Fail in Bezug auf die in der EU und in anderen Ländern auf dem Vormarsch befindliche Altersverifikation. Die Systeme sollen ja nur melden, dass jemand die erforderliche Altersschwelle überschritte hat, um Zugang zu bestimmten Internetangeboten zu haben. Der Nutzer soll darüber hinaus für den Anbieter der Altersverifikation "anonym" bleiben. Der Anbieter AgeGO ist nun wohl aufgefallen, dass er bei einer Anforderung einer Altersverifikation mächtig Daten empfängt.
Das Thema Altersverifikation
In immer mehr Ländern – auch in der EU – wird die Altersverifikation beim Zugang zu bestimmten Internetangeboten, die erst ab 18 Jahren freigegeben werden, vorangetrieben. Ich verweise an dieser Stelle auf den netzpolitik.org-Beitrag Online-Alterskontrollen: Nur für Erwachsene vom 17.03.2025. Die Altersverifikation in der EU wird kommen. Bei Porno-Plattformen ist die Altersverifikation in bestimmten Ländern gegenüber einzelnen Anbietern bereits gerichtlich durchgesetzt worden. Bei diesem Thema kommt es nun darauf an, dass die Plattformen zur Altersverifikation genau diese Dienstleistung erbringen und der Nutzer ansonsten anonym bleibt.
Wer ist AgeGO?
Einer der Dienstleister, der mit Altersverifikation in der EU punkten will, ist die 2019 gegründe AgeGO. Das Unternehmen wurdet hat seinen Sitz in Barcelona, Spanien, mit Niederlassungen in Dublin, Irland, und Porto, Portugal und ist Teil der EXOGROUP, einer Gruppe von Unternehmen, die eine Reihe von Dienstleistungen im Bereich des digitalen Geschäftslebens anbieten.
AgeGO wird mit einer eine Online-Lösung zur Altersüberprüfung, mit der Endnutzer ihr Alter sicher überprüfen und nachweisen können, dass sie mindestens 18 Jahre alt sind. Die Technologie werde von Websites genutzt, die das AgeGO Online-Widget zur Altersüberprüfung integrieren können.
Diese Lösung bietet Endnutzern laut Anbieter verschiedene Methoden zur Überprüfung ihres Alters. Die Altersüberprüfungsmethoden von AgeGO seien für Endnutzer kostenlos, sicher und respektieren die Privatsphäre der Endnutzer, indem sie deren Identität und Daten vollständig schützen, heißt es auf der Webseite des Anbieters.
Ich habe mal einen Tweet des Anbieters herausgegriffen, der verspricht, die Daten eines Individuums bei der Altersverifikation zu schützen. Aber Papier und Internetseiten haben viel Platz, um die blumigsten Versprechen niederzuschreiben.
Datenkrake und Blick in den Abgrund?
Offenbar haben bereits einige Pornoseiten das Widget von AgeGO zur Altersverifikation eingebaut. Über das Widget läuft die Kommunikation mit AgeGo, wenn jemand das Plattform-Angebot abrufen will und in die Abfrage zur Altersverifikation läuft. Normalerweise sollte es so sein, dass das Widget "hallo, ist Max Mustermann bereits 18 Jahre" an AgeGO anfragt und dann ein Token "Ja, er ist 18 Jahre" zur Verifikation an die Webseite zurück kommt. Diese schaltet den Nutzer für das Angebot frei.
Diese Woche bin ich auf obigen Tweet gestoßen, wo jemand schreibt, dass eines der Unternehmen, das von europäischen Regierungen mit der Altersüberprüfung im Rahmen ihrer "Online-Sicherheitsgesetze" beauftragt wurde, gerade dabei erwischt wurde, wie es private Daten von Menschen online weitergegeben hat. Und dies, trotz der Zusicherungen von Regierungen wie der französischen, die sagen: "Ihre Daten sind sicher, vertrauen Sie uns" – war aber zu erwarten.
Im Beitrag AgeGO Age Verification on Pornographic Platforms (PDF) lassen sich mehr Details nachlesen. Zum Schutz Minderjähriger im Internet schreibt der seit August 2023 geltende Digital Services Act (DSA) der EU vor, dass Online-Plattformen, die für Kinder zugänglich sind, Schutzmaßnahmen implementieren müssen, um die Risiken der Konfrontation mit schädlichen oder unangemessenen Inhalten zu mindern.
In Frankreich werden diese Bestimmungen durch das Gesetz SREN vom 1. Mai 2024 in verstärkter Form umgesetzt. Das Gesetz ermächtigt den nationalen Koordinator für digitale Dienste, Arcom, die Altersüberprüfungspflicht auf pornografischen Websites in Frankreich durchzusetzen.
Am 28. August 2025 implementierten sechs pornografische Plattformen vier verschiedene Altersüberprüfungssysteme. tnaflix.com, xvideos.com und xnxx.com setzen dabei auf die Lösung von AgeGO. Der AgeGO-Altersüberprüfungsprozess ist für alle drei Plattformen identisch. Beim Klicken auf die Seite erscheint ein Popup zur Altersüberprüfung:
Quelle: Screenshot aiforensics.org-Bericht
Dem Nutzer werden im Popup dann wohl drei Optionen zur Altersverifikation angeboten:
- Anmeldung mit ihrem AgeGO-Konto,
- eine Selfie-basierte "Gesichtsalter-Schätzung" (oder mit einer Ausweichoption, die einen amtlichen Ausweis erfordert) durchführen lassen,
- oder sich mit der Yoti-App, einem anderen Anbieter für Altersüberprüfungen, anmelden.
Die technischen Richtlinien von Arcom vom Oktober 2024 definieren eine "doppelte Anonymität" als eine Option, bei der der Anbieter der Altersüberprüfung nicht wissen muss, für welchen Dienst (d. h. welche pornografische Website) die Überprüfung durchgeführt wird.
aiforensics.org hat sich die Lösung genauer angesehen und in seinem Bericht dokumentiert. Die Beobachtungen von aiforensics.org zeigen, dass der Browser des Benutzers vor der Auswahl einer Verifizierungsoption und vor der Zustimmung zur Datenschutzerklärung von AgeGO bereits eine Anfrage an den Server von AgeGO sendet, in der Folgendes offengelegt wird:
- die aktuell besuchte Website (verschlüsselt als siteId: 75 für xvideos.com, 73 für
xnxx.com und 153 für tnaflix.com) und - das genaue Video, auf das der Benutzer zugreifen möchte (Feld „returnto", z. B.
*https:// www[.]xnxx[.]com/video-tdng7c8/perfect_step…). - Als Antwort darauf gibt AgeGO ein Cookie (x-ag-sid) aus, das diese Informationen verschlüsselt.
Dieses Cookie werde anschließend in alle weiteren Anfragen an AgeGO aufgenommen, heißt es im Bericht von aiforensics.org. In der Praxis erhält AgeGO aktuell also Informationen über die spezifische Plattform, die die Überprüfung anfordert,
und über die genauen Videos, die die Benutzer anzusehen versuchen, noch bevor sie sich für die Altersverifikation von AgeGO entschieden haben.
Das ist genau nicht die "doppelte Anonymität", die laut aiforensics.org eigentlich angestrebt werden muss, wenn die Versprechen der Regierungen auf "Anonymität" erfüllt werden sollen. Die Details lassen sich im verlinkten PDF-Dokument nachlesen. Die Episode zeigt erneut, wie solche "Überwachungen" kräftig in die Hose gehen, entweder aus Unfähigkeit, oder weil Firmen Daten sammeln.
MVP: 2013 – 2016
Und wieder.
Wo ein trog ist kommen die schweine zum essen.
Works as intended.
Die Anbieter MÜSSEN doch die Anonymität auflösen und die persönlichen Daten teilen, damit es wie gewünscht läuft.
Trennt man Anbieter von Altersverifikation und Pornoseiten, muss der Pornoanbieter lediglich erfahren, dass der Besucher alt genug ist. Exakt dies, mehr nicht. Während der Verifizierer zwar etwas von der Identität erfährt, aber nichts von den besuchten Seiten speichert.
Denkbares Prinzip: Die Webseite des Pornoanbieters schickt den Besucher mit einer temporären Kennung zum Verifzierer, wo sich der Benutzer identifiziert. Der Pornoanbieter erhält danach vom Verifizierer ein Go/No-Go zur temporären Kennung.
Kann man dem Verifizierer vertrauen – was hier nicht der Fall zu sein scheint – trennt man die Funktionen gut genug, um bei beiden Anbietern keine auf die nachvollziehbare Identität bezogene Verhaltenserfassung des Internet-Nutzers zu ermöglichen.
Wenn der Verifizierer jedoch die besuchten Seiten speichert, gar die vollständigen URLs, ist dieses Prinzip verletzt.
Nein, müssen sie eben nicht! Ich dachte, das sei ein IT-Forum mit informierten Kommentatoren. Befassen Sie sich mal mit den einschlägigen Konzepten und Standardisierungen der OpenID Foundation.
Digitaler Personalausweis mit private/publickey krypographisch verschluesselter ID als langer Hash anonymisiert auf einer Blockchain waere mal ein Anfang.
(Hinweis fuer die Digitalisierung Deutschlands: die Hashes sollten nicht fortlaufend nummeriert sein und nicht mit Gebdatum+SVNummer+SteuerID geprefixt sein.) 😛🤮
Man wird beraten (zudem hat man das Recht das nicht zu tun), seinen Person
nicht rauszugeben oder gar vor eine Kamera zu halten, aber zig digitale ID-Apps, zig Zahlungsplattformen oder Onlinebroker/kryptoboersen wollen den Ausweis. Und sicher schmeisst die Bilder dort nicht jeder wieder weg.
"Und sicher schmeisst die Bilder dort nicht jeder wieder weg."
Löschen bedeutet am Computer bis heute nur, dass man im System ein Kennzeichen setzt und die Datei/Daten nicht mehr angezeigt werden. Das hat bei mir auch mal eine öffentliche Verwaltung zu spüren bekommen, die mir das Löschen von unerlaubt gespeicherten Inhalten in einem bekannten Mailsystem bestätigt hat. Administratives Ergebnis meiner Nachfrage: die können die Daten aus dem System gar nicht mehr löschen, weil sie in zu viele Systeme kopiert werden – nur zur Sicherheit und noch ganz ohne KI!
Ja das bezeichnet man als Backup. Aus Sicherheitgründen und auch aus rechtlichen Gründen werden ja alle Daten ins Backup geschoben. Auch Emails sind ja zu archivieren.
Perso und Kamera, bin ich auch allergisch gegen:
Wenn ich bei Congstar eine SIM kaufe, kann ich mich mit dem nPA ausweisen – ohne Bild.
Bei der Mutter Telekom und vielen anderen wollen sie so eine dubiose Video-Identifizierung über Drittanbieter vornehmen – nein Danke.
Und wenn ich bei meinem Finanzdienstleister mal wieder meine Perso-Daten erneuern muss, tappe ich zur Post für das gute alte PostIdent, statt ein Perso-Foto hochzuladen.
Man darf ja diverse Details, die (eigentlich) nicht für die Verifikation verwendet werden (sollten), schwärzen; dazu Hinweise:
"Ausweisdaten, die nicht zur Identifizierung benötigt werden, können und sollen auf der Kopie vom Ausweisinhaber geschwärzt werden.":
"https://www.zbfs.bayern.de/suche/?q=schw%C3%A4rzen"
Hier gibt es nur ein PDF, das findet sich aber in der folgenden Suche im ersten Link.
Die TK lässt sich auch dazu aus (s. insbesondere letzter Absatz).
"https://www.tk.de/firmenkunden/service/fachthemen/newsletter-bestellen/personalausweise-kopieren-als-dsgvo-verstoss-2095158?tkcm=ab"
Aber klar, was sichtbar ist, ist sicherlich auch schon verführerisch für eine Datenkrake…
Natürlich "Alles aus Versehen, wird abgestellt und zukünftig nicht mehr benutzt werden!"…wer's glaubt…
Daten sind das Öl des 21. Jahunderts, mehr braucht man dazu nicht zu wissen.
Die Firmen kotzt es lediglich an das man da nicht genauso Raubbau treiben kann wie am Öl. Also lassen sie sich halt einiges einfallen doch an die Daten zu kommen.
Dazu sind dann auch die Erfüllungsgehilfen der Politik recht.
Betr. "Daten sind das Öl des 21. Jahunderts":
Das wage ich dann doch zu bezweifeln. Im Darknet kann man teils ordentliche Erlöse erzielen, aber sonst? Geben Sie doch mal Beispielpreise für diese Daten, die Ihnen da als einträglich durch den Kopf gehen. Wir sollten hier in den Kommentaren wirklich mal anfangen konkreter zu werden statt ständig den Popanz Datenhandel durchs Forum zu treiben. Dass Daten wichtig für 's Geschäft seien – ich rede nicht von solchen in denen sich Forschungsergebnisse bspw. der Materialwissenschaft und Werkstofftechnik niederschlagen – halte ich für ein Gerücht; das wird von den selben Leuten genährt, die uns auch Jahrzehnte mit 'Werbung wirkt' das Geld aus den Taschen gezogen haben.
muss mal recherchieren, gab vor einigen Jahren einen Blog-Beitrag von mir, wo ich erinnerungsmäßig Zahlen genannt hatte.
Ergänzung: Hab mal 2 Min. Zeit gehabt. Hab bei mir nur den Beitrag Datenskandal: 'bist Du gläsern?' Millionen Daten von deutschen Surfern offen gelegt aus 2016 – ohne Preise gefunden. Ist jetzt 11 Jahre her …aber mit Preisen kann ich dieenen.
Tagesspiegel (2012): "Die Einwohnermeldeämter geben die Daten nicht kostenlos her, für die Kommunen ist das ein lukratives Nebengeschäft. Zwischen fünf bis 15 Euro bekommen sie pro verkauftem Datensatz. Zum Teil werden auch Rabatte gewährt, wenn besonders viele Daten auf einmal abgefragt werden. Ein Datensatz umfasst dabei Vor- und Nachname, Anschrift und gegebenenfalls den Doktortitel einer Person."
Listflix Adresshändler: 0,45 Euro pro Adresse – bei 1.000 Adressen; Großmengen werden günstiger.
Kraus schreibt: "Die Kosten pro Adresse variieren zwischen 15 und 40 Cent." Bei Adressen Schober habe ich gerade ein Angebot von 0,12 Euro pro Adresse erhalten.
Diese Studie gibt den Wert von Adressen als "Die Preise für eine Anmietung von Konsumenten-Adressen liegen im Bereich von 0,065-0,24€/Adresse für einfache Haushaltsadressen und 0,105- 1,65 Euro" wohl für qualifizierte Adressen an.
Jetzt kann man schnell mal rechnen.
Ich habe mal die KI befragt. Die meint, in deutschen IT-Nachrichtenportalen namentlich Born, Heise, Golem habe es nur einen Artikel gegeben, nämlich (1) aus 2010. Zitat: "Datenhändler kaufen Adressen im Tausenderpaket bei deutschen Bürgerämtern ein. Das amtliche öffentliche Verzeichnis der Einwohnermeldeämter steht dafür offen. Pro Datensatz nehmen die Behörden 5 bis 15 Euro." Na sauber, die öffentliche Hand! Ich muss mir eine politische Kommentierung verkneifen. Sei 's drum. Ob die Daten bei den Käufern dann einen ökonomischen Nutzen stiften, der die Attributierung 'Öl des 21 Jahrhunderts' rechtfertigt, bezweifle ich.
P. S.: Die KI hat (2) übersehen, Zitat von dort: "Den SWR-Reportern wurden Bewerbungsmappen zum Preis von rund drei Euro je Datensatz angeboten. Laut Bericht brüstet sich der Anbieter, jeden Monat zwischen 3000 und 5000 Datensätze von Bewerbern zu generieren."
_
(1) https://www.golem.de/1010/78398.html
(2) https://www.borncity.com/blog/2019/05/02/datenhndler-missbrauchen-jobbrse-der-ba/
Die vielgenutzte KI hat noch mehr übersehen – speziell Sachen, die ich noch nicht publiziert habe, an denen ich aber dran sitze …
Datenhändler sammeln Daten aus verschiedendsten Quellen, aggregieren diese und verkaufen sie dann. Ist ein Milliarden-Geschäft.
https://www.malwarebytes.com/de/cybersecurity/basics/data-brokers
Xvideos.com soll eine Altersverifikation seit 28.08. live haben und AgeGO nutzen?
Pop-Up?
Gerade getestet. Bei mir erscheint da nichts und ich komme einfach auf die Seite.
Adblocker und Annoyance-Filter scheinen da zu helfen :D
Trifft auch für die anderen beiden genannten Anbieter zu.
Die Kids lachen sich einen über die Unfähigkeit der "Erwachsenen" :p
Du müsstest über einem französischen Tor Exit Node testen …
Ich habe mal einen Test gemacht – auf einer Seite findet sich nun ein großes Banner "The SCAM of age verification. It's coming. Read our latest blog post", in dem die Altersverifikation angekündigt wird. Möglicherweise wurde das AgeGO-System nach dem ersten Bericht wieder ausgebaut. Die Seiten haben auf jeden Fall schon Weichen, die, abhängig vom Tor-Exit-Node eine Alterszustimmung vorschalten.
Betr. "Bei mir erscheint da nichts …":
Bekannte Technik seit iirc Anfang der 2010er Jahre, Stichwörter sind Keystroke Dynamics bzw. Behavioral Biometrics.
Einfach erklärt: Wenn Du tippst und die Maus schubst wie ein Senior, erkennen sie Dich auch als solchen. Einer Altersverifikation im artikelgegenständlichen Sinne bedarf es dann nicht mehr.
Nenne mir doch mal Kriterien, wie Mausbewegung und Alter zweifelsfrei verknüpft sein sollen. Abgesehen von extremem Alterstremor (und selbst da gibt es altersunabhängige Krankheitsbilder) würde ich behaupten, dass es da nicht viel gibt. Unterlage, Treibereinstellungen (Zeigerbeschleunigung!) und Gerätepräzision spielen für das Mausverhalten eine weit größere Rolle. Höchstens dass es inzwischen eine Generation gibt, die weder Maus noch Tastatur verwendet – so wie ihre Urgroßeltern.
Du, keine Ahnung, die Algorithmik ist mir zu hoch. Fang' mal mit (1) an und studiere die Literaturquellen im Abschnitt "References". Die Verfahren taugen wohl auch für Gender Profiling.
_
(1) https://www.scitepress.org/Papers/2025/131385/131385.pdf
Vermutlich kommen Erotikfachmärkte mit DVD-Regalen bald zurück ;)
naja dann wird eben wieder auf dem Schulhof getauscht ;-P
Gibt ja nicht nur ein, zwei oder auch zehn INTERNET-Seiten, die die Erotikmärkte obsolet gemacht haben.
Auswahl (auch gerade gratis und frei) gibt es da mehr als genug, auch ohne Altersverifikation!
Ich habe gerade – natürlich nur zu statistischen Zwecken ;-) – versucht auf xv… .com zu kommen – die Seite ist nicht nur zur Zeit nicht zu erreichen, nein die ist komplett nicht verfügbar!
Liegt vermutlich an deinem Provider. Selber Test hier findet Seite und noch keine Altersverifikation.
Das ganze derzeitige Tamtam um online Jugendschutz und Altersverifikation ist nur ein weiterer Baustein zu jeglicher Nutzung des Internets nur noch mit persönlicher digitaler Identität und damit gläsernem Nutzungsverhalten. Klingt utopisch? Ist näher als man denkt..
Wenn man davon ausgeht, dass "die Versprechen der Regierungen auf "Anonymität"" einfach leere Versprechungen waren, um u.a. mit diesen Diensten eine totale digitale Überwachung ausrollen zu können, dann zeigt diese Episode erneut, dass hier nichts in die Hose ging, sondern alles einfach wie geplant verläuft.
Internetverträge bzw. Telefonverträge gibt es sicherlich erst ab dem 18. Lebensjahr. Die Geräte wie Router, Computer oder Smartphone haben eine Alterseinstellung.
Funfact. Ich habe mir im Juli eine Prepaid Sim Karte gekauft und habe versucht diese freischalten zu lassen. Das ging leider nicht. Zuerst hatte ich Videoident ausgewählt, aber das konnte ich nicht durchführen, weil man dazu noch ein Smartphone braucht um einen QR-Code zu scannen. Also PC mit Webcam hatte ich, aber kein Smartphone mit Internet.
Also wählte ich Postident aus. Zettel ausgedruckt mit QR-Code drauf und ab damit zur Post zwecks Identifizierung. Mein Portugiesischer Ausweis, den ich seit 2022 neu ausgestellt bekommen habe wurde abgelehnt.
Ich hatte dann das Serviceteam Postident angeschrieben und die teilten mir mit:
„ … Portugiesische Personalausweise werden auf unserer Liste der zulässigen Ausweisdokumente für Postident durch Filiale nicht aufgeführt. Hierfür ist ein Reisepass erforderlich.
Wenn Ausweisdokumente auf unseren Listen für die jeweiligen Verfahren nicht aufgeführt werden, kann das unterschiedliche Gründe haben.
Insbesondere können bei den jeweiligen Verfahren nicht alle Sicherheitsmerkmale geprüft werden oder sind nicht in ausreichender Menge vorhanden, was eine Prüfung unter Einhaltung der regulatorischen Vorgaben verhindert.
Ihre Informationen dienen selbstverständlich unserem Ziel, einen umfassenden Überblick über alle existierenden Ausweisdokumente zu erhalten. …"
"Die Geräte wie Router, Computer oder Smartphone haben eine Alterseinstellung."
Sorry, soll das 'ne "Argumentation" sein?
Es hindert doch trotzdem nicht, dass sie benutzt werden können.
Und was hat Ihr (unvollständig geschilderter) "Funfact" damit zu tun?
18 Jahre alte Geräte dürfen ab sofort auf die entsprechenden Seiten ohne weitere Altersprüfung des Nutzer zugreifen, weil der Seitenaufbau dank JS-Hölle mit den alten Geräten einfach nicht erfolgt… ;)
.
.
.
.
(ja, ich weiß, es soll noch Leute geben, die sich "Internet" mit einem Pentibum II antun)