Wenn Deutschland oder die EU Software entwickeln lässt, sind die Kontroversen meist nicht weit. Das betrifft auch die kommende Alterskontroll-App. Letztere soll es auf Wunsch der EU-Kommission erlauben, dass Menschen gegenüber Online-Diensten unkompliziert ihr Alter nachweisen können. Dies soll möglichst datensparsam geschehen. Doch der technische Unterbau hat seine Wurzeln bei Google bzw. Mitarbeitern des Unternehmens.
Logischerweise gibt es also direkt Warnungen von Forschern und Sicherheitsexperten, die befürchten, dass hier abermals Abhängigkeiten von US-Technologien geschaffen werden und sich Datenschutzrisiken ergeben. Immerhin: Es geht hier nicht um eine proprietäre Technik, welche direkt von Google eingekauft werden soll. Vielmehr drehen sich die Diskussionen um das kryptografische Verfahren Elliptic Curve Digital Signature Algorithm (ECDSA). Generell wird dieses verwendet, um digitale Signaturen zu erstellen, die sicherstellen, dass Daten authentisch sind und nicht manipuliert wurden.
Die EU-Kommission sieht ECDSA als Sicherheitstechnik für die kommende Alterskontroll-App vor (via Netzpolitik). Die Technik ist zwar Open-Source, stammt aber eben von Google-Entwicklern. Google hat generell sehr enge Verbindungen zu ECDSA, da das Unternehmen diesen Standard massiv vorangetrieben und in fast alle seine Dienste integriert hat. Dass diese Technik also für die Alterskontroll-App Verwendung finden soll, ist diskussionswürdig. Zumal es etablierte Alternativen gibt.
BBS gilt als sichere Option
So wäre es möglich gewesen, stattdessen BBS als kryptografisches Verfahren zu nutzen. Dieses Verfahren wurde bereits 2004 entwickelt und 2013 auch als ISO-Standard aufgenommen. Die EU-Kommission entschied sich aber mit der Argumentation, ECDSA sei breiter kompatibel, für diese Technik. Das bezweifelt jedoch etwa die Professorin am Hasso-Plattner-Institut der Universität Potsdam, Anja Lehman. Sie erklärt, ECDSA wirke auf Laien einfacher und kompatibler, doch am Ende benötige man bei dieser Technik ein kryptographisches Verfahren mit rund 20.000 Zeilen Code. Das sei viel herausfordernder und anfälliger für Lücken.
Am Ende sei ECDSA so komplex, dass die Technik nur von wenigen Fachleuten weiterentwickelt werden könne. Es entstünden neue Abhängigkeiten von eben diesen Experten, die zum größten Teil bei Google selbst sitzen. Open Source sei hier eine Illusion, denn am Ende entscheide Google mit seiner Schirmherrschaft und dem Know-How darüber, was wie authentisiert und angepasst werden könne.
Kritiker befürchten, dass die Alterskontroll-App wohl auch eine Weichenstellung für das EUDI-Wallet sein könnte – und somit auch da Abhängigkeiten von Google drohen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.