Von James Corbett
Hier ist eine Frage: Wie lange braucht ein Sicherheitsberater, um die neue, „technisch ausgereifte“ Altersüberprüfungs-App der EU zu hacken?
Und hier ist die Antwort: weniger als zwei Minuten.
Zweifellos ist die Geschichte der schicken neuen Altersüberprüfungs-App der EU und der eklatanten technischen Fehler, die ihre Behauptungen bezüglich der „technischen Ausgereiftheit“ sofort ad absurdum führten, bemerkenswert genug.
Aber dies ist nicht nur eine amüsante Geschichte über die technokratische Inkompetenz der EU. Es ist tatsächlich eine Fallstudie zu Cyber-False-Flags. Und diese Geschichte sagt uns etwas Wichtiges über die kommende digitale Dystopie.
Möchten Sie die Details erfahren? Dann lesen Sie weiter!
Die „amüsante Geschichte“ des bemerkenswerten App-Fehlschlags der EU
Wie jeder weiß, der die Nachrichten verfolgt, bemühen sich Regierungen weltweit im Namen des „Kinderschutzes“ vor „Online-Gefahren“ darum, Altersüberprüfungsvorschriften für Social-Media-Seiten durchzusetzen. Die Einführung des australischen Social-Media-Verbots im letzten Jahr – ein neues Gesetz, das „allen Nutzern unter 16 Jahren die Führung von Konten auf großen Plattformen wie TikTok, Snapchat, YouTube, Reddit, Instagram, Facebook, Kick, Twitch, Threads und X untersagt“ – war das erste und bekannteste Beispiel für diesen Trend. Seitdem haben Brasilien, Kanada, die Türkei, Norwegen, Japan, Griechenland, verschiedene US-Bundesstaaten und eine wachsende Zahl weiterer Regierungen damit begonnen, ähnliche Gesetze vorzulegen oder zu verabschieden.
Um die „Lösung“ für dieses „Problem“ der Altersüberprüfung von Social-Media-Nutzern umzusetzen, versuchen Regierungen zudem, in den Markt für Altersüberprüfungs-Apps einzusteigen. Die EU beispielsweise versprach im Juli 2025 einen „Entwurf für die Online-Altersüberprüfung“, als die Exekutiv-Vizepräsidentin der Europäischen Kommission, Henna Virkkunen, bekanntgab, dass die Kommission gemeinsam mit den Mitgliedstaaten „einen gemeinsamen Ansatz“ für „eine EU-weit harmonisierte Methode zur Altersüberprüfung“ entwickle.
Diese „Lösung“ kam schließlich letzten Monat in Form des EU Age Verification Wallet, einer neuen App, die von der Präsidentin der Europäischen Kommission, Ursula von der Leyen, auf einer Pressekonferenz am 15. April mit großem Tamtam vorgestellt wurde.
Das einzige Problem? Obwohl von der Leyen versicherte, die App sei „technisch fertig und werde den Bürgern bald zur Verfügung stehen“, brauchte der Sicherheitsforscher Paul Moore nur zwei Minuten, um sie zu hacken.
Tatsächlich, so führte er weiter aus, ist die Sicherheitsarchitektur dieser App so mangelhaft, dass es fast an Glaubwürdigkeit mangelt. Laut Moore weist die App folgende Mängel auf:
- speichert das Quellbild, das zur Erfassung von Verifizierungsdaten verwendet wird, unverschlüsselt auf der Festplatte und löscht diese Daten nicht ordnungsgemäß;
- verwendet „eine inkrementierende Zahl in derselben Konfigurationsdatei“ zur Ratenbegrenzung, was bedeutet, dass Angreifer die Zahl einfach wieder auf „0“ zurücksetzen und es weiter versuchen können;
- die vom Benutzer registrierte PIN nicht mit dem Tresor verknüpft, der die Identitätsdaten enthält, was bedeutet, dass „ein Angreifer einfach die PinEnc/PinIV-Werte aus der shared_prefs-Datei entfernen und die App neu starten kann“; und
- die Anzahl der einem Benutzer zur Verfügung stehenden Altersüberprüfungen begrenzt und gleichzeitig ein „Ablaufdatum“ für dessen Altersnachweis festlegt.
Für diejenigen, die sich mit Fachjargon nicht auskennen: Das sind sehr bedenkliche Mängel, die die App unglaublich anfällig für Angriffe machen und die privaten Daten der Nutzer offenlegen, darunter Passscans und biometrische Bilder.
Es überrascht nicht, dass die Tech-Journalisten bei Wired und TechPolicy.press sowie die Mainstream-Nachplapperer bei Politico und The Independent dazu neigen, den Skandal als eine „Ups“-Geschichte darzustellen, die die Inkompetenz ansonsten wohlmeinender Technokraten verdeutlicht. In seinem Artikel zu diesem Thema schreibt Politico beispielsweise: „Die Geschichte entwickelt sich zu einem PR-Desaster für Brüssel.“
Oh nein! Denkt denn niemand an die PR-Abteilung der Europäischen Kommission!?
In einem offensichtlichen Versuch, dieses „PR-Desaster“ abzuwenden, veröffentlichten die EU-Bürokraten letzte Woche einen „Bugfix“, der die eklatanten Sicherheitslücken der App beheben sollte.
… Doch wie Paul Moore sofort hervorhob, war dieser „Fix“ ebenso grundlegend fehlerhaft wie die ursprüngliche Version. Konkret haben die EU-Bürokraten:
- das Problem der Datenverschlüsselung auf dem Gerät „behoben“ … durch die Einführung von drei veralteten Abhängigkeiten;
- das Problem beim Einlesen von Reisepässen „behoben“ durch die Einführung eines Mechanismus zum Löschen von Passfotos, wenn diese nicht mehr benötigt werden … dabei jedoch vergessen, diese Fotos zu verschlüsseln;
- das Problem der PIN-Speicherung „behoben“ durch das Hinzufügen eines Salt-Werts und das Hashen der PIN … unter Verwendung eines veralteten Standards, der auf einer unangemessen geringen Anzahl von Iterationen basiert.
Noch einmal für alle, die sich im Sicherheitsjargon nicht auskennen: Das ist schlimm. Tatsächlich handelt es sich, wie Moore bemerkt, um nichts weiter als „Sicherheitstheater“. Diese Korrekturen sollen beeindruckend klingen, beheben aber in Wirklichkeit nicht die grundlegenden Sicherheitsmängel der App.
An dieser Stelle könnten wir versucht sein, uns den Speichelleckern des Establishments anzuschließen, die das Tech-Team der Europäischen Kommission wegen seiner Inkompetenz heftig kritisieren. Aber wenn wir unsere Kritik an dieser App hier beenden, laufen wir Gefahr, in eine heimtückische Falle zu tappen.
Wie sich herausstellt, gibt es eine noch düsterere Theorie zu dieser katastrophalen App-Einführung: Diese Sicherheits„fehler“ sind gar keine Fehler…
Die nicht gerade amüsante Theorie, dass dies kein „Fehler“ war
Wenn sie mit dem katastrophalen Versagen einer etablierten Institution konfrontiert werden, zitieren Mainstream-„Skeptiker“ – jene Leute, die Poster von Michael Shermer an der Wand hängen haben und Snopes.com in ihrem Browser als Lesezeichen gespeichert haben – gerne die als Hanlons Rasiermesser bekannte Faustregel. Wie jeder Faktenprüfer, der etwas auf sich hält, Ihnen sagen wird, lautet dieses Sprichwort: „Schreibe niemals Böswilligkeit zu, was sich durch Dummheit hinreichend erklären lässt.“
Aber was ist in einem Fall wie dem EU-App-Desaster zu tun? Schließlich handelt es sich, wie Moore und andere angemerkt haben, nicht bloß um einen einfachen Programmierfehler eines unerfahrenen Programmierers. Vielmehr wurde diese App mit grundlegenden Sicherheitsmängeln entworfen, die in ihrer digitalen DNA verankert sind. Ist dies nur ein Fall von „Ach, was soll’s“-Inkompetenz?
Pavel Durov jedenfalls glaubt das nicht. Sie kennen ihn vielleicht als Mitbegründer und CEO von Telegram, der Social-Media- und Instant-Messaging-Plattform. Vielleicht erinnern Sie sich auch daran, dass Durov 2024 von den französischen Behörden verhaftet wurde, weil diese mit der fehlenden Zensur bei Telegram unzufrieden waren. Und wie Sie sich vorstellen können, hat er eine ganz andere Sicht auf diese Einführung der EU-App als die etablierte Presse.
„Lachen Sie nicht vorschnell über die EU-Bürokraten“, schrieb Durov kürzlich in einem Telegram-Beitrag zu diesem Thema. „Ihre App zur Altersüberprüfung war von Grund auf hackbar – sie vertraute dem Gerät (das bedeutet sofortiges Game Over).“
Anschließend spekuliert er über die wahren Absichten hinter diesem vermeintlichen „Misserfolg“.
Sofern die EU nicht von Clowns 🤡 geleitet wird, ist dies ihr eigentlicher Plan:
Schritt 1 – Eine „datenschutzfreundliche“, aber hackbare App vorstellen.
Schritt 2 – Hacken lassen (*SIE BEFINDEN SICH HIER*).
Schritt 3 – Datenschutz aufheben, um die App zu „reparieren“.
Ergebnis – ein Überwachungsinstrument, das als „datenschutzfreundlich“ verkauft wird.
Die EU-Bürokraten brauchten einen Vorwand, um ihre „datenschutzkonforme“ Altersüberprüfungs-App still und leise in einen Überwachungsmechanismus für alle Europäer zu verwandeln, die soziale Medien nutzen. Der heutige „überraschende Hack“ hat ihnen diesen Vorwand gerade geliefert.
Mit anderen Worten: Durov vertritt die Theorie, dass die Einführung dieser App in Wirklichkeit eine Art virtuelles „False-Flag“-Ereignis war. Die EU-Bürokraten wollen keine App entwickeln, die tatsächlich die Privatsphäre der Nutzer respektiert, oder eine App, die tatsächlich den Nutzern hilft, die Kontrolle über ihre Identität und ihre Daten zu behalten. Vielmehr wollen sie eine Überwachungs-App im Stil von „Big Brother“ auf den Handys aller Nutzer installieren, um so viele Daten wie möglich von ihnen abzugreifen.
Doch diese gerissenen Technokraten wussten, dass die Öffentlichkeit eine derart aufdringliche App sofort ablehnen würde, wenn sie sie sofort einführen würden. Also brachten sie stattdessen eine schlampig gemachte, leicht zu hackende App auf den Markt, um zu demonstrieren, dass ihr Anliegen, die Privatsphäre der Nutzer zu respektieren, die Menschen in Wirklichkeit in Gefahr brachte. Jetzt müssen sie nur noch ihre (vorher geplante) „Lösung“ anbieten – eine sicherheitsoptimierte, aber überwachungsintensive App – und zusehen, wie die Öffentlichkeit danach schreit.
Man muss es den EU-Bürokraten lassen: Wenn das tatsächlich ihr Plan ist, ist er gerade hinterhältig genug, um den Großteil der Öffentlichkeit zu täuschen. Jeder Gedanke, dass die App absichtlich hackbar gestaltet wurde, kann von den vorgetäuschten Skeptikern, die über „Hanlons Rasiermesser“ jammern, und den Mainstream-Medien, die die Geschichte als Beispiel für die „Inkompetenz“ der Regierung aufgreifen, zerstreut werden.
In diesem Fall können wir Hanlons Rasiermesser vielleicht mit einer eigenen Formulierung kontern. Nennen wir es „Corbetts Cutter“: „Schreibe niemals Dummheit zu, was am besten durch absichtliche Sabotage erklärt werden kann.“
Aber selbst wenn „Corbetts Cutter“ die unfassbar schlechte Sicherheitsarchitektur dieser App tatsächlich erklärt, bleibt uns dennoch eine ziemlich große Frage: Warum sind Regierungen weltweit plötzlich so besessen von der Altersüberprüfung? Warum tun sie so, als sei es ein so dringendes Problem, das Alter von Internetnutzern zu kennen?
Von Altersprüfungen zu ID-Kontrollpunkten
Der Teil der „Altersüberprüfung“ auf der technokratischen Agenda ist natürlich ein Ablenkungsmanöver. Regierungen kümmern sich nicht um die Sicherheit von Kindern – siehe die COVID-Impfungen und Pubertätsblocker als zwei aktuelle Beispiele dafür – und sie bemühen sich nicht aus Sorge um die Jugendlichen auf TikTok darum, das Alter aller online zu überprüfen.
Vielmehr geht es hier um Kontrolle. Das Endziel – wie engagierte Corbett-Reporter inzwischen wissen dürften – ist das ultimative technokratische Kontrollnetz. Dieses Kontrollnetz wird nicht nur die totale Überwachung aller Bürger in Echtzeit umfassen – einschließlich ihres genauen Standorts und ihrer Bewegungen, ihrer Interaktionen, ihrer Aktivitäten und der Protokolle ihrer Gespräche –, sondern auch die Kontrolle ihrer Transaktionen durch eine digitale Währung der einen oder anderen Art.
Dieses Kontrollnetz basiert jedoch auf einer digitalen ID. Um ein solches System zu betreiben und umzusetzen, müssen die angehenden Kontrolleure der Menschheit jeden in ihrer digitalen Datenbank haben und ihre Geräte sowie all ihre digitalen Aktivitäten an eine einzige eindeutige Kennung binden.
In der COVID-Ära wurde dieser Vorstoß in Richtung digitaler Identifizierung als notwendiger Bestandteil des Biosicherheitsstaates verkauft. „Du willst doch Oma nicht umbringen, oder? Dann solltest du uns besser erlauben, deine Bewegungen über unsere Kontaktverfolgungs-Apps zu verfolgen, und du solltest dich besser an unsere digitalen Impfpass-Kontrollen halten!“
Es versteht sich von selbst (aber ich sage es trotzdem): Das war eine Lüge. Oder, genauer gesagt, es war eine bequeme Ausrede – ein Vorwand, um den Aufbau einer riesigen digitalen Infrastruktur zu rechtfertigen, mit der die Bewegungen und Interaktionen der Menschen an eine eindeutige digitale Kennung gebunden werden.
Nun, da die „Scamdemic“ vorbei ist, suchen die Technokraten nach einem anderen Weg, um diese Agenda einer leichtgläubigen Öffentlichkeit zu verkaufen. Und so greifen sie auf den altbekannten Refrain zurück: „Denkt denn niemand an die Kinder?“ Schließlich wollen Sie Kinder vor Online-Tätern schützen, nicht wahr?
Angesichts des Vorstehenden können wir nun den rasanten Vorstoß in Richtung des Paradigmas der Altersüberprüfung als das erkennen, was er ist: eine Maske für die Agenda der digitalen Identität. Aber glauben Sie nicht mir. Glauben Sie Andy Yen.
Für diejenigen, die es nicht wissen: Andy Yen ist der CEO der Proton AG, dem Schweizer Technologieunternehmen, das hinter datenschutzorientierten Internetdiensten wie ProtonMail steht. Letzte Woche veröffentlichte er einen Blogbeitrag mit dem Titel „Wir müssen verhindern, dass die Altersüberprüfung die Anonymität im Internet zerstört“, in dem er den Weg von der Altersüberprüfung zur digitalen ID skizziert und über die damit verbundene Bedrohung für die Online-Privatsphäre spricht.
Der Datenschutz im Internet war schon immer fragil. Doch mit der Altersüberprüfung stehen wir kurz davor, ein für alle Mal einen Ausweis von jeder einzelnen Person zu verlangen, die online geht – aus welchem Grund auch immer, ob legal oder nicht, ob volljährig oder nicht. Und das sollte uns allen Angst machen.
Zwar kann kein Unternehmen die Gesetze in seinem Zuständigkeitsbereich einfach ignorieren, doch die großen Tech-Konzerne haben gezeigt, dass sie in großem Stil mit Regierungen zusammenarbeiten. Sie kommen jedes Jahr Hunderttausenden von Datenanfragen von Regierungen nach, von denen viele nie von einem Richter geprüft werden, und diese Zahl wächst stetig.
Darüber hinaus ist bekannt, dass sie dem Druck des Staates nachgeben und Apps verbieten. Wenn jedes Apple-Konto im Vereinigten Königreich an einen von der Regierung ausgestellten Ausweis gebunden ist, wie lange wird es dauern, bis jedes andere Land dasselbe erwartet? Sobald man diese gesammelten Ausweise nutzt, um den Zugang aufgrund des Alters zu sperren, ist es nur ein kleiner Schritt, den Zugang auch aufgrund der Nationalität oder anderer Faktoren zu sperren.
Wie lange wird es dauern, bis China die Namen aller Personen verlangt, die eine bestimmte App heruntergeladen haben? Wie lange wird es dauern, bis Listen mit „unerwünschten Personen“ an die Tech-Giganten geschickt werden, mit der Anweisung, diese vollständig aus dem Internet zu sperren? Ist das wirklich ein Weg, den wir bereit sind zu gehen?
Leider könnte die Antwort auf Yens letzte Frage durchaus „Ja“ lauten.
Tatsächlich werden die meisten Menschen, wenn ihnen ein plausibles Argument – die EU-Experten sind einfach nicht in der Lage, eine datenschutzkonforme App zu programmieren! – und ein plausibler Beweggrund – wir müssen die Kinder schützen! – präsentiert werden, den Köder schlucken und sich der Agenda zur Altersüberprüfung anschließen. Sobald diese wohlmeinenden, aber allzu leichtgläubigen Opfer erkennen, dass es hier gar nicht um Altersüberprüfung geht, sondern um die Schaffung eines digitalen Rasterfahndungsnetzes, wird es natürlich schon zu spät sein. Sie werden bereits in den Fängen des digitalen Giganten gefangen sein.
Die eigentliche Frage lautet also: Was sollen wir gegen dieses Problem unternehmen? Wie ihr wisst, habe ich meine eigenen Vorstellungen, darunter den Boykott der Social-Media-Giganten, die Unterstützung beim Aufbau von Alternativen zu den sozialen Medien und sogar die völlige Abkehr von der digitalen Welt. Ich bin natürlich neugierig auf Ihre eigenen Gedanken dazu, was Sie zu tun gedenken, während sich die Schlinge der digitalen ID immer enger um unseren Hals zieht, und Mitglieder des Corbett Report sind eingeladen, sich anzumelden und ihre Gedanken im Kommentarbereich unten zu hinterlassen.
Aber anstatt uns in Untergangsstimmung zu verlieren, konzentrieren wir uns lieber auf eine positive Erkenntnis aus der heutigen Untersuchung. Wenn das nächste Mal ein etablierungsfreundlicher, selbsternannter „Skeptiker“ versucht, mit Hanlons Rasiermesser ein Muster wiederholter „Misserfolge“ wegzuerklären, können Sie nun Corbetts Cutter einsetzen, um ihm die Zunge herauszuschneiden und sie ihm wieder in den Hals zu schieben.
…Im übertragenen Sinne natürlich.