19 Millionen Datensätze gestohlen - am Tag, als die EU ihre KI-Altersverifizierung startete: Das Signal, das niemand gelesen hat
Auf einen Blick
- Außergewöhnliches Timing : der ANTS-Hack (19 Millionen Datensätze) und der EU-Start der KI-Altersverifizierung fanden am selben Tag statt, dem 15. April 2026
- ANTS war das Herzstück des französischen Altersverifizierungsplans : die gehackte Plattform sollte eine zentrale Rolle im für September 2026 geplanten System zur Altersverifikation in sozialen Medien spielen
- KI-Altersverifizierung = Hochrisiko gemäß KI-Verordnung : jedes KI-System, das Biometrie zur Altersverifikation nutzt, fällt unter Anhang III, Punkt 1 der Verordnung (EU) 2024/1689
- Was die KI-VO gefordert hätte : Artikel 9 und 10 schreiben dokumentierte Sicherheitsprüfungen und Daten-Governance vor - eine IDOR-Schwachstelle hätte diesen Prozess nicht überlebt
- Frist August 2026 : Unternehmen, die KI-Altersverifizierungslösungen entwickeln, müssen jetzt ihre technische KI-VO-Dokumentation erstellen
Am 15. April 2026 ereigneten sich in Europa zwei Dinge gleichzeitig. Einerseits verkündete die Europäische Kommission, dass ihre Altersverifizierungslösung technisch bereit und für die Mitgliedstaaten verfügbar sei. Andererseits erlitt das Portal der Nationalen Agentur für Sicherheitsdokumente einen Cyberangriff, der die Daten von 18 bis 19 Millionen Franzosen offenlegte - durch eine Schwachstelle, die ein Entwickler im ersten Lehrjahr in wenigen Stunden hätte erkennen müssen. Das ist keine Randnotiz. Es ist der Beweis dafür, was passiert, wenn Systeme, die personenbezogene Identitätsdaten im großen Maßstab verarbeiten, ohne dokumentierte, prüfbare Sicherheits-Governance betrieben werden.
Was geschehen ist: eindeutig
Die ANTS verwaltet Anträge auf Reisepässe, Führerscheine, Fahrzeugzulassungen und Personalausweise. Sie ist eine der datendichtesten Identitätsplattformen Frankreichs. Am 15. April nutzte ein Hacker unter dem Pseudonym "breach3d" eine IDOR-Schwachstelle in der API des Portals moncompte.ants.gouv.fr aus.
Eine IDOR-Schwachstelle bedeutet, dass das System nicht überprüfte, ob die Person, die eine Anfrage stellte, das Recht hatte, auf die angeforderte Ressource zuzugreifen. Es reichte, eine einzige Kennnummer in der URL zu ändern, um auf das Profil eines anderen Bürgers zuzugreifen. Diese Schwachstelle steht seit über einem Jahrzehnt in der OWASP Top 10. Der Hacker selbst nannte sie "wirklich dumm".
Diese Art von Schwachstelle wird im ersten Ausbildungsjahr der Webentwicklung gelehrt. Sie auf einer staatlichen Plattform zu finden, die Millionen von Identitätsdokumenten verwaltet, wirft eine einfache Frage auf: Wo war die dokumentierte Sicherheitsbewertung? Wo war der Prüfpfad?
ANTS als Rückgrat des französischen Altersverifizierungssystems
Was diesen Vorfall aus KI-VO-Perspektive besonders bedeutsam macht, ist der Kontext, in dem er sich ereignete. Frankreich hat sich verpflichtet, bis zum 1. September 2026 ein Altersverifizierungssystem für soziale Medien einzuführen. Die nationale Identitätsinfrastruktur, deren zentraler Bestandteil ANTS ist, sollte als Grundlage für dieses System dienen.
Am selben Tag wie der Hack gab die Europäische Kommission bekannt, dass ihre eigene Altersverifizierungslösung "technisch bereit zur Implementierung" sei. Diese Lösung basiert auf kryptografischen Nachweismechanismen, die es Nutzern ermöglichen, ihr Alter zu belegen, ohne zusätzliche personenbezogene Daten zu teilen.
Was die KI-VO zu Altersverifizierungssystemen sagt
Ein KI-gestütztes Altersverifizierungssystem ist im Rahmen der Verordnung (EU) 2024/1689 kein gewöhnliches Werkzeug.
Klassifizierung: Hochrisiko ohne mögliche Ausnahme
Anhang III, Punkt 1 der KI-VO klassifiziert alle KI-Systeme, die zur biometrischen Identifizierung und Kategorisierung natürlicher Personen bestimmt sind, als Hochrisikosysteme. Die Altersverifizierung durch biometrische Analyse fällt direkt in diese Kategorie. Es gibt keine Ausnahmeklausel, wenn biometrisches Profiling beteiligt ist.
Die daraus resultierenden Pflichten sind die strengsten der Verordnung: technische Dokumentation gemäß Anhang IV, dokumentiertes Risikomanagementsystem (Artikel 9), Governance von Trainingsdaten (Artikel 10), formalisierte menschliche Aufsicht (Artikel 14), CE-Kennzeichnung, Registrierung in der EU-Datenbank (Artikel 49).
Die biometrische rote Linie
Einige Ansätze zur Altersverifizierung überschreiten eine noch sensiblere Grenze. Artikel 5(1)(h) der KI-VO verbietet die biometrische Fernidentifizierung in Echtzeit in öffentlich zugänglichen Räumen. Ein System, das zur Altersschätzung Echtzeit-Gesichtsscans auf einer Massenanwenderplattform durchführt, betritt potenziell diesen verbotenen Bereich.
Was die KI-VO gefordert hätte - und was sie von KI-Entwicklern verlangt
Artikel 9: Dokumentiertes Risikomanagement
Artikel 9 verpflichtet Anbieter von Hochrisiko-KI-Systemen zu einem iterativen Prozess der Risikoidentifikation, -schätzung und -minderung. Eine IDOR-Schwachstelle auf einer API, die Identitätsdaten offenlegt, ist genau die Art von Risiko, die dieser Prozess hätte identifizieren und dokumentieren müssen.
Artikel 10: Kompromisslose Daten-Governance
Artikel 10 schreibt eine strenge Governance-Anforderung für Daten vor: Rückverfolgbarkeit des Ursprungs, Qualitätskontrollen, Biasüberprüfung und angemessene Sicherheitsmaßnahmen. Dieses Livrable kann das Bundesdatenschutzbeauftragte Amt, koordiniert mit dem BfDI als nationaler KI-VO-Aufsichtsbehörde, jederzeit nach dem 2. August 2026 anfordern.
Was Entwickler von KI-Altersverifizierungslösungen jetzt tun müssen
- System präzise klassifizieren - feststellen, ob die Lösung unter Anhang III (Biometrie) fällt oder die verbotenen Praktiken von Artikel 5 berührt.
- Technische Dokumentation Anhang IV erstellen - alle 9 obligatorischen Abschnitte, einschließlich Architekturbeschreibung, Trainingsdaten-Governance, Risikomanagementsystem und Post-Deployment-Überwachungsplan.
- Sicherheitsmaßnahmen gemäß Artikel 9 dokumentieren - identifizierte Risiken und Minderungsmaßnahmen formal auflisten. Das ist der Abschnitt, der bei Existenz für ANTS die IDOR-Schwachstelle hätte aufdecken müssen.
- FRIA (Artikel 27) antizipieren - wenn die Lösung von einer öffentlichen Stelle eingesetzt wird, ist eine Folgenabschätzung für Grundrechte obligatorisch.
- Kompatibilität mit Artikel 5 prüfen - sicherstellen, dass die gewählte Verifizierungsmethode keine biometrische Echtzeit-Fernidentifizierung darstellt.
Plattformen wie AiActo helfen Entwicklungsteams, diese Dokumentation Abschnitt für Abschnitt zu strukturieren, mit KI-gestützter Erstellung und einem menschlichen Validierungseditor vor dem Export.
Das eigentliche Signal
Der ANTS-Vorfall vom 15. April 2026 ist keine Lektion über die Cybersicherheit des öffentlichen Sektors. Es ist eine Lektion darüber, was passiert, wenn kritische Systeme ohne dokumentierte, prüfbare Governance betrieben werden. Die KI-Altersverifizierungssysteme der kommenden Monate unterliegen der KI-VO. Artikel 9, Artikel 10 und Anhang IV existieren genau zu diesem Zweck.
Sie entwickeln oder betreiben ein KI-Altersverifizierungssystem? Die kostenlose AiActo-Diagnose identifiziert in weniger als 3 Minuten Ihr Risikoniveau und Ihre KI-VO-Pflichten.
Ist ein KI-Altersverifizierungssystem von der EU-KI-Verordnung betroffen?
Ja, ohne Ausnahme. Jedes KI-System, das Biometrie zur Altersverifizierung nutzt, fällt unter Anhang III, Punkt 1 der Verordnung (EU) 2024/1689. Es wird automatisch als Hochrisikosystem eingestuft, mit den strengsten Pflichten der Verordnung: technische Dokumentation Anhang IV, Risikomanagement Artikel 9, Daten-Governance Artikel 10, CE-Kennzeichnung. Es gibt keine Ausnahmeklausel, wenn biometrisches Profiling beteiligt ist.
Was zeigt der ANTS-Hack über die Anforderungen der KI-VO?
Die beim ANTS-Hack ausgenutzte IDOR-Schwachstelle hätte durch einen Risikomanagementprozess gemäß Artikel 9 der KI-VO identifiziert werden müssen. Dieser Artikel verpflichtet Anbieter von Hochrisiko-KI-Systemen, Sicherheitsrisiken und entsprechende Minderungsmaßnahmen formal zu dokumentieren. Der Vorfall veranschaulicht genau das, was dieser Prozess bei biometrischen KI-Systemen verhindern soll.
Bis wann muss ein KI-Altersverifizierungssystem KI-VO-konform sein?
Der 2. August 2026 ist die Hauptfrist für Hochrisiko-KI-Systeme gemäß Anhang III, einschließlich biometrischer Altersverifizierungssysteme. Dieser Termin fällt fast mit dem geplanten Inkrafttreten des französischen Altersverifizierungssystems für soziale Medien (1. September 2026) zusammen. Anbieter müssen ihre technische Dokumentation Anhang IV erstellen und die CE-Kennzeichnung vor diesem Datum erhalten.
Ist eine Grundrechte-Folgenabschätzung für ein Altersverifizierungssystem obligatorisch?
Ja, in den meisten Konfigurationen. Artikel 27 der KI-VO verpflichtet Betreiber biometrischer Hochrisiko-KI-Systeme, die von öffentlichen Stellen oder in Kontexten eingesetzt werden, die Grundrechte berühren, zur Durchführung einer FRIA. Ein Altersverifizierungssystem, das Identitätsdaten von Millionen von Nutzern einschließlich Minderjähriger verarbeitet, fällt direkt in diesen Bereich. Die FRIA ist von der DSGVO-DSFA getrennt und muss zusätzlich durchgeführt werden.