Brüssels neue Altersverifizierungs-App: In zwei Minuten gehackt
Während Ursula von der Leyen noch am Mittwoch stolz verkündete, die EU habe mit ihrer neuen Altersverifizierungs-App die perfekte Lösung gefunden, um Minderjährige von Social Media und Pornoseiten fernzuhalten, war das Projekt schon wieder am Boden.
Das „sichere“ EU-Digital-ID-Desaster: „Es ist voll open source. Jeder kann den Code prüfen“, tönte die Kommissionspräsidentin. Wenige Stunden später hatte Sicherheitsberater Paul Moore genau das getan – und die App in unter zwei Minuten geknackt. Ein Lehrstück in Brüsseler Kompetenz: Große Worte, schwache Technik, und am Ende mehr Überwachung statt mehr Sicherheit. Die App sollte angeblich anonym und datenschutzfreundlich Altersnachweise ermöglichen. Stattdessen speichert sie sensible Daten – Ausweisfotos, Passkopien, biometrische Merkmale – auf dem Handy der Nutzer weitgehend ungeschützt.
Moore legte in einem viel geteilten Post auf X detailliert dar, wie trivial der Bypass ist: Einfach die Konfigurationsdateien bearbeiten, den verschlüsselten PIN-Wert löschen, App neu starten, neuen PIN setzen und schon hat man Zugriff auf die ursprünglichen Verifizierungsdaten. Die Rate-Limiting-Funktion? Nur ein einfacher Zähler in einer editierbaren Datei – auf Null setzen und beliebig viele Fehlversuche ignorieren.
Die biometrische Authentifizierung? Ein einzelnes Flag in einem zugänglichen Speicher, das man einfach auf „false“ umstellt. Ausweisdokumente liegen unverschlüsselt vor. Keine sicheren Enklaven auf dem Smartphone, keine kryptografische Verknüpfung zwischen PIN und Identitäts-Vault. Grundlegende Sicherheitsprinzipien? Fehlanzeige.
Moore warnte unmissverständlich: „Ernsthaft @vonderleyen – dieses Produkt wird irgendwann der Auslöser für einen enormen Datenleak sein. Es ist nur eine Frage der Zeit.“ (Seriously, Von der Leyen – this product will be the catalyst for an enormous breach at some point. It’s just a matter of time.)
Die Architektur sei von Grund auf kaputt. Telegram-Chef Pavel Durov kommentierte trocken auf X: Die App sei „hackable by design“, weil sie dem Gerät vertraut. Das klassische Muster: Erst eine angeblich „privacy-respecting“ Lösung präsentieren, die dann gehackt wird – um anschließend unter dem Vorwand der „Verbesserung“ noch mehr Überwachung und zentrale Datensammlung einzuführen.
Die EU-Sprecher reagierten wie üblich: Chef-Sprecherin Paula Pinho meinte lapidar, die App sei „fertig“, man könne höchstens hinzufügen „und sie kann immer verbessert werden“.
Digital-Sprecher Thomas Regnier relativierte schnell: Es handle sich ja nur um eine Demo-Version, das Finale komme später und der Code werde ständig aktualisiert. Typisch Brüssel: Erst groß ankündigen, dann zurückrudern, wenn die Realität zuschlägt.
Das Ganze passt perfekt ins Bild der EU-Digitalstrategie. Seit Jahren wird mit DSA, DMA und dem European Digital Identity Wallet der Weg in eine zentrale, app-basierte Kontrolle aller Lebensbereiche geebnet.
Altersverifizierung ist nur der Einstieg
Bald soll das gleiche System für alles Mögliche herhalten – von Online-Käufen über Behördengänge bis hin zur Kontrolle, wer welche Inhalte sehen darf. Dass solche Systeme zwangsläufig zu riesigen Datenbergen führen, die gehackt werden können, wird geflissentlich ignoriert. Statt robuster, dezentraler Lösungen setzt man auf zentrale Strukturen und vertraut darauf, dass die Bürger schon mitmachen werden.
Sicherheitsexperten wie Moore und Baptiste Robert (der viele der Lücken bestätigte) zeigen klar: Ohne echte Hardware-Sicherheit (secure enclaves), ohne ordentliche Kryptografie und ohne echten Schutz der Daten am Endgerät bleibt das Ganze ein Witz.
Stattdessen wird der Bürger zum Datenträger gemacht – mit allen Risiken, die das birgt. Ein gehacktes Handy reicht dann aus, um nicht nur das Alter, sondern die gesamte digitale Identität zu kompromittieren.
The EU age verification app was hackable by design — it trusted the device (that’s instant game over).
But don’t rush to laugh at EU bureaucrats. All they needed was another excuse to erode our freedoms. This “surprising hack“ just handed it to them.
Stay vigilant.
— Pavel Durov (@durov) April 17, 2026
Durov hat recht mit seiner Einschätzung: Solche halbgaren Apps sind oft nur der Einstieg in etwas Größeres. Erst das „privacy-respecting“ Tool, dann der Hack, dann die Forderung nach mehr Kontrolle, mehr zentraler Speicherung, mehr Überwachung. Am Ende steht nicht der Schutz von Kindern, sondern die lückenlose digitale Erfassung jedes Bürgers.
Die EU-Kommission will mit dieser App „keine Ausreden mehr“ für Plattformen gelten lassen. Nach diesem Debakel sollte sie sich selbst keine Ausreden mehr erlauben.
Die Bürger haben ein Recht auf echte Sicherheit und echten Datenschutz. Was Brüssel hier abliefert, ist weder das eine noch das andere. Es ist nur der nächste Schritt in Richtung einer totalen digitalen Kontrollgesellschaft – getarnt als Kinderschutz.
Aber zuvor noch haben die Bürger ein Recht auf den Schutz der Privatsphäre, das Recht auf unbeobachtete Kommunikation, das Recht auf freie Meinungsäußerung und Recht auf freie demokratische Wahlen ohne die Einmischung von Antidemokraten aus Brüssel.
Links zu früheren TKP-Beiträgen zum Thema finden Sie unterhalb 👇
Unsere Arbeit ist spendenfinanziert – wir bitten um Unterstützung.
Folge TKP auf Telegram oder GETTR und abonniere unseren Newsletter.
Solange Menschen sich einbilden, ohne Smartphone nicht mehr „leben“ zu können, wird sich auch dieser Missbrauch fortsetzen. So einfach ist es. Die dumpe Mehrheit kümmert sich nicht im Mindesten darum, wer was wann über sie weiß. Argument: Ich hab eh nix zu verbergen… Dummheit siegt und das wissen die Eliten.
Finanzminister Klingbeil kann die Ausgaben für fast 500 Mrd EUR Sondervermögen nicht finden – ein Jahresbudget des Bundes oder 13% des BIP oder die Gesamtkosten der Energiewende.
Könnte man auf dem Handy der Leyen bitte schnellstmöglich nachschauen, ob sie für dieses digitale Machwerk möglicherweise 500 Mrd bezahlt hat? Bevor sie die SMS löscht?
„Ein Angreifer kann sich im Handumdrehen eine fremde, bereits verifizierte Identität unter den Nagel reißen.“
Das könnte auch das System tun, wenn es zuvor festgestellt hat, dass diese Person zB Report 24 liest, was ja bekanntlich kein „gutes“ Medium ist, muss diese Person ausgeschaltet und verwertet werden. Möglicherweise übernimmt dann die Staats-KI deine Identität und holt sich deinen gesamten Besitz und du wirst obdachlos. Erinnert an „Das Netz“ mit Sandra Bullock.
Werden übrigens auch Obdachlose in die Matrix eingespeist? Wahrscheinlich, sonst kriegens keine Klostersuppe. Auswandern wird auch immer schwieriger. In Kanada sollen Auswanderer bald 500.000 Euro bezahlen, auch in Schland gibt es schon Wegzugssteuern. Tüchtige und Kluge wollen davonlaufen… Wenn einem die Identität geraubt wird, kann man vielleicht illegal Grenzen überqueren, wird man erwischt, landet man im Lager für Identitätslose…dort sucht man dann nach gesunden Spenderorganen…
Ich kann dem Inhalt des Artikels nur zustimmen. Vielleicht noch eine Anmerkung: die Daten, die da erfasst werden, und locker von Dritten durch „Hacken“ erworben werden können, sind NICHT die Daten der Minderjährigen – die werden sich wohl kaum anmelden und ablehnen lassen, sondern die Daten aller „Zugriffsberechtigten“.
Wer hat an Daten, die eine digitale Authentisierung gegenüber nahezu jeder Instanz erlauben, Interesse? Wer will möglicherweise digitale Avatare herstellen?
Es lässt sich, wer hierzu das technische Verständnis und das Geschick hat, jede Verschlüsselung hacken und danach lassen sich die gehackten Daten stehlen. Die ach so Superhelden der Informatik, wie Musk und Co., jagen einem Phantom hinterher, dass da Datensicherheit-in-jedem-Fall heißt und leben in ihrer völligen „profesionellen“ Dauer-Selbstüberhöhung. Dies ist auch eine Erkrankung aus dem Formenkreis psychiatrischer Erkrankungen, die da gepflegt wird oder eben der Einsatz krimineller Energie von Musk, Bill-the-killer-Gates et.al.