Europas „Altersverifikations“-„App“ zwingt alle zur Nutzung von Android oder iOS
(github.com/eu-digital-identity-wallet)- Zum Zeitpunkt der Eröffnung der Diskussion nannte die technische Spezifikations-README eine App- und Geräteverifikation über die Google Play Integrity API und Apple App Attestation. Dagegen wurde eingewandt, dass eine solche Voraussetzung für die Altersverifikation eine Abhängigkeit von US-Plattformbetreibern und bestimmten mobilen Betriebssystemen schaffen würde.
- Wenn Nachweise bestimmter Anbieter verlangt werden, werden Geräte ohne Google- oder Apple-Software, alternative Android-Distributionen und Nutzer ohne Smartphone ausgeschlossen. Das kollidiert mit den Prinzipien von Zugänglichkeit und Interoperabilität, wonach der Dienst für alle nutzbar sein, unter Kontrolle der Nutzer stehen und mit mehreren Betriebssystemen und Wallets zusammenarbeiten soll.
- Als Alternativen wurden Yivi, standardmäßige Android-Hardware-Attestierung, Web-Apps auf Basis der Digital Credentials API, ein Verfahren, bei dem nationale Identitätsanbieter eine einmalige Challenge signieren, sowie Unified Attestation genannt. Gegen Yivi und Unified Attestation wurde jedoch eingewandt, dass sich das Vertrauen jeweils auf einen zentralen Aussteller und einen externen Biometriedienst beziehungsweise auf einen anderen Attestierungsanbieter konzentriert.
- Als Beispiele wurden zahlreiche Play-Integrity-bezogene Issues zur italienischen Digital Wallet sowie Probleme durch die Abhängigkeit von Google-Konto und offizieller ROM angeführt. Zudem wurde die Wirksamkeit kritisiert: Angreifer könnten Attestierungen umgehen oder andere Personen den QR-Code für sie scannen lassen, sodass nur legitime Nutzer eingeschränkt würden.
- Im Mittelpunkt steht die Forderung, dass staatliche Dienste nicht auf der Technologie einzelner Unternehmen, sondern auf offenen Standards basieren sollten, die jeder implementieren kann. In der vorliegenden Diskussion findet sich keine offizielle Entscheidung oder abschließende Lösung zur Integration von Google- oder Apple-Attestierung.
Vorgeschlagene App- und Geräteverifikation und zentrale Einwände
- Zum Zeitpunkt der Eröffnung der Diskussion war in der README „App- und Geräteverifikation auf Basis der Google Play Integrity API und Apple App Attestation“ als nächster Schritt aufgeführt.
- Ausgangspunkt war die Sorge, dass die Verknüpfung der Altersverifikation mit diesen Diensten die Abhängigkeit der EU von US-Technologiekonzernen und die Kontrolle der USA über das Internet weiter vergrößern würde.
- Für digitale Souveränität müsse schon die Abhängigkeit von externen Drittanbieterdiensten vermieden werden; mit jeder zusätzlichen Abhängigkeit entstehe auch ein Ökosystem potenzieller Sicherheitsprobleme.
- Später antwortete ein Teilnehmer, dass diese Formulierung nicht mehr in der README stehe; der vorliegende Text enthält jedoch keine Angaben dazu, wie es zu der Änderung kam oder ob es eine offizielle Entscheidung gab.
- Diese Diskussion wurde am 31. Juli 2025 aus Issue #18 in eine Discussion umgewandelt; der Text enthält kein finales Ergebnis zu Annahme oder Rücknahme.
Zugänglichkeit, Nutzerkontrolle und Interoperabilität
- Eine an bestimmte Betriebssysteme und Anbieter gebundene Altersverifikation wurde dafür kritisiert, mit den folgenden von der Organisation formulierten Prinzipien zu kollidieren:
- sie allen bereitzustellen, die sie nutzen wollen
- sie unter Kontrolle der Nutzer zu stellen
- Das Prinzip der Interoperabilität in der technischen Spezifikation verlangt eine nahtlose Integration zwischen verschiedenen Gerätebetriebssystemen, Wallet-Apps und Online-Diensten. Daher passe es nicht zu einem Design, das auf Android- und iOS-anbieterspezifische Attestierungen angewiesen ist.
- Nutzer ohne Google- oder Apple-Software, viele Nutzer von Nicht-Google-Smartphones in Südeuropa, Nutzer alternativer ROMs oder von microG sowie Menschen ohne Smartphone könnten von der Nutzung ausgeschlossen werden.
- Es folgten Fragen, ob auch Menschen mit einem Nokia 3310 oder nur einem Laptop Zugang hätten und ob ein Smartphone, ein Google-Konto und ein geladenes Gerät zur Voraussetzung für die Nutzung bürgernaher Dienste gemacht werden dürften.
- Außerdem wurde kritisiert, dass selbst bei offengelegtem Open-Source-Code die praktische Forkbarkeit verloren gehe, wenn alle Beteiligten Attestierungen erzwingen und modifizierte Forks in realen Diensten nicht anerkannt werden.
Bestehende Implementierungen und Play-Integrity-Beispiele
- Als alternatives Beispiel wurde die niederländische Identitäts-App Yivi genannt, die ohne Google-Abhängigkeit für staatliche Altersverifikation genutzt werden kann.
- Ihr früherer Name war IRMA; sie ist auch über Open-Source-App-Stores wie F-Droid verfügbar.
- Da sie auf einigen unterstützten Plattformen für staatliche Altersverifikation verwendet werden kann, wurde sie als Beleg angeführt, dass Play Integrity nicht zwingend erforderlich ist.
- Allerdings ist auch die NFC-Passregistrierung von Yivi keine struktur ohne Abhängigkeiten.
- Rohdaten-NFC-Datengruppen werden an einen zentralen Aussteller-Server übertragen.
- Die vollständige MRZ aus DG1 und das Gesichtsbild aus DG2 sind erforderlich; der Server parst Name, Dokumentnummer, Staatsangehörigkeit, Geburtsdatum und Geschlecht.
- Für den Gesichtsabgleich wird eine Drittanbieter-API von Regula verwendet.
- Auch wenn die Daten nur vorübergehend verarbeitet werden und der Aussteller selbst gehostet werden kann, wurde eingewandt, dass dies eine andere Form zentralisierter Vertrauenskonzentration als Geräteattestierung sei.
- Bei der italienischen Digital Wallet wurden mehrere reale Probleme im Zusammenhang mit Play Integrity verlinkt.
- Auch für die EUDI-Android-Wallet wurden separate Diskussionen verlinkt, die fordern, die Google-Play-Integrity-Anforderung zu entfernen oder eine standardmäßige Android-Hardware-Attestierungs-API zu verwenden, die keine Lizenz für Google Mobile Services erzwingt.
Alternativen ohne App
- Es wurde angeregt, zunächst zu prüfen, ob überhaupt eine separate native App nötig ist und welches realistische Bedrohungsmodell zugrunde liegt.
- Vorgeschlagen wurde eine moderne Web-App auf Basis der Digital Credentials API, um eine Struktur zu vermeiden, bei der „für jeden Dienst eine App installiert“ werden muss.
- Konkret wurde auch ein browserbasiertes Verfahren vorgeschlagen, bei dem nationale Identitätsanbieter eine einmalige zufällige Challenge signieren:
- Der Nutzer besucht eine Website mit Altersbeschränkung.
- Die Website erkennt, dass es sich um einen EU-Besucher handelt.
- Sie stellt eine Datei mit einer zufälligen Zeichenkette zum Download bereit.
- Sie leitet den Nutzer zur staatlichen Altersverifikations-Website.
- Der Nutzer meldet sich beim nationalen Identitätsanbieter an und lädt die Datei hoch.
- Der staatliche Dienst signiert die Challenge und gibt sie an den Browser zurück.
- Der Nutzer lädt die signierte Datei auf der ursprünglichen Website hoch.
- Die Website prüft, ob die Signatur von einer vertrauenswürdigen Stelle stammt.
- Da die Challenge einmalig ist, müsse das signierte Ergebnis nicht langfristig geschützt werden; die Struktur sei ähnlich wie bei SSH- oder WebAuthn-Authentifizierung.
- Als weitere Alternative wurde auch separater Vorschlag #18 genannt, bei dem nationale Berechtigungsnachweise auf einer von der EU kontrollierten Website verwendet werden.
Unified Attestation und das Problem der Vertrauenskonzentration
- Unified Attestation der deutschen Volla Systeme GmbH wurde als kostenlose Open-Source-Alternative zu Google Play Integrity vorgeschlagen.
- Ein einzelnes Backend stellt kurzlebige Integritätstokens aus.
- App-Server prüfen die Tokens offline.
- Ein berechtigter Android-Systemdienst fordert die Tokens an.
- Es wurde vorgestellt, dass es parallel zu Play Integrity betrieben werden könne und die Integration auf App- und Serverseite einfach sei.
- Der Einwand lautete, dass Unified Attestation lediglich dieselbe Macht von Google an eine andere Unternehmensgruppe verlagere und das Grundproblem eines zentralen Attestierungsakteurs nicht löse.
- Statt die Technologie eines bestimmten Unternehmens durch die eines anderen zu ersetzen, solle die Grundlage staatlicher Systeme aus offenen Standards bestehen, die jeder implementieren und integrieren kann.
Konflikt zwischen Hardware-Attestierung und Open Source
- Play Integrity wurde dafür kritisiert, faktisch eine offizielle ROM, Google Play Services und vom Anbieter genehmigte Geräte zu verlangen und dadurch das Recht der Nutzer zu schwächen, ihre eigene Hardware und Software selbst zu kontrollieren.
- Selbst wenn der App-Quellcode frei verfügbar ist, wird die Praxistauglichkeit von reproduzierbaren Builds und Forks eingeschränkt, wenn modifizierte Builds die Attestierung nicht bestehen.
- Ein zugehöriges Arbeitselement wurde geteilt, demzufolge die deutsche Implementierung offenbar keine reproduzierbaren Builds bereitstellen will.
- Dazu wurde die Vermutung geäußert, diese Richtung könne durch die Richtlinien von OWASP MASVS Resilience beeinflusst sein; außerdem wurde die kritische Diskussion OWASP/masvs#757 verlinkt.
- Wenn staatliche Dienste an bestimmte Technologien, Betriebssysteme oder App-Stores gebunden werden, könne es langfristig schwer werden, sich wieder davon zu lösen; als Vergleich wurde eine ähnliche Verfestigung wie bei der früheren IE6-Abhängigkeit in Südkorea genannt.
Sicherheitswirksamkeit und Umgehungsmöglichkeiten
- Es wurde die Frage aufgeworfen, ob die Bedrohungen, die Hardware-Attestierung verhindern soll, in der Praxis überhaupt realistisch sind.
- Selbst wenn automatische Identitätsprüfungsdienste oder Angreifer das Ziel sind, könnten Umgehungen der Attestierung nach Patches wieder auftauchen, sodass nur legitime Nutzer Einschränkungen spüren.
- Als Beispiel wurde genannt, dass Minderjährige, die auf eine eingeschränkte Website zugreifen wollen, einfach eine andere Person den QR-Code für sie scannen lassen könnten; Geräteattestierung löse dieses Problem nicht.
- Auch der Verkauf verifizierter Konten oder stellvertretende Authentifizierung könnten unabhängig davon entstehen, ob Attestierung eingesetzt wird.
- Wenn technisch versierte Personen die Maßnahmen umgehen, während legale Nutzer ohne Google- oder Apple-Gerät oder ohne Smartphone ausgeschlossen werden, sei es besser, diese Sicherheitsmaßnahme gar nicht erst einzuführen.
Einwände gegen Altersverifikation an sich
- Einige Teilnehmer sahen über die Wahl von Play Integrity hinaus strenge Online-Altersverifikation an sich als nicht nützlich an.
- Eine separate Diskussion wurde verlinkt, in der vorgeschlagen wird, Eltern zur Nutzung bereits vorhandener clientseitiger Filter auf Smartphones zu ermutigen.
- Zudem wurde befürchtet, dass verpflichtende Altersverifikation Jugendliche zu Tor oder anderen Umgehungsmitteln treiben könnte.
- Wenn ein Ansatz nur ein einzelnes Problem lösen soll, dabei aber großen Schaden für Privatsphäre, Zugänglichkeit und Kontrolle über das eigene Computing verursacht, solle er gar nicht implementiert werden.
- Im Umfang der vorliegenden Diskussion ist keine offizielle abschließende Entscheidung zur Altersverifikations-App, zur Geräteattestierungsmethode oder zur Integration von Google und Apple erkennbar.
1 Kommentare
Hacker-News-Kommentare
Das ist ein zentrales Problem, das in der großen EU-Debatte über digitale Souveränität ignoriert wird. Die EU-Institutionen beginnen zwar zu akzeptieren, dass sie letztlich aus der US-Cloud wegmigrieren müssen, aber die Kosten sind so hoch, dass es weiterhin eine Stimmung gibt, lieber zum Alten zurückzukehren
Für mobile Plattformen dagegen interessiert sich kaum jemand. Es gibt keine Alternative wie Linux auf dem Desktop, bestehende Alternativen werden nicht finanziert, und es gibt nicht einmal eine Debatte darüber, ob man für den Verkauf von Android-Smartphones in der EU die Offenlegung der Firmware und die Erlaubnis zur Installation alternativer Betriebssysteme vorschreiben sollte. Auf der Backend-Seite hat man die Bedeutung von Souveränität einigermaßen verstanden, aber bei der digitalen Abhängigkeit, die Endnutzergeräte erzeugen, scheint noch viel mehr Aufklärung nötig zu sein
Sie müssen zwar weiterhin gegen das Lobbying von AI-Unternehmen ankämpfen, die souveräne AI für wichtiger halten als mobile Betriebssysteme, aber das Interesse wächst. Eine Linux-basierte Android-Alternative an sich ist vielleicht gar nicht so schwierig, aber es ist schwer, Hardwarehersteller davon zu überzeugen, eigene Geräte dafür zu bauen. Vermutlich müsste der Staat zuerst mit sicheren öffentlichen Geräten vorangehen
Auch die digitale Identitäts-Wallet führt dazu, dass die Mitgliedstaaten die Kontrolle über ihre Identitätsinfrastruktur verlieren und die EU sie übernimmt. Von nationaler Souveränität bleibt dann kaum noch etwas übrig
Man darf nicht in die Falle tappen, technisch darüber nachzudenken, wie man Altersverifikation für alle erzwingen kann. Die erste Frage muss sein, warum man das überhaupt allen aufzwingen will; weder du noch ich haben dem je zugestimmt
Es gibt ein gravierendes Problem mit einer Regierungsstruktur, in der Politiker die gesamte Welt um die Bürger herum ständig verändern, ohne dass diese eine Stimme haben. Diese Maßnahme ist eine große Bedrohung für das Internet und die Gesellschaft, wird aber ohne echte Debatte oder Widerstand vorangetrieben. Eine funktionierende Demokratie sollte nicht so arbeiten
https://old.reddit.com/r/Twitter/comments/1uk6a98/lets_confi...
Auch Labour und Conservatives im heutigen Großbritannien sind in solchen Fragen außer Kontrolle, aber zumindest weiß ich theoretisch, wie man auf die Politik Einfluss nehmen könnte
Ich stimme der Argumentation im GitHub-Issue voll zu, aber man muss nicht grundsätzlich skeptisch gegenüber einer staatlich ausgegebenen App zur Altersverifikation sein. Der derzeitige Ansatz ist viel schlimmer
Mein 13-jähriger Sohn entwickelt Roblox-Spiele, und seit einigen Monaten muss er eine Altersverifikation durchführen, um Spiele mit Freunden zu teilen. Bei Roblox muss man einer dubiosen US-Firma ein 3D-Modell seines Gesichts überlassen, und die Firma verspricht nur, es später zu löschen. Ich möchte die biometrischen Daten oder den Reisepass meines Kindes keiner beliebigen US-Techfirma geben, die damit machen kann, was sie will
Lieber wäre mir eine staatliche App, die Datenschutz garantiert, keinen geschäftlichen Anreiz zum Verkauf von Daten hat und bei der ich nachvollziehen kann, welche Informationen an Unternehmen wie Roblox weitergegeben werden. Das setzt natürlich voraus, dass der Staat vertrauenswürdiger ist als eine US-Techfirma, aber bei der heutigen EU und vielen Mitgliedstaaten halte ich das für gegeben. Es gibt bereits öffentliche Apps mit gut umgesetztem Datenschutz, etwa die niederländische Corona-Tracking-App
Im Zweiten Weltkrieg erfasste das niederländische Melderegister die Religionszugehörigkeit sehr genau und trug wesentlich dazu bei, dass etwa 75 % der niederländischen Juden ermordet wurden — der höchste Anteil im besetzten Westeuropa. 1942 lieferte das US Census Bureau trotz zugesicherter Vertraulichkeit blockgenaue Daten zu japanischstämmigen Amerikanern, und spätere Forschungen zeigten, dass sogar Namen und Adressen weitergegeben wurden. In Ruanda vermerkte die belgische Kolonialverwaltung in den 1930er Jahren auf Ausweisen Hutu und Tutsi; 60 Jahre später wurde das zu einem zentralen Werkzeug an den Kontrollpunkten des Genozids
Auch wenn das heutige Europa sicher erscheint, können Informationen, die für einen bestimmten Zweck gesammelt wurden, mit veränderten Zeiten für völlig andere Zwecke verwendet werden. Niemand weiß, welche Ethnien, Überzeugungen, Verhaltensweisen oder persönlichen Geschichten künftige Regierungen ins Visier nehmen werden, und alle Daten, deren Erfassung wir erlauben, fallen ihnen dann in die Hände. Europäische Regierungen haben so etwas noch vor wenigen Jahrzehnten getan, und die heutige friedliche Epoche ist historisch gesehen außergewöhnlich und für viele womöglich nur vorübergehend
Niemand muss unbedingt Roblox verwenden, das voller Dark Patterns und geschlossener Ökosysteme steckt
Als verwandtes Material gibt es vom 27. Juli 2025 „EU-Altersverifizierungs-App zum Sperren aller nicht von Google genehmigten Android-Systeme"
https://www.reddit.com/r/BuyFromEU/comments/1mah79o/eu_age_v...
Außerdem wurde am 24. September 2025 auch „EU-Altersverifizierungs-App ohne geplante Desktop-Unterstützung" behandelt
https://news.ycombinator.com/item?id=45359074
Man sollte es nicht nutzen und nicht einmal in Erwägung ziehen. Man sollte auf jede mögliche Weise deutlich machen, dass man dieses System nicht verwenden will, und auch Freunden dazu raten
Sie reden von Souveränität und handeln dabei genau gegenteilig. Selbst wenn man die EU voll unterstützt, muss man durch Handeln Ablehnung zeigen, wenn man die Commission nicht mit Stimmen stoppen kann
Es ist lächerlich, dass die Sorge um die digitale Ausgrenzung älterer Menschen, die kein Smartphone nutzen können, in den letzten Jahren verschwunden ist
Die Zahl älterer Menschen ohne Handy oder ohne die Fähigkeit, es zu nutzen, und ohne jemanden, der helfen kann, wird schnell sinken. Nach meiner Erfahrung überschneidet sich das vor allem mit der Generation, die sich an den Zweiten Weltkrieg erinnert
Schlecht geprüfte Regulierung kann, ob gut oder schlecht gemeint, unerwartete Folgen haben. Schon jetzt muss man auf jeder besuchten Website immer wieder rechtlichen Einwilligungen zu Cookies zustimmen, sodass man irgendwann unaufmerksam einfach auf irgendeinen Button klickt
https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat...
Ich nutze es auf mehreren Geräten und Telefonen, und es funktioniert ziemlich gut, sodass ich Cookie-Popups fast nie sehe
Unternehmen, die mit Überwachungskapitalismus Geld verdienen, wählen natürlich das Banner. Man hätte Tracking auch vollständig verbieten können, hat es aber nicht getan, weil es dem Geschäft schaden würde
Es ist nicht richtig, dass man, egal ob man Android oder iOS nutzt, für den Zugang zu fast allen Internetdiensten zur Nutzung einer bestimmten Plattform gezwungen wird
Ich frage mich, wie dieser Ansatz mit Gesetzen zum Schutz von Menschen mit Behinderungen, älteren Menschen und bestimmten religiösen Überzeugungen vereinbar ist. Staatliche Verfahren wurden immer multimodal betrieben und boten zwingend andere Wege an, einschließlich Vertretung oder Papier; das hier ist ein übermäßig harter Ansatz
Ich neige inzwischen dazu, Dienste, die zur Implementierung einer Altersverifikation gezwungen werden, künftig gar nicht mehr zu nutzen
Mehr als soziale Medien beunruhigt mich die Wirkung dieser digitalen Authentifizierung auf essenzielle Dienste. Das lässt sich nicht einfach dadurch lösen, dass man sagt, man werde es eben nicht nutzen
Kinder waren von Anfang an nicht das Ziel, sondern dienen nur als Vorwand, um die Aufmerksamkeit der Menschen abzulenken