Konzeptstudie: Familienministerium entwickelt "datensparsame Altersverifikation"

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Es ist eine Crux mit der Altersüberprüfung im Netz. Forscher halten eine solche für unerlässlich, um eine sichere Online-Umgebung für alle Nutzer zu schaffen. Derzeit existiere dafür aber keine Methode, "die die Grundrechte des Einzelnen angemessen schützt". Dabei rufen Medienwächter, die EU-Kommission und Regulierer immer lauter nach dem Einsatz robuster Online-Altersverifikationssysteme (AVS).

Bundesfamilienministerin Lisa Paus (Grüne) hat angesichts dieses Dilemmas beim Fraunhofer-Institut für sichere Informationstechnologie (SIT) ein Konzept für eine "datensparsame Altersverifikation" in Auftrag gegeben. Ein Ergebnispapier liegt inzwischen vor, in einem Workshop arbeiteten Experten an dessen Umsetzung.

Zu den mit der Umsetzung der Alterssicherung verbundenen Risiken gehören Eingriffe in die Privatsphäre, Datenlecks, Verhaltensüberwachung, Identitätsdiebstahl und eingeschränkte Autonomie der Nutzer. Bisher gängige Verfahren wie Video-Ident-Verfahren, den Schufa-Identitätscheck, die Nutzung des Personalausweises mit elektronischer Identifizierungsfunktion (eID) oder von Jugendschutzprogrammen beziehungsweise eine Kreditkarten-Verifizierung halten Experten für gefährlich unter diesem Aspekt oder mit zu hohen Nutzungshürden verknüpft.

Die Fraunhofer-Forscher verfolgten laut ihrer von Netzpolitik.org veröffentlichten Konzeptstudie vom Juli das Ziel, dass Nutzer ihr Alter im Internet nachweisen können, ohne ein Konto anlegen oder persönliche Daten preisgeben zu müssen. Ihre Lösung: Eine vertrauenswürdige Stelle soll über ein ausgeklügeltes Protokoll bestätigen, dass ein Anwender einer bestimmten Altersgruppe angehört, also etwa über 12, 16 oder 18 Jahre alt ist.

Diensteanbieter wie Betreiber sozialer Netzwerke oder von Erotik-Portalen erfahren nur diese sogenannte Alterskohorte. Die Vermittlungsinstanz wiederum erfährt nicht, für welchen Anbieter und welche Art von Dienst der Nutzer einen Altersnachweis benötigt.

Herausforderungen vor allem bei der Vertrauensstelle

Den Verifikationsprozess beschreiben die Wissenschaftler so: Der Anbieter schickt an die Nutzer die Altersanforderung und eine von ihm erstellte Zufallszahl in einem standardisierten Format mit einer zeitlich kurzen Gültigkeit. Der User authentifiziert sich gegenüber einem von ihm gewählten Verifizierer und schickt diesem die vom Dienstleister erhaltenen Daten mit.

Die unabhängige Stelle prüft dann, ob der authentifizierte Nutzer die erhaltene Altersanforderung erfüllt. Das Ergebnis signiert sie mit der Zufallszahl. Dieser Altersnachweis geht über den Nutzer zurück an den Anbieter, der die Integrität und Authentizität der Daten feststellen und dem User gegebenenfalls Zugriff auf altersbeschränkte Dienste gewähren kann.

Der Vorgang ist laut dem Konzept etwa als Browser-Erweiterung, eigenständige App oder per "Rohdaten" manuell umsetzbar. Als Herausforderungen beschreibt das Team neben restriktiven länderspezifischen Regeln die potenzielle Ausspähung oder Weitergabe von Zugangsdaten. Zudem sei für eine solche datensparsame Altersverifikation die Implementierung einer Public-Key-Infrastruktur (PKI) mit einer zentralen, staatlich beauftragten, unabhängigen Zertifizierungsstelle notwendig, die keinerlei kommerzielle Interessen verfolge und Verifizierer neutral und fachkundig prüfen könne.

An der Umsetzung arbeitet das Familienministerium im Rahmen mehrerer Workshops. Als mögliche verifizierende Stellen gelten laut der ebenfalls von Netzpolitik.org publizierten Dokumentation der dritten einschlägigen Sitzung im Dezember unter anderem Melderegister, Banken, Krankenkassen und das Kraftfahrtbundesamt. Als Praxisbeispiele erörterten die Teilnehmer demnach den Sparkassen- und Giroverband, der seit Oktober einen Altersnachweis für den Kulturpass anbietet, sowie den Vermittlungsdienst für das digitale Identitätsmanagement in Schulen (Vidis). Dieser erlaube eine sichere Anmeldung für eine Vielzahl an Bildungsangeboten und fungiere dabei als Schnittstelle zwischen Identitätsprovidern und Diensteanbietern. Vidis komme so grundsätzlich als Verifikationsstelle von Lernenden in Betracht.

(wpl)