19. April 2026
Während Ursula von der Leyen noch am Mittwoch stolz verkündete, die EU habe mit ihrer neuen Altersverifizierungs-App die perfekte Lösung gefunden, um Minderjährige von Social Media und Pornoseiten fernzuhalten, war das Projekt schon wieder am Boden.
Das „sichere“ EU-Digital-ID-Desaster: „Es ist voll open source. Jeder kann den Code prüfen“, tönte die Kommissionspräsidentin. Wenige Stunden später hatte Sicherheitsberater Paul Moore genau das getan – und die App in unter zwei Minuten geknackt. Ein Lehrstück in Brüsseler Kompetenz: Große Worte, schwache Technik, und am Ende mehr Überwachung statt mehr Sicherheit.
Die App sollte angeblich anonym und datenschutzfreundlich Altersnachweise ermöglichen. Stattdessen speichert sie sensible Daten – Ausweisfotos, Passkopien, biometrische Merkmale – auf dem Handy der Nutzer weitgehend ungeschützt.
Moore legte in einem viel geteilten Post auf X detailliert dar, wie trivial der Bypass ist: Einfach die Konfigurationsdateien bearbeiten, den verschlüsselten PIN-Wert löschen, App neu starten, neuen PIN setzen und schon hat man Zugriff auf die ursprünglichen Verifizierungsdaten. Die Rate-Limiting-Funktion? Nur ein einfacher Zähler in einer editierbaren Datei – auf Null setzen und beliebig viele Fehlversuche ignorieren.
Die biometrische Authentifizierung?
Ein einzelnes Flag in einem zugänglichen Speicher, das man einfach auf „false“ umstellt. Ausweisdokumente liegen unverschlüsselt vor. Keine sicheren Enklaven auf dem Smartphone, keine kryptografische Verknüpfung zwischen PIN und Identitäts-Vault. Grundlegende Sicherheitsprinzipien? Fehlanzeige.
Moore warnte unmissverständlich: „Ernsthaft @vonderleyen – dieses Produkt wird irgendwann der Auslöser für einen enormen Datenleak sein. Es ist nur eine Frage der Zeit.“ (Seriously, Von der Leyen – this product will be the catalyst for an enormous breach at some point. It’s just a matter of time.)
Die Architektur sei von Grund auf kaputt. Telegram-Chef Pavel Durov kommentierte trocken auf X: Die App sei „hackable by design“, weil sie dem Gerät vertraut.
Das klassische Muster: Erst eine angeblich „privacy-respecting“ Lösung präsentieren, die dann gehackt wird – um anschließend unter dem Vorwand der „Verbesserung“ noch mehr Überwachung und zentrale Datensammlung einzuführen.
Die EU-Sprecher reagierten wie üblich: Chef-Sprecherin Paula Pinho meinte lapidar, die App sei „fertig“, man könne höchstens hinzufügen „und sie kann immer verbessert werden“.
Digital-Sprecher Thomas Regnier relativierte schnell: Es handle sich ja nur um eine Demo-Version, das Finale komme später und der Code werde ständig aktualisiert. Typisch Brüssel: Erst groß ankündigen, dann zurückrudern, wenn die Realität zuschlägt.
Das Ganze passt perfekt ins Bild der EU-Digitalstrategie. Seit Jahren wird mit DSA, DMA und dem European Digital Identity Wallet der Weg in eine zentrale, app-basierte Kontrolle aller Lebensbereiche geebnet.
Altersverifizierung ist nur der Einstieg
Bald soll das gleiche System für alles Mögliche herhalten – von Online-Käufen über Behördengänge bis hin zur Kontrolle, wer welche Inhalte sehen darf.
Dass solche Systeme zwangsläufig zu riesigen Datenbergen führen, die gehackt werden können, wird geflissentlich ignoriert. Statt robuster, dezentraler Lösungen setzt man auf zentrale Strukturen und vertraut darauf, dass die Bürger schon mitmachen werden.
Sicherheitsexperten wie Moore und Baptiste Robert (der viele der Lücken bestätigte) zeigen klar: Ohne echte Hardware-Sicherheit (secure enclaves), ohne ordentliche Kryptografie und ohne echten Schutz der Daten am Endgerät bleibt das Ganze ein Witz.
Stattdessen wird der Bürger zum Datenträger gemacht – mit allen Risiken, die das birgt. Ein gehacktes Handy reicht dann aus, um nicht nur das Alter, sondern die gesamte digitale Identität zu kompromittieren.
Durov hat recht mit seiner Einschätzung: Solche halbgaren Apps sind oft nur der Einstieg in etwas Größeres.
Erst das „privacy-respecting“ Tool, dann der Hack, dann die Forderung nach mehr Kontrolle, mehr zentraler Speicherung, mehr Überwachung. Am Ende steht nicht der Schutz von Kindern, sondern die lückenlose digitale Erfassung jedes Bürgers.
Die EU-Kommission will mit dieser App „keine Ausreden mehr“ für Plattformen gelten lassen. Nach diesem Debakel sollte sie sich selbst keine Ausreden mehr erlauben.
Die Bürger haben ein Recht auf echte Sicherheit und echten Datenschutz. Was Brüssel hier abliefert, ist weder das eine noch das andere.
Es ist nur der nächste Schritt in Richtung einer totalen digitalen Kontrollgesellschaft – getarnt als Kinderschutz.
Aber zuvor noch haben die Bürger ein Recht auf den Schutz der Privatsphäre, das Recht auf unbeobachtete Kommunikation, das Recht auf freie Meinungsäußerung und Recht auf freie demokratische Wahlen ohne die Einmischung von Antidemokraten aus Brüssel.
Kommentare …………………………
Ich kann dem Inhalt des Artikels nur zustimmen. Vielleicht noch eine Anmerkung: die Daten, die da erfasst werden, und locker von Dritten durch „Hacken“ erworben werden können, sind NICHT die Daten der Minderjährigen – die werden sich wohl kaum anmelden und ablehnen lassen, sondern die Daten aller „Zugriffsberechtigten“.
Wer hat an Daten, die eine digitale Authentisierung gegenüber nahezu jeder Instanz erlauben, Interesse? Wer will möglicherweise digitale Avatare herstellen?
Es lässt sich, wer hierzu das technische Verständnis und das Geschick hat, jede Verschlüsselung hacken und danach lassen sich die gehackten Daten stehlen.
Könnte man auf dem Handy der Leyen bitte schnellstmöglich nachschauen, ob sie für dieses digitale Machwerk möglicherweise 500 Mrd bezahlt hat? Bevor sie die SMS löscht?
Quelle https://tkp.at/2026/04/19/bruessels-neue-altersverifizierungs-app-in-zwei-minuten-gehackt/