EU drängt auf Altersverifizierungs-App für alle Mitgliedstaaten
Brüssel will, dass jeder Mitgliedstaat seine Altersverifizierungs-App bis Ende des Jahres ausrollt – drei Monate, nachdem ein Sicherheitsforscher sie in weniger als zwei Minuten geknackt hat
Die Europäische Kommission möchte, dass bis Ende 2026 in jedem Mitgliedstaat eine Altersverifizierung läuft, und sie möchte, dass sie dafür ihre eigene App verwenden. Eine am Mittwoch angenommene Empfehlung fordert die 27 Regierungen des Blocks auf, die Einführung der EU-Altersverifizierungs-App zu beschleunigen und sie den Bürgern noch vor Jahresende zur Verfügung zu stellen – ungeachtet des Unbehagens, das einige Hauptstädte darüber geäußert haben, den Brüsseler Code dem eigenen vorzuziehen.
Die Initiative kommt Monate, nachdem Sicherheitsforscher dieselbe App, deren Auslieferung die Kommission nun an die Regierungen appelliert, auseinandergenommen haben. Im April umging der Berater Paul Moore die Schutzmechanismen der App in weniger als zwei Minuten und demonstrierte damit, dass die Ratenbegrenzungskontrollen in einer bearbeitbaren Datei gespeichert waren, die biometrische Authentifizierung mit einer einfachen Konfigurationsänderung deaktiviert werden konnte und sensible Anmeldeinformationen ohne sicheren Hardwareschutz zugänglich waren.
Die Kommission hat die schwerwiegendsten Probleme behoben. Sie teilt den Regierungen nun mit, dass die App für den Produktiveinsatz bereit ist.
Henna Virkkunen, Exekutiv-Vizepräsidentin der Kommission für technologische Souveränität, Sicherheit und Demokratie, bezeichnete die Empfehlung als den nächsten Schritt zum Schutz Minderjähriger im Internet. „Eine wirksame und datenschutzschonende Altersverifizierung ist das nächste Puzzleteil, das wir gerade vervollständigen, während wir auf einen Online-Raum hinarbeiten, in dem unsere Kinder sicher sind und die Möglichkeit haben, diesen positiv und verantwortungsvoll zu nutzen, ohne die Rechte Erwachsener einzuschränken“, sagte sie.
Was die Kommission tatsächlich aufbaut, ist eine Identitätsinfrastruktur. Die Mitgliedstaaten haben die Möglichkeit, die App als eigenständiges Produkt zu entwickeln oder in die Europäische Digitale Identitäts-Brieftasche zu integrieren, den umfassenderen Plan des Blocks, staatlich ausgestellte Ausweise auf das Telefon jedes Bürgers zu bringen. Beide Wege erfordern, dass Sie Ihre reale Identität mit einem Telefon verknüpfen, das Sie überall hin mitnehmen, und beide Wege stellen die Kommission ins Zentrum der Frage, wie Europäuer online ihre Identität nachweisen.
Der Verifizierungsablauf verlangt nach einem Reisepass oder einem nationalen Personalausweis. Die App teilt den Plattformen dann mit, ob Sie eine Altersgrenze überschreiten, aber die Anmeldeinformation, die sie für diese Beurteilung verwendet, ist Ihre staatliche Identität.
Neben der Empfehlung plant die Kommission die Einrichtung eines EU-Altersverifizierungsschemas mit formellen Anforderungen für alle, die Altersnachweisbestätigungen oder Verifizierungslösungen anbieten, und wird Listen zugelassener Anbieter und zugelassener Produkte veröffentlichen. Anbieter benötigen eine Zertifizierung. Nationale Implementierungen benötigen eine Akkreditierung.
Virkkunen hat klargestellt, dass das Ziel Konsolidierung ist und kein Wettbewerb zwischen nationalen Ansätzen. „Ich werde einen EU-weiten Koordinierungsmechanismus einrichten“, sagte sie Anfang dieses Monats. „Wir brauchen einen strukturierten Ansatz für die EU-Akkreditierung nationaler Lösungen. Und dafür, dass die Mitgliedstaaten sicherstellen, dass Altersnachweise leicht und in der gesamten EU ausgestellt werden können. Und vor allem, um sicherzustellen, dass wir weiterhin eine Lösung für die EU entwickeln, nicht 27 verschiedene.“
Eine einzige Lösung mag effizient sein, aber sie ist auch ein einziger Punkt, an dem Überwachung, Datenschutzverletzung oder Politikausweitung den gesamten Block betreffen können.
Die Geräteverschlüsselung, die als Hauptlösung angepriesene Behebung, um genau jene „Shared Preferences“-Datei abzusichern, die die ursprüngliche Umgehung ermöglichte, basiert auf drei Abhängigkeiten, die alle veraltet sind, bemerkte Moore.
Die Behebung wurde mit anderen Worten auf Bibliotheken aufgebaut, deren Wartung Google selbst eingestellt hat. Dies ist das Fundament, von dem Brüssel den Mitgliedstaaten nun sagt, sie sollen es in Bevölkerungsgrößenordnung einsetzen.
Jede Art der Altersverifizierung erfordert die Verknüpfung einer realen Person mit einer Online-Aktion, und diese Verknüpfung muss irgendwo gespeichert werden. Die Zentralisierung in einer von der Kommission genehmigten App, selbst in einer, die so konzipiert ist, dass keine persönlichen Daten an Plattformen gelangen, schafft eine einzige Infrastruktur, über die Millionen von Europäuern ihre Identität leiten werden, um auf gewöhnliche Websites zuzugreifen.
Die Plattformen erhalten eine Ja-oder-Nein-Antwort. Die App, das Gerät und die dahinterstehende Zertifizierungsstelle wissen mehr als das.
Es gibt auch die Frage, wofür die App genutzt wird, wenn sie erst einmal existiert. Die Kommission hat das System als eine Möglichkeit dargestellt, Altersuntergrenzen in sozialen Medien durchzusetzen, wobei Länder wie Griechenland sich darauf vorbereiten, nächstes Jahr unter 15-Jährige von großen Plattformen auszuschließen.
Sobald die Schienen jedoch erst einmal verlegt sind, kann dieselbe Infrastruktur andere Schwellen überprüfen: ob Sie alt genug sind, um auf verschlüsselte Nachrichtenübermittlung, Glücksspiel oder Nachrichten zuzugreifen, die eine zukünftige Regierung als altersbeschränkend betrachtet. Die App bestätigt Eigenschaften über Sie. Die Liste der Eigenschaften, die es wert sind, bestätigt zu werden, wird nicht bei „über 18“ enden.
Kommissionspräsidentin Ursula von der Leyen nutzte die Einführungsveranstaltung, um auf die Plattformen einzuwirken. „Online-Plattformen können sich problemlos auf unsere Altersverifizierungs-App verlassen. Es gibt also keine Ausreden mehr“, sagte sie.
Das Zensurgesetz „Digital Services Act“ verlangt von Plattformen nicht tatsächlich, die EU-App zu verwenden. Es verlangt von ihnen, das Alter effektiv zu verifizieren, und lässt ihnen die Freiheit, ihre eigenen Systeme einzusetzen, wenn diese Systeme funktionieren. Der Druck der Kommission zielt darauf ab, ihr eigenes Produkt zum Weg des geringsten Widerstands zu machen, zur Option, nach der ein Compliance-Beauftragter zuerst greift.
Geknackt in zwei Minuten: EU-Kommission drückt verwundbare Alters-App trotzdem bis Ende 2026 durch