Einleitung
Die Europäische Kommission plant, mit einer mobilen Anwendung das Alter von Nutzerinnen und Nutzern für Online‑Dienste nachzuweisen. Obwohl die App noch nicht existiert, hat die Behörde bereits Bausteine und Spezifikationen veröffentlicht, damit Entwickler eigene Varianten programmieren können. Ziel ist ein europäischer Goldstandard für Altersverifikation, der künftig auch die geplante EUDI‑Wallet unterstützen soll.
Technischer Ansatz und umstrittene Auswahl
Statt eines komplett unabhängigen Verfahrens hat die Kommission ein Kryptografie‑Verfahren gewählt, das von zwei Google‑Entwicklern stammt. Der Code liegt zwar als Open‑Source‑Projekt vor, doch eine seit Jahren etablierte, ebenfalls offene Alternative, die keinerlei Bindung an ein profitorientiertes Unternehmen hat, wurde konsequent außen vor gelassen.
Experten warnen vor Abhängigkeit
Sicherheitsexpertinnen und -experten kritisieren diese Entscheidung scharf. Sie argumentieren, dass die gewählte Methode weniger effizient sei und zusätzliche Risiken mit sich bringe. Insbesondere die Gefahr einer einseitigen Abhängigkeit von einem einzelnen Anbieter wird als potenzieller Angriffspunkt für Datenschutzverletzungen betrachtet.
Datensparsamkeit durch Zero‑Knowledge‑Proof
Die Alterskontroll‑App soll ausschließlich das Ergebnis „Mindestalter erreicht“ oder „nicht erreicht“ offenbaren – ohne das genaue Geburtsdatum preiszugeben. Hierfür wird ein sogenannter Zero‑Knowledge‑Proof (ZKP) eingesetzt, ein kryptografischer Nachweis, der die gesuchte Information verifiziert, ohne die zugrundeliegenden Daten zu enthüllen.
Digitale Signaturen als Vertrauensanker
Damit der ZKP funktioniert, benötigen die Systeme digitale Signaturen. Diese fungieren ähnlich einer handschriftlichen Unterschrift, indem sie mathematisch belegen, dass eine Mitteilung von einer verifizierten Quelle stammt. In der Praxis übernehmen Banken, Mobilfunkanbieter oder staatliche Stellen die Rolle des sogenannten Attestation Provider und stellen die signierten Altersbestätigungen aus.
Verhindern von Verknüpfungen – Anonymous Credentials
Ein zentrales Problem bestünde darin, dass wiederholte Nachweise identisch sein könnten und damit Rückschlüsse auf die gleiche Person erlauben würden. Die Lösung dafür heißt „Anonymous Credentials“. Bei jeder Altersübermittlung wird ein frischer, einmaliger Beweis erzeugt, der an den jeweiligen Dienst übermittelt wird. So kann kein Verifier erkennen, dass es sich um dieselbe Person handelt, selbst wenn mehrere Beweise untereinander verglichen werden.
Zwei konkurrierende kryptografische Verfahren
Im Kryptografie‑Umfeld stehen für die Umsetzung von Anonymous Credentials hauptsächlich zwei Verfahren zur Debatte: das etablierte BBS‑Schema, das bereits 2004 entwickelt und 2013 als ISO‑Standard anerkannt wurde, sowie neuere, noch nicht so weit verbreitete Alternativen. Während BBS als gut erforscht gilt, wird von manchen Seiten argumentiert, dass modernere Methoden bessere Skalierbarkeit und geringere Implementierungskosten bieten könnten.
Ausblick auf die EUDI‑Wallet
Die Alterskontroll‑App ist ein Vorläufer der europäischen EUDI‑Wallet, die voraussichtlich Ende 2026 EU‑weit eingeführt wird. Die Wallet soll nicht nur Altersnachweise, sondern zahlreiche digitale Identitätsdaten sicher verwalten. Die heutigen Diskussionen über Open‑Source‑Lösungen, Anbieter‑Unabhängigkeit und datenschutzfreundliche Protokolle werden daher entscheidend für das Gelingen des gesamten Projekts sein.