EU-Forschungsdienst des Parlaments bezeichnet VPNs als „Schlupfloch, das geschlossen werden muss“

 (cyberinsider.com)
1 Punkte von GN⁺ 1 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Der European Parliamentary Research Service (EPRS) stuft VPNs als „gesetzgeberisches Schlupfloch, das geschlossen werden muss“ ein, da sie zunehmend genutzt werden, um Online-Systeme zur Altersverifikation zu umgehen
  • Regierungen in Europa und anderen Regionen weiten Online-Kinderschutzregeln aus, die Plattformen verpflichten, das Alter von Nutzern zu prüfen, bevor sie Zugang zu Erwachsenen- oder altersbeschränkten Inhalten erhalten
  • Laut EPRS ist die Nutzung von VPNs stark angestiegen, nachdem in Großbritannien und mehreren US-Bundesstaaten verpflichtende Gesetze zur Altersverifikation in Kraft getreten sind; in Großbritannien hätten VPN-Apps die Download-Charts dominiert
  • Das EPRS-Dokument782618_EN.pdf) stellt fest, dass einige politische Entscheidungsträger und Kinderschutzbefürworter auch für den Zugang zu VPNs eine Altersverifikation verlangen, dass eine Identitätsprüfung vor dem VPN-Zugang jedoch den Schutz der Anonymität schwächen und die Risiken von Überwachung und Datensammlung erhöhen könnte
  • EPRS erklärt, dass VPN-Anbieter im Zuge der Überarbeitung von EU-Gesetzen zu Cybersicherheit und Online-Sicherheit stärker unter die Lupe genommen werden könnten und dass in einer künftigen Reform des EU Cybersecurity Act Kinderschutzanforderungen eingeführt werden könnten, um den Missbrauch von VPNs zu verhindern

EPRS warnt vor Regulierungslücke bei VPNs

  • Der European Parliamentary Research Service (EPRS) erklärt, dass VPNs zunehmend genutzt werden, um Online-Systeme zur Altersverifikation zu umgehen, und bezeichnet sie als „gesetzgeberisches Schlupfloch, das geschlossen werden muss“
  • Regierungen in Europa und anderen Regionen weiten Online-Kinderschutzregeln aus, die Plattformen verpflichten, das Alter von Nutzern zu prüfen, bevor sie Zugang zu Erwachsenen- oder altersbeschränkten Inhalten erhalten
  • VPNs sind Datenschutz-Tools, die den Internetverkehr verschlüsseln und Verbindungen über entfernte Server leiten, um die IP-Adresse eines Nutzers zu verbergen
  • Sie werden zwar auch breit für legitime Zwecke wie den Schutz von Kommunikation, das Umgehen von Überwachung und sicheres Remote-Arbeiten genutzt, Aufsichtsbehörden befürchten jedoch, dass dieselbe Technik Minderjährigen erlaubt, standortbasierte Altersprüfungen zu umgehen

Mehr VPN-Nutzung nach Einführung von Gesetzen zur Altersverifikation

  • EPRS erklärte, dass die VPN-Nutzung stark angestiegen ist, nachdem in Großbritannien und mehreren US-Bundesstaaten verpflichtende Gesetze zur Altersverifikation eingeführt wurden
  • In Großbritannien müssen Online-Dienste den Zugang von Kindern zu schädlichen Inhalten verhindern; nach Inkrafttreten des Gesetzes hätten VPN-Apps die Download-Charts dominiert
  • Im Beitrag von EPRS heißt es: „VPNs werden zunehmend genutzt, um die Online-Altersverifikation zu umgehen“, und es wird darauf verwiesen, dass neue Regeln in Kraft getreten sind, die für den Zugang zu manchen Diensten ein Mindestalter verlangen

Tendenz, auch für den VPN-Zugang selbst Altersverifikation zu verlangen

  • Das EPRS-Dokument782618_EN.pdf) bezeichnet VPNs ausdrücklich als Regulierungslücke und erklärt, dass einige politische Entscheidungsträger und Kinderschutzbefürworter eine Altersverifikation auch für den Zugang zu VPNs selbst für notwendig halten
  • Auch England’s Children’s Commissioner fordert, VPN-Dienste auf Erwachsene zu beschränken
  • Würde jedoch vor dem VPN-Zugang eine Identitätsprüfung verpflichtend, könnte das den Schutz der Anonymität erheblich schwächen und neue Risiken im Zusammenhang mit Überwachung und Datensammlung schaffen
  • VPN-Anbieter und Datenschutzorganisationen haben sich bereits in einem Schreiben an britische politische Entscheidungsträger gegen einen solchen Ansatz ausgesprochen

Sicherheits- und Datenschutzprobleme der EU-App zur Altersverifikation

  • Im vergangenen Monat entdeckten Forscher kurz nach der Veröffentlichung der offiziellen App der European Commission zur Altersverifikation mehrere Sicherheits- und Datenschutzmängel
  • Die App wurde im Rahmen des DSA als datenschutzfreundliches Tool beworben, es wurde jedoch festgestellt, dass sensible biometrische Bilder unverschlüsselt gespeichert wurden
  • Zudem wurde eine Schwachstelle offengelegt, mit der sich die Verifikationskontrollen vollständig umgehen ließen

Technisch schwierige Altersverifikation und Alternativen

  • Das EPRS-Dokument räumt ein, dass Altersverifikation EU-weit weiterhin technisch schwierig und fragmentiert ist
  • Aktuelle Systeme auf Basis von Selbstauskunft, Altersschätzung und Identitätsprüfung können von Minderjährigen relativ leicht umgangen werden
  • Als neuer Ansatz wird auch eine in Frankreich genutzte „double-blind“-Verifikation genannt
    • Websites erhalten nur eine Bestätigung, dass ein Nutzer die Altersanforderung erfüllt, kennen aber nicht dessen Identität
    • Der Verifikationsanbieter kann nicht sehen, welche Website der Nutzer besucht

Gesetzgebung beginnt, VPNs direkt zu adressieren

  • Utah wurde kürzlich zum ersten US-Bundesstaat, der ein Gesetz verabschiedet hat, das die Nutzung von VPNs bei der Online-Altersverifikation ausdrücklich ins Visier nimmt
  • Utahs SB 73 definiert den Standort eines Nutzers anhand seiner physischen Anwesenheit statt anhand der sichtbaren IP-Adresse, selbst wenn ein VPN- oder Proxy-Dienst zur Verschleierung des Standorts genutzt wird
  • EPRS geht davon aus, dass VPN-Anbieter bei der Überarbeitung von EU-Gesetzen zu Cybersicherheit und Online-Sicherheit stärker geprüft werden könnten
  • In einer künftigen Reform des EU Cybersecurity Act könnten Kinderschutzanforderungen eingeführt werden, um den Missbrauch von VPNs zur Umgehung gesetzlicher Schutzmaßnahmen zu verhindern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 1 시간 전
Hacker-News-Kommentare

  • Falls es die Leute vergessen haben: Als China anfing, vor dem Betrieb einer Website eine Registrierungsgenehmigung zu verlangen, lautete die Begründung ebenfalls Kinderschutz
    Diese einfache Regelung brachte am Ende die meisten privaten Herausgeber und unabhängigen Medien zum Schweigen, konzentrierte die Branche in wenigen Händen und nahm kleinen Gründern die verbleibenden Chancen. Das könnte ein viel schlimmeres Ergebnis sein, als wenn Kinder online Pornos sehen, weil es sich negativ auf das ganze Leben der Menschen auswirkt
    Wenn die EU VPN-Dienste wirklich auf Erwachsene beschränken will, kann sie einfach Kinder bestrafen, die VPNs nutzen, oder Eltern, die das zulassen. So wie man bei Verkehrsverstößen nicht die Straße, sondern den Fahrer bestraft
    Und wenn selbst das nicht reicht, kann man wie Nordkorea einfach die Kabel durchschneiden

    • Zusammengefasst lief es in Russland so
      Um 2015 wurde unter dem Vorwand, Piraterie-Medien, insbesondere torrents.ru, zu blockieren, ein rechtlicher Rahmen geschaffen, und landesweite DNS-Sperren wurden eingeführt, die sich jedoch leicht umgehen ließen, indem man 8.8.8.8 abfragte
      Danach setzte die Regierung diese Rechtsgrundlage ein, um weitere Kategorien wie Casinos und Terrororganisationen auf die Sperrliste zu setzen, und begann vorsichtig auch mit IP-Sperren
      Das Gesetz wurde weiter ausgedehnt, sodass die Regierung bestimmte Medien nach vagen Kriterien blockieren konnte, es gab Versuche mit IP-Sperren gegen einige große Websites, und ISPs wurden verpflichtet, DPI-Geräte zur Filterung anhand von HTTPS-SNI zu installieren
      Um 2019 wurde mit Roskomnadzor (RKN) eine Regierungsbehörde geschaffen, die Sperren ohne Gerichtsbeschluss durchsetzt; um 2021 begannen Sperren gegen Websites, die auf Anforderung der RKN Inhalte nicht nach russischem Recht filterten, und auch VPN-Dienste mussten ihren Traffic per DPI filtern
      Um 2023 begann das Vorgehen gegen VPNs: populäre kommerzielle Dienste wurden per IP blockiert, OpenVPN- und IPSec-Verbindungen per DPI selektiv verlangsamt, und um 2025 wurden starke VPN-Filter für vless, WireGuard usw. eingeführt, während auch die Performance bestimmter Seiten wie YouTube und Twitter verschlechtert wurde
    • Ich wäre dafür, wenn Politiker, Strafverfolgungsbehörden und Militärs denselben Anti-Privatsphäre-Gesetzen unterworfen wären. Natürlich bin ich nicht wirklich dafür
      Dann würden Oppositionsparteien ihren Dreck offenlegen, alltägliche Korruption sichtbar machen und die Beteiligten die Daten gegenseitig als Waffen einsetzen, aber in so einer Welt leben wir nicht. Wir leben nicht in einer Welt, in der Gesetze für alle fair gelten
      Es heißt also: „Regeln für euch, nicht für mich“
    • Du stellst viel zu logische Fragen. Für einen Weltbürger des Jahres 2026 denkst und sprichst du viel zu viel. „Schlussfolgern“ ist jetzt ein reserviertes Schlüsselwort nur für Chatbots; Menschen sollen das nicht mehr tun, sondern wie Bots gehorsam sein und jede Lüge von ihnen als Wahrheit behandeln
      Ich lebe in der Türkei, und die Regierung hat um 2008 alle Erwachsenenseiten verboten. Selbst Erwachsene haben keinen Zugang. Dieses Jahr verbietet sie passend zum globalen Trend VPNs und führt Alters- und Identitätsprüfung ein
      Einige Spiele werden ebenfalls verboten, soziale Medien kontrolliert, und es wird legalisiert, alle im Internet zu kontrollieren und zu verfolgen. Was für ein Zufall, dass in mehreren unabhängigen Staaten gleichzeitig ähnliche Versuche stattfinden
      Und seit 2008 sind Kinder in der Türkei dadurch auch nicht tatsächlich geschützter geworden
    • Das Argument „Denkt an die Kinder“ hört man immer. Denn damit kann man Menschen, die gegen eine Regulierung oder ein Gesetz sind, bestenfalls als Leute abstempeln, die „Kinder gefährden“, und schlimmstenfalls als „Pädophile“
      Dadurch werden Gegner solcher Regeln oder Gesetze bestenfalls zu Personen, denen man nicht zuhören muss, und schlimmstenfalls zu Leuten, die ins Gefängnis gehören
      https://en.wikipedia.org/wiki/Think_of_the_children
    • Ich erinnere mich nicht daran, dass Chinas Website-Registrierungsgenehmigungen mit „Kinderschutz“ begründet wurden, und es ist auch schwer, Belege dafür zu finden, dass diese Rechtfertigung öffentlich eine große Rolle spielte
      Für mich sieht es eher so aus, als habe die Regierung entschieden, dass sie mehr Kontrolle über das Internet braucht, und dann Gesetze erlassen, die ihr genau das geben. https://www.gov.cn/gongbao/content/2000/content_60531.htm
      In diesem Gesetz gab es anfangs auch keine Sonderklausel, die nur für Kinder galt und später auf Erwachsene ausgeweitet wurde. Andererseits gelten die Einschränkungen der Spielzeit für Kinder meines Wissens weiterhin nur für Kinder

  • Dieser Titel scheint irreführend zu sein
    Das Dokument des Europäischen Parlaments scheint auf die Existenz der Debatte über VPNs hinzuweisen
    Die einschlägige Passage lautet sinngemäß: „Einige argumentieren, dies sei eine Lücke im Gesetz und auch für VPNs solle eine Altersprüfung verlangt werden. Einige VPN-Anbieter entgegnen darauf, dass sie keine Informationen mit Dritten teilen und ihre Dienste ohnehin nicht für die Nutzung durch Kinder gedacht seien. Die britische Kinderbeauftragte fordert, VPNs nur auf die Nutzung durch Erwachsene zu beschränken“
    Das heißt natürlich nicht, dass die EU VPNs niemals regulieren wird, aber nirgends in diesem Dokument sagt die „EU“, VPNs müssten geschlossen werden

    • Diese Idioten, und damit meine ich nicht nur die EU, versuchen ernsthaft, Jugendliche vom Pornokonsum abzuhalten, und sind dafür bereit, die Internet-Infrastruktur zu beschädigen. Ein trauriges Symptom alternder Gesellschaften
    • Dieser Titel ist auch der exakte Titel des entsprechenden Abschnitts im Dokument
      Insgesamt stimmt der Einwand, dass das Thema ausgewogen behandelt wird, aber die Wahl genau dieses Satzes war schlecht und liefert der Empörungsmaschine Futter
      https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/7826...
    • Kindern nackte Menschen zu zeigen, ist ein schreckliches Verbrechen
      Kinder zu bombardieren ist dagegen in Ordnung, und alle dafür nötigen Waffen werden bereitwillig produziert und geliefert
      Das Muster einer kranken Gesellschaft
    • Der „Children's Commissioner for England“ ist nicht die EU. Wirklich nicht die EU. Großbritannien hat die EU verlassen, nach Wahlen und einem jahrelangen Verfahren
    • Wir brauchen ein neues „Gesetz der Überschriften“: Wenn im Titel steht, die EU habe etwas gesagt, dann hat es in Wirklichkeit nicht die EU gesagt

  • Ich finde, jedes System zur Identitätsprüfung sollte bei den wirtschaftlich Berechtigten von Unternehmen anfangen
    Regierungen haben sich von Lobbyisten dazu bringen lassen, dass reiche Eigentümer von Firmen mit dubiosen Geschäften vollständige Anonymität behalten, während normale Menschen bald selbst fürs Einkaufen von Lebensmitteln ihren Ausweis zeigen sollen

    • Genau. Noch schlimmer ist, dass niemand die Regierung in Richtung datenschutzwahrender Altersverifikation drängt
      Stattdessen versuchen Techniker einfach zu überzeugen, gar nichts zu regulieren, und das könnte nicht funktionieren
    • Aus Sicht von jemandem, der in einer Jurisdiktion lebt, die solche Offenlegungen verlangt: Für kleine Unternehmen ist das ein erheblicher Aufwand und bringt der breiten Öffentlichkeit wenig Nutzen
    • Für die herrschende Klasse Briefkastenfirmen, für die Bauern immer weniger Anonymität

  • Diejenigen, die VPNs wirklich blockieren wollen, sind kommerzielle Streaming-Anbieter, insbesondere im Bereich Live-Sport
    Unabhängig vom Staat oder der regierenden Partei läuft es am Ende auf Geld hinaus

    • Das müsste stärker betont werden
      Es ist nicht nur ein Problem der Regierung. Auch einige Großunternehmen mit Geld treiben das still im Hintergrund voran

  • Warum werden Steuerschlupflöcher nicht genauso überwacht
    Die verpflichtende Altersprüfung im Internet ist meiner Meinung nach schädlich und sollte verboten werden

    • Stimme zu. Altersprüfung im Web sollte zu 100 % verboten werden
      Eltern sollten lernen, Eltern zu sein, und der Staat sollte Unternehmen nicht zwingen, Kindererziehung zu übernehmen
    • Steuer-„Schlupflöcher“ sind oft einfach beabsichtigte Politik, der du nicht zustimmst
    • Warum glaubst du, dass sie nicht überwacht werden? Gerade der Double Irish Dutch Sandwich wurde doch angegangen
    • Warum denkst du das? Wird dein Alter nicht auch geprüft, wenn du deinen Führerschein verlängerst oder bei Amazon etwas kaufst?
      Als ich klein war, wurden Kinderprogramme und Werbung streng überwacht. Heute kann jedes Kind im Internet auf Pornografie, Gewalt und Betrug zugreifen. Der Schaden liegt dort, nicht bei der Altersprüfung
    • Wie will man Steuerschlupflöcher überhaupt definieren? Es gibt keine einzelne Handlung namens „Steuerschlupfloch“; vielmehr ist jedes davon eine Optimierung aus einem Bündel völlig legaler Praktiken, deshalb schwer zu definieren und entsprechend schwer zu überwachen
      Ein endloses Whac-A-Mole

  • Falls ein EU-Regierungsvertreter das hier liest, hätte ich eine kurze Botschaft
    Bitte hört auf, im Internet ständig an die Kinder zu denken. Stattdessen gibt es dringendere Aufgaben
    Besteuert Großunternehmen stärker, besteuert Superreiche stärker und finanziert Open-Source-Technologien und -Infrastruktur aus der EU
    Sorgt dafür, dass Eltern mehr Zeit mit ihren Kindern verbringen können, damit sie sie besser schützen und vor Raubtieren bewahren können als jedes dumme Gesetz
    Und baut mehr Züge

  • Eine Frage geht mir die ganze Zeit durch den Kopf
    Warum ist Altersverifikation mit Identitätsprüfung verknüpft?
    Ich verstehe, dass Ersteres ohne Letzteres kaum möglich ist, aber müsste die prüfende Stelle nicht einfach nur das Ergebnis der Altersprüfung weitergeben können, ohne andere Details preiszugeben?
    Verstehe ich da etwas falsch? Wenn das möglich ist, könnte man VPNs doch weiter nutzen

    • „Double-blind“-Verifikation scheint genau so zu funktionieren
      Der Bericht hebt neue Ansätze hervor, etwa das in Frankreich verwendete Double-blind-Verifikationssystem. Die Website erfährt nur, ob der Nutzer die Altersanforderung erfüllt, ohne seine Identität zu kennen, und der Verifikationsanbieter sieht nicht, welche Website der Nutzer besucht
    • Zumindest wenn man wie die EU versucht, ein eigenes System vorzuschreiben und sich nicht auf unabhängige Dritte verlassen will, muss man blind darauf vertrauen, dass die Regierung die App zur Altersverifikation kontrolliert und das trotzdem respektiert
    • Aus technischer Sicht ist das mit DIDs, also dezentraler Identität, und dazugehörigen verifizierbaren Nachweisen seit etwa zehn Jahren gelöst
      Darauf basiert auch das EU-Framework für digitale Wallets, und genau das von dir beschriebene Szenario ist ein zentraler Anwendungsfall
      Jetzt wandert das Thema aus Wissenschaft und Forschung in die Politik, und Feedback sowie Druck von kommerziellen Gruppen und politischen Agenden trüben das Bild
      Hier sind die Links zu den Standards. Hochwertige, kürzere und leichter verständliche Videos dazu findet man ebenfalls leicht
      https://www.w3.org/TR/did-1.0/
      https://www.w3.org/TR/vc-data-model-2.0/
      Übrigens ist das eines der gesunden Nebenprodukte der Blockchain-Ära, also besser nicht auf überdrehte Videos von Krypto-Promotern hereinfallen
    • Ja. Datenschutzwahrende Altersverifikation ist möglich. Die meisten Leute, die sich hier sehr stark dagegen aussprechen, scheinen das nicht zu wissen
      Der meiste Ärger hier geht offenbar davon aus, dass Altersverifikation automatisch Nachverfolgung bedeutet
      Wenn die Leute sich vor dem Beschweren nur ein wenig informiert hätten, hätte es hier eine interessante Debatte über datenschutzwahrende Altersverifikation geben können

  • Die Leute sehen nur Privacy-VPNs für Verbraucher, aber innerhalb der EU gibt es einen viel breiteren Einsatzbereich für kommerzielle VPNs
    Punkt-zu-Punkt-Tunnel, die zwei Standorte zu einem Netzwerk verbinden, Zugriff von Laptops und Mobilgeräten auf Unternehmensressourcen und die Kompensation der Einseitigkeit des heute oft aufgezwungenen miserablen Internets gehören dazu
    Im Grunde gilt: Wenn du auch nur ein bisschen remote arbeitest, behaupte ich nicht, dass du zwingend gerade ein VPN benutzt, aber es ist ziemlich wahrscheinlich. Vielleicht hat sogar das IT-Backend der Politiker selbst eine Meinung dazu, wie sehr die Exekutive die Legislative technisch überwachen können sollte

  • Der Staat hat bereits die Identitätsdaten aller, einschließlich Geburtsdatum. Wenn also das Problem sein soll, dass Minderjährige auf Erwachsenenseiten und -dienste zugreifen, dann muss die Seite nur wissen, ob der Nutzer 18+ ist oder das von der Regierung festgelegte Alter erreicht hat
    Es sollte einen standardisierten staatlichen Identitätsdienst/API geben, über den Nutzer einer angefragten Website oder einem Dienst nur ihr Alter oder ausgewählte Informationen offenlegen können. Wenn dieser staatliche Identitätsdienst angemessene Zwei-Faktor-Authentifizierung und Sicherheit bietet, wäre das alles, was man braucht
    Anfragen und Antworten könnten passend anonymisiert werden, sodass der Staat die Website nicht kennt und die Website nicht die Identität der Person erfährt
    Warum gibt es das noch nicht? Soweit ich weiß, hat es niemand vorgeschlagen

    • Doch, das wurde breit diskutiert und es gibt frühe Implementierungen. Die EU Digital Wallet macht genau das. https://ec.europa.eu/digital-building-blocks/sites/spaces/EU...
      Theoretisch sollten bald alle EU-Staaten das unterstützen, und Nutzer könnten es verwenden, um ihr Alter online privat nachzuweisen. Bis zum tatsächlichen Rollout ist noch Arbeit zu erledigen, aber technisch ist das schon in Gang, und der Ausrollplan scheint festzustehen
    • Nein. Du scheinst nicht zu verstehen, wie Regierungen funktionieren. Es wird niemals wirklich anonymisiert sein, also ist es eine schreckliche Idee. Im Grunde schlägst du vor, Konten an Pässe zu koppeln
    • Der deutsche Personalausweis unterstützt das. Es gibt eine PKI, und der Ausweis ist eine Smartcard mit Zertifikat und privatem Schlüssel [0]
      Auf die Frage „Ist die Person über 18?“ kann mit einem Zero-Knowledge-Beweis geantwortet werden. Im Endeffekt wird nur nachgewiesen, dass du einen gültigen Ausweis besitzt und die PIN kennst, aber das scheint auszureichen. Laut Artikel hat Frankreich diese Funktion ebenfalls
      [0] https://www.personalausweisportal.de/Webs/PA/EN/government/t..., https://www.bsi.bund.de/EN/Themen/Oeffentliche-Verwaltung/El...
    • Ja, in Frankreich macht man das zum Beispiel so, und allgemein geht die Diskussion in der EU in diese Richtung
    • Ja. Wenn einer Regierung Altersverifikation wirklich wichtig ist, sollte sie die entsprechenden Werkzeuge bereitstellen. Es gibt Mittel, das ohne Eingriff in die Privatsphäre zu tun
      Ein Dienst wie das niederländische DigiD könnte eine hervorragende Grundlage sein. Genau jener Dienst, den man trotz aller Ablehnung an die USA verkaufen will. Man müsste nur noch einen Dienst zur Altersverifikation hinzufügen. Die Regierung weiß ohnehin schon im rechtlich stärksten Sinne, wer du bist

  • Früher kontrollierten Eltern, auf welche Websites Kinder zugreifen konnten
    Heute leben wir in einer Zeit, in der Politiker kontrollieren, auf welche Websites wir zugreifen können