Welche Sicherheitslücken hatte die EU-Altersverifikations-App?

Die App speicherte den PIN in einer unverschlüsselten Konfigurationsdatei, der Brute-Force-Schutz war als einfacher Zähler in derselben Datei gespeichert (zurücksetzbar auf 0), und die Biometrie-Authentifizierung war per einfachem Schalter in der Konfiguration deaktivierbar. Diese Kombination ermöglichte den vollständigen Bypass aller Sicherheitsmechanismen in unter 2 Minuten.

Was ist das Risiko unsicherer Altersverifikations-Apps?

Unsichere Altersverifikations-Apps ermöglichen es, fremde Identitäten vorzutäuschen – also das Alter einer anderen Person nachzuweisen, ohne deren tatsächliches Alter zu haben. Das untergräbt den gesamten Zweck der Altersverifikation und schafft ein falsches Gefühl der Sicherheit.

Wie sollte eine sichere Altersverifikations-App gebaut werden?

Sicherheitskritische Daten wie PINs dürfen niemals im Klartext in Konfigurationsdateien gespeichert werden. Stattdessen müssen sichere Schlüsselspeicher (Keychain/Keystore) genutzt werden. Brute-Force-Schutz muss serverseitig implementiert sein. Biometrische Authentifizierung muss kryptografisch abgesichert sein. Sicherheitsaudits durch unabhängige Dritte sind vor dem Launch obligatorisch.

Wer ist für die Sicherheit offizieller EU-Apps verantwortlich?

Die Verantwortung liegt bei den Entwicklungsorganisationen und den beauftragenden Behörden. Pflicht sind unabhängige Sicherheitsaudits, Penetrationstests und Code-Reviews vor dem öffentlichen Launch. Die NIS-2-Richtlinie der EU stellt für viele digitale Dienste konkrete Anforderungen an die Cybersicherheit.

EU-Altersverifikations-App in 2 Minuten geknackt

← Zurück zum Blog

Digitale Identität gilt als einer der Grundpfeiler der digitalen Transformation in Europa. Millionen Bürgerinnen und Bürger sollen künftig ihr Alter, ihre Identität, ihre Qualifikationen digital nachweisen können – bequem per Smartphone. Die EU hat dabei große Ambitionen: mit eIDAS 2.0 und der European Digital Identity Wallet soll ein pan-europäisches System für digitale Identitätsnachweise entstehen. Doch ein aktueller Vorfall zeigt, wie groß die Diskrepanz zwischen Anspruch und Realität sein kann.

Eine offizielle EU-Altersverifikations-App, die beweisen soll, dass eine Person alt genug für bestimmte Inhalte oder Dienste ist, wurde von einem Sicherheitsforscher in weniger als zwei Minuten vollständig ausgehebelt. Ohne Spezialwissen. Ohne Spezialwerkzeug. Mit erschreckend elementaren Methoden.

Was hat der Forscher konkret gemacht?

Die Schwachstellen, die der Sicherheitsforscher ausnutzte, sind keine hochkomplexen Exploits – sie sind Lehrbuchfehler, die in jedem einführenden Kurs zur sicheren App-Entwicklung als Negativbeispiele genannt werden. Genau das macht diesen Vorfall so bemerkenswert.

🔴 Schwachstelle 1: PIN im Klartext

Der Nutzer-PIN wird in einer unverschlüsselten Konfigurationsdatei auf dem Gerät gespeichert. Wer die Datei löscht und einen neuen PIN eingibt, erhält Zugriff auf ein fremdes Profil – inklusive der dort hinterlegten Identitätsdaten.

🔴 Schwachstelle 2: Brute-Force-Schutz als Zähler

Der Schutz gegen zu viele Passworteingaben ist ebenfalls in der Konfigurationsdatei als einfacher numerischer Wert gespeichert. Zurücksetzen auf 0 – Problem gelöst. Unbegrenzte Versuche möglich.

🔴 Schwachstelle 3: Biometrie per Schalter

Fingerabdruck und Face-ID sind lediglich durch einen booleschen Wert in der Konfiguration aktiviert. Auf "false" setzen – die biometrische Sicherheitsschicht ist deaktiviert, kein Biometrie-Check mehr notwendig.

🔴 Das Ergebnis dieser Schwachstellen in Kombination

Eine App, die beweisen soll, wer jemand ist und wie alt er ist, kann mit wenigen Handgriffen in eine Konfigurationsdatei dazu gebracht werden, eine vollständig fremde Identität zu bestätigen. Jemand mit einem fremden Profil auf dem Gerät kann den Brute-Force-Schutz deaktivieren, die Biometrie abschalten, einen beliebigen PIN setzen – und gibt sich dann als jemand anderen aus. Das ist kein Bug. Das ist ein Designversagen auf fundamentaler Ebene.

Warum sind diese Fehler so gravierend?

Um das Ausmaß dieser Schwachstellen zu verstehen, muss man sich den Zweck der Anwendung vor Augen führen. Eine Altersverifikations-App hat eine einzige, klar definierte Aufgabe: verlässlich nachzuweisen, dass eine reale Person tatsächlich das Alter besitzt, das sie behauptet zu haben. Wenn diese Grundfunktion kompromittierbar ist, hat die App keinen Sicherheitswert – sie schafft lediglich eine trügerische Illusion von Kontrolle.

Was noch schwerer wiegt: Die Schwachstellen betreffen keine Randfunktionalität, sondern den Kernmechanismus. Die Authentifizierung (PIN), der Schutz vor Angriffen (Brute-Force-Limit) und die zweite Sicherheitsschicht (Biometrie) – alle drei sind trivial umgehbar. Das ist kein einzelner schlecht implementierter Feature, sondern zeigt, dass das gesamte Sicherheitskonzept der App unzureichend durchdacht wurde.

Security by obscurity ist keine Sicherheit. Wer Schutzmechanismen als veränderbare Konfigurationswerte implementiert, hat das Grundprinzip sicherer Softwareentwicklung nicht verstanden.

— Grundsatz der sicheren Softwareentwicklung (Secure by Design)

Die eigentliche Frage: Wie kommt so etwas durch QA und Sicherheitsaudits?

Das ist vielleicht die beunruhigendste Frage, die dieser Vorfall aufwirft. Wie schafft es eine offizielle EU-App durch Entwicklung, Qualitätssicherung, Sicherheitsaudits und Freigabeprozesse – mit solch elementaren Fehlern?

Es gibt mehrere mögliche Antworten, und keine davon ist ermutigend:

Es wurde kein unabhängiger Sicherheitsaudit durchgeführt – oder er war unzureichend. Elementare Schwachstellen wie das Speichern von PINs im Klartext wären in jedem ordentlichen Pentest sofort gefunden worden.
Die Sicherheitsanforderungen wurden zu niedrig angesetzt – vielleicht wurde die App eher als Convenience-Feature denn als sicherheitskritisches System behandelt.
Es fehlte an Security-Expertise im Entwicklungsteam – die genannten Fehler sind keine ausgefeilten Designentscheidungen mit unerwarteten Konsequenzen, sondern bekannte Anti-Patterns, die in der Literatur klar beschrieben sind.
Zeitdruck und politische Prioritäten haben Sicherheitsüberprüfungen abgekürzt – ein in öffentlichen Digitalisierungsprojekten leider häufiges Muster.

⚠️ Digitale Identität ist kein Spielzeug

Wenn Bürgerinnen und Bürger dazu gebracht werden, persönliche Identitätsdaten in einer App zu hinterlegen, entsteht eine Verantwortung für die Sicherheit dieser Daten. Eine App, die diese Verantwortung nicht erfüllt, schafft kein Vertrauen – sie untergräbt es. Und einmal verloren, ist dieses Vertrauen schwer zurückzugewinnen.

Was sichere App-Entwicklung hätte verhindern können

Die gute Nachricht: Alle drei Schwachstellen wären mit etablierten Sicherheitspraktiken vermeidbar gewesen. Sie sind keine neuartigen Angriffsvektoren, sondern bekannte Probleme mit bekannten Lösungen.

✅ Richtige PIN-Speicherung: Secure Enclave und Keychain

PINs und andere Credentials dürfen niemals im Klartext in Konfigurationsdateien gespeichert werden. iOS bietet die Keychain, Android den KeyStore – beides Hardware-gesicherte Speicher, die speziell für kryptografische Schlüssel und sensible Daten konzipiert sind. Der Zugriff ist an die Geräteauthentifizierung gebunden.

✅ Serverseitiger Brute-Force-Schutz

Jeder Schutz, der clientseitig implementiert und damit in einer veränderbaren Datei gespeichert wird, ist wirkungslos. Brute-Force-Limits müssen serverseitig enforced werden – der Server entscheidet, ob ein weiterer Versuch erlaubt wird, nicht die App selbst.

✅ Kryptografische Biometrie-Integration

Biometrische Authentifizierung muss kryptografisch mit dem Authentifizierungsfluss verknüpft sein. Ein einfacher Schalter, der bestimmt "Biometrie an/aus", ist keine Sicherheitsmaßnahme. Stattdessen sollte die Biometrie ein privates Schlüsselmaterial entsperren, das für den Authentifizierungsprozess zwingend benötigt wird.

✅ Verpflichtende unabhängige Sicherheitsaudits

Für Apps, die Identitätsdaten verwalten, sollte ein unabhängiges Sicherheitsaudit durch externe Experten vor dem Launch obligatorisch sein. Penetrationstests, Code-Reviews und Threat-Modeling sind keine optionalen Extras – sie sind Grundvoraussetzung für den verantwortungsvollen Betrieb.

NIS-2 und der regulatorische Rahmen

Interessanterweise hat die EU selbst klare Anforderungen an die Cybersicherheit kritischer digitaler Dienste formuliert. Die NIS-2-Richtlinie, die seit Oktober 2024 in den EU-Mitgliedstaaten gilt, schreibt für viele digitale Dienste konkrete Sicherheitsmaßnahmen vor – inklusive Risikomanagementsysteme, Incident-Response-Prozesse und regelmäßige Sicherheitsüberprüfungen.

Es ist eine gewisse Ironie, dass eine offizielle EU-App offensichtlich hinter den Sicherheitsstandards zurückbleibt, die die EU selbst für den privaten Sektor fordert. Für Unternehmen in Deutschland und der EU, die unter NIS-2 fallen, wäre eine App mit diesen Schwachstellen ein klarer Compliance-Verstoß.

💡 Was Unternehmen aus diesem Vorfall lernen können

Dieser Vorfall ist keine Ausnahme – er ist ein Spiegel einer weit verbreiteten Realität. In vielen Unternehmen existieren Apps und digitale Tools mit ähnlichen Schwachstellen: Credentials in Konfigurationsdateien, Sicherheitslogik auf der Client-Seite, unzureichende Verschlüsselung. Ein professioneller Sicherheitsaudit deckt solche Probleme auf – bevor ein Angreifer oder ein Sicherheitsforscher es tut.

Was das für die europäische Digitalstrategie bedeutet

Die EU investiert massiv in digitale Identitätssysteme. Die European Digital Identity Wallet soll bis 2026 verfügbar sein und Bürgern ermöglichen, Identitätsdokumente, Qualifikationen und andere Nachweise digital zu verwenden. Das Vertrauen in solche Systeme ist essenziell – und dieses Vertrauen beginnt mit der Sicherheit der Anwendungen.

Ein Vorfall wie dieser sendet ein schlechtes Signal. Nicht weil er zeigt, dass digitale Identitätssysteme grundsätzlich unsicher wären – das sind sie nicht, wenn sie richtig implementiert werden. Sondern weil er zeigt, dass die Qualitätssicherung nicht mit den Ambitionen Schritt gehalten hat.

Für die europäische Digitalstrategie muss gelten: Sicherheit ist keine Nachbesserung, sondern ein Designprinzip von Anfang an. Security by Design, nicht Security by Afterthought.

Fazit

Die EU-Altersverifikations-App ist ein Lehrstück – nicht nur über schlechte App-Entwicklung, sondern über systemische Probleme bei der Umsetzung sicherheitskritischer digitaler Dienste. Wenn eine App, die beweisen soll wer jemand ist, in unter zwei Minuten ohne Spezialwissen kompromittierbar ist, hat sie ihre Aufgabe verfehlt.

Für Entwickler, Auftraggeber und Entscheidungsträger in Behörden und Unternehmen ist die Botschaft klar: Sicherheitsaudits sind keine bürokratische Pflichtübung. Sie sind der entscheidende Unterschied zwischen einer App, die ihren Zweck erfüllt, und einer, die eine falsche Sicherheit suggeriert. Digitale Identität verdient besseres.

Sicherheitsaudit für Ihre Apps und Systeme

Wissen Sie, welche Schwachstellen in Ihren digitalen Anwendungen stecken? Ein professionelles Sicherheitsaudit deckt Schwachstellen wie diese auf – bevor es andere tun. Von der Konfigurationsprüfung bis zum vollständigen Penetrationstest.

Audit anfragen