Jugendmedienschutz : Altersverifikation braucht Architektur, nicht nur eine App

Die EU-App zur Altersverifikation ist ein Schritt in die richtige Richtung. Doch jetzt, kurz nach der Ankündigung von Präsidentin Ursula von der Leyen, lohnt es sich, genauer hinzuschauen. Die eigentliche Frage ist nicht, ob eine App das Alter bestätigen kann, sondern: Was passiert danach?

Die erste Frage: Alter als Berechnung oder als Stempel?

Die EU-App stellt einen digitalen Altersnachweis aus – wie ein Stempel im Pass, der sagt: „Diese Person ist über 18.“ Das funktioniert am Tag der Ausstellung. Aber was passiert am Geburtstag, wenn ein 17-Jähriger 18 wird? Der fixe Altersnachweis weiß nichts davon – er ist eine statische Antwort auf eine Frage, die sich jeden Tag ändern kann.

Wallet-Apps werden zertifiziert werden müssen, um signierte Nachweise mit allen kryptographischen Anforderungen zu verarbeiten. Und dennoch traut man derselben zertifizierten App nicht zu, eine simple Grundschul-Rechenaufgabe durchzuführen: Datum heute – Geburtsdatum. Das ist, als würde man einer Bank erlauben, Millionen zu überweisen, ihr aber verbieten, den Kontostand auszurechnen. Die simple und richtige Alternative: Das Alter wird direkt auf dem Smartphone berechnet, im Moment der Abfrage. Kein fixer Stempel, kein statischer Nachweis, der veralten und damit lügen kann. Kein Server, der neu ausstellen muss.

Die zweite Frage: Wer hält das Gerät?

Heute schützt ein vierstelliger PIN den Zugang zum Altersnachweis. Wer den PIN kennt, ist für das System die verifizierte Person. Ein Kind, das den Code seiner Eltern kennt, hat vollen Zugang. Doch das Problem geht tiefer.

In der aktuellen Architektur sitzt die App zwischen Ausweisdokument und ausstellendem Server, der nicht selbst prüfen kann, ob ein Ausweis tatsächlich gescannt wurde – er muss der App vertrauen. Sicherheitsforscher haben gezeigt, dass sich genau dieses Vertrauen ausnutzen lässt. Die Herausforderung steckt im gesamten Modell zentraler Schlüsselverwaltung.

Viele EU-Staaten, darunter Deutschland, setzen auf zentrale Sicherheitsmodule, sogenannte HSM-Server. Diese sind zwar redundant aufgebaut, schützen damit aber nur vor Hardware-Defekten – nicht vor Vertrauensbrüchen: Ein kompromittierter Administrator hat Zugriff auf alle Knoten zugleich, eine Firmware-Schwachstelle trifft alle Geräte gleichzeitig – wie 2017 die Roca-Lücke zeigte, die Module mehrerer EU-Staaten zugleich angreifbar machte.

Was nach verteilten Servern aussieht, ist logisch ein einziger Vertrauensanker für zig Millionen Identitäten. Andere Ansätze setzen auf eSIM-/SIM-Karten – doch eine SIM ist kein Eigentum des Nutzers, sondern eine Lizenz des Mobilfunkanbieters, der die Schlüssel erzeugt, verwaltet und sogar remote deaktivieren kann.

Es gibt einen besseren Weg: Die Verifikation findet direkt auf dem Endgerät statt, im sogenannten Secure Element – einem Chip im Smartphone, der Anfragen beantwortet, aber den Schlüssel nie preisgibt. Kein zentraler Server, kein Mobilfunkanbieter, kein Mittelsmann. Nur ein kryptographisch gesichertes Ja oder Nein, erzeugt an der einzig richtigen Quelle. Dass diese Architektur trägt, ist BSI-bestätigt: zum Beispiel sind iPhone und Samsung Galaxy bereits für klassifizierte Behörden-Daten zugelassen.

Die dritte Frage: Geht's auch ohne Internet?

Altersverifikation findet nicht nur auf Websites statt. Sie findet an Eingängen statt – in Clubs, auf Festivals, an Kiosken, an Orten ohne Mobilfunkempfang. Ein Türsteher mit langer Schlange kann nicht pro Person 15 Sekunden warten, während eine App Bluetooth aktiviert oder den Server zu erreichen versucht.

Scheitert die Verbindung bei einem Gast, steht die ganze Schlange still – das System versagt genau dort, wo es am meisten gebraucht wird. Was es braucht, kennt jeder Fluggast: QR-Code, Scan, grün oder rot, fertig in Sekunden. Ohne Internet, ohne Bluetooth, ohne Serververbindung. Die Technologie existiert.

Die EU-Kommission hat die Tür für Lösungen aus dem Privatsektor aufgestoßen. Die Akkreditierung privater Anbieter beginnt. Das ist die richtige Entscheidung – denn Altersverifikation ist nur der Anfang. Die Identität darunter ist das, was sie vertrauenswürdig macht. Und dafür braucht es eine andere Architektur.

Stephan Bergmann ist Gründer und CEO von Hash ID, einem in Spanien ansässigen Start-up, das ein deterministisches, EU-konformes Identitäts-Ökosystem mit dem Schwerpunkt auf Zero-Knowledge-Proofs baut.