

Hallo Hadmut,

es ist ja nun großer Buzz um diese furchtbar schlechte Age Verification App. Was mur die ganze Zeit durch den Kopf geht: Warum wohl haben die das Open Source gemacht? Meine Meinung: Damit die Community-Experten ihnen kostenlos die 1000%-sichere App bauen und ihr perfektes eignes Gefängnis schmieden.

Und wir sind so blöd und fallen darauf rein … wie jedesmal. Wir bauen denen die Waffen. Wir bauen denen die Fesseln. Wir bauen die ganze Technologie die sie dann gegen uns anwenden.

Der Punkt ist, niemand von uns profitiert davon, zu zeigen, daß die blöde und unfähig sind und das wir es besser können. Das ist ein vollkommen unwichtiges Kriterium. Aber viele Nerds werden von sowas getriggert und müssen unbedingt zeigen, was sie drauf haben.

Ja, schon. Stimmt.

Der offizielle Grund ist, soweit ich das gelesen habe, ein anderer. Denn wenn ich das richtig verstanden habe, kann und darf die EU das selbst gar nicht machen, sondern will und muss von den einzelnen Ländern verlangen, dass die eine landesspezifische App bauen. Also Deutschland eine Deutschen-App, und so weiter, Deshalb ist ja ausgerechnet Zypern gerade vorgeprescht und stürmt mit so einer App voran, weil Zypern finanziell und auch sonst von der EU völlig abhängig ist, gerade in der aktuellen Öl- und Tourismuskrise, und die deshalb hüpfen müssen, wenn von der Leyen das will.

Der eigentliche Zweck dürfte also sein, dass man den EU-Ländern und anderen, wie der Schweiz, den Code als Beispiel und zur Verwendung hinwirft.

Auch deshalb ist das nicht so wahnsinnig von Erfolg gekrönt, wenn man in dieser App jetzt Programmierschlampereien findet, weil diese App, zumindest so wie ich das bisher – möglicherweise falsch – verstanden habe, nicht die echte App, sondern nur ein Beispiel, ein proof-of-concept ist, bei dem es auf einzelne Schlampigkeiten, Nachlässigkeiten, Unfertigkeiten, eigentlich noch gar nicht ankommt.

Kontraproduktiv

Ich halte das derzeitige Geschrei, die App sei in 2 Minuten gehackt gewesen, deshalb für sachlich schwierig und für taktisch unklug. Früher lernte man das in jedem Cowboy-und-Indianerfilm, dass man mit dem Schießen wartet, „bis sie nahe genug sind“. Wir leben aber in einem Medien- und Aufmerksamkeitswettbewerb. Der Erste gewinnt.

Wenn es wirklich krachen soll, muss man sich das Protokoll und die Server anschauen.