Was ist das Hauptanliegen des TBOTE-Projekts bezüglich der Altersverifizierungsgesetze?

Das TBOTE-Projekt argumentiert, dass die zur Einhaltung der Altersverifizierungsgesetze aufgebaute Infrastruktur als grenzüberschreitendes biometrisches Überwachungssystem fungiert und nicht lediglich als Werkzeug zum Schutz von Minderjährigen. Es dokumentiert nicht offengelegte Datenverarbeiter, stille Telefonauthentifizierung und in den Code eingebettete Behördenberichtsmodule.

Was ist die Verbindung zwischen Peter Thiel und der in der Untersuchung beschriebenen Datenerfassung?

Peter Thiel ist Mitgründer von Palantir, das Überwachungsanalytik an Regierungen verkauft, während sein Risikokapitalunternehmen Founders Fund der Hauptinvestor von Persona ist, einem Identitätsprüfungsunternehmen, das biometrische Daten erfasst. Die Untersuchung beschreibt dies als einen „Erfassungs- und Analyse"-Nexus, bei dem derselbe finanzielle Interessenträger von beiden Seiten der Datenpipeline profitiert.

Welche Sicherheitslücken wurden im Persona-SDK gefunden?

Die Ermittler entdeckten einen fest codierten AES-Verschlüsselungsschlüssel im Persona-SDK, der nach der Offenlegung des Befunds in Version 1.15.3 rotiert wurde. Dem SDK fehlte außerdem Certificate Pinning, eine Standardsicherheitsmaßnahme, die das Abfangen von Daten während der Übertragung durch Man-in-the-Middle-Angriffe verhindert.

Wurden Nutzer über die während der Persona-Verifizierungssitzungen stattfindende Telefonauthentifizierung informiert?

Nein, die Untersuchung ergab, dass Telesign ohne Benutzerbenachrichtigung eine stille Netzwerkauthentifizierung durchführte und die Telefon-Verifizierung auf Trägerebene über Vonage ohne ausdrückliches Wissen der Nutzer ablief.

Welche Behördenberichtsfunktionen wurden im durchgesickerten Quellcode von Persona gefunden?

Der durchgesickerte Quellcode von Persona soll Behördenberichtsmodule enthalten, die speziell für FinCEN und FINTRAC entwickelt wurden – die Finanzgeheimdiensteinheiten der Vereinigten Staaten bzw. Kanadas.

Altersverfizierungsgesetze bauen ein globales Überwachungsnetzwerk auf

Altersverfizierungsgesetze verbreiten sich in den Vereinigten Staaten, dem Vereinigten Königreich und Brasilien mit dem erklärten Ziel, Minderjährige im Internet zu schützen. Doch eine detaillierte technische Untersuchung des TBOTE-Projekts argumentiert, dass die zur Einhaltung dieser Gesetze aufgebaute Infrastruktur als etwas weit Umfassenderes fungiert: als grenzüberschreitendes biometrisches Überwachungssystem mit nicht offengelegten Datenverarbeitern, stiller Telefonauthentifizierung und direkt in den Code eingebetteten Behördenberichtsmodulen.

Die im April 2026 aktualisierte Untersuchung stützt sich auf DNS-Analysen, SDK-Dekompilierungen, Zertifikatstransparenzprotokolle, Handelsregistereinträge und SEC-EDGAR-Einreichungen. Alle genannten Quellen sind öffentlich zugänglich.

Der Thiel-Nexus: Ein Investor, zwei Seiten der Datenpipeline

Einer der zentralen strukturellen Befunde der Untersuchung betrifft Peter Thiel. Thiel ist Mitgründer von Palantir Technologies, einem Unternehmen, das Überwachungsanalytik an Regierungen und Konzerne weltweit verkauft. Sein Risikokapitalvehikel, Founders Fund, ist zugleich der Hauptinvestor von Persona, einem Identitätsprüfungsunternehmen, dessen SDK in Plattformen von Roblox bis Robinhood eingebettet ist.

Das TBOTE-Projekt beschreibt dies als einen „Erfassungs- und Analyse"-Nexus: Derselbe finanzielle Interessenträger profitiert sowohl von der Erfassung biometrischer Identitätsdaten als auch von der nachgelagerten Analyse dieser Daten. Die Untersuchung behauptet keine Abstimmung zwischen Persona und Palantir auf Produktebene, dokumentiert jedoch die gemeinsame Eigentümerstruktur als wesentliche Tatsache, die Nutzern, die mit Personas Verifizierungsabläufen interagieren, nicht offengelegt wird.

Der im Rahmen der Untersuchung gesichtete durchgesickerte Quellcode von Persona soll angeblich 269 Verifizierungsprüfungen, 43 Verifizierungstypen sowie Behördenberichtsmodule enthalten, die speziell für FinCEN und FINTRAC – die Finanzgeheimdiensteinheiten der Vereinigten Staaten bzw. Kanadas – entwickelt wurden.

Was die technische Analyse ergab

Der SDK-Dekompilierungsteil der Untersuchung lieferte mehrere spezifische Befunde, die über standardmäßige Datenschutzbedenken hinausgehen.

Im Persona-SDK wurde ein fest codierter AES-Verschlüsselungsschlüssel entdeckt. Der Schlüssel wurde in Version 1.15.3 rotiert, nachdem der Befund offengelegt worden war, was darauf hindeutet, dass das Problem bestätigt und behoben wurde. Dem SDK fehlte zudem Certificate Pinning, eine Standardsicherheitsmaßnahme, die das Abfangen von Daten während der Übertragung durch Man-in-the-Middle-Angriffe verhindert.

Während einer standardmäßigen Verifizierungssitzung wurden sieben gleichzeitig laufende Analysedienste festgestellt. Telesign, ein Unternehmen, das mehrheitlich im Besitz von Proximus, dem belgischen staatseigenen Telekommunikationsbetreiber, ist, wurde als Anbieter identifiziert, der ohne Benutzerbenachrichtigung eine stille Netzwerkauthentifizierung durchführt. Außerdem wurde festgestellt, dass eine Telefon-Verifizierung auf Trägerebene über Vonage ohne ausdrückliches Wissen der Nutzer abläuft.

Die Gesichtserkennnungskomponente von Personas System wird von Paravision betrieben, einem Unternehmen, das bei einer biometrischen Genauigkeitsbewertung des Department of Homeland Security den ersten Platz belegte. Laut der Untersuchung erscheint Paravision nicht auf der öffentlich zugänglichen Seite der Unterauftragsverarbeiter von Persona. Das TBOTE-Projekt identifizierte 12 Datenverarbeiter, die es als nicht offengelegt bezeichnet.

Die Subdomain-Enumeration von withpersona.com ergab 197 Subdomains, darunter 65 Staging-Umgebungen, die interne Machine-Learning-Dienste, eine als TigerGraph identifizierte Graphdatenbank sowie ein Gateway zur AAMVA, der American Association of Motor Vehicle Administrators, die Führerscheindaten in allen US-Bundesstaaten verwaltet, offenlegten.

Die Untersuchung dokumentiert außerdem, dass LinkedIn vier separate Identitätsprüfungsanbieter gleichzeitig betreibt, neben dem, was sie als einen parallelen chinesischen Überwachungs-Stack in derselben Android-APK beschreibt, einschließlich der Integration des Sesame Credit Social Scoring, der ShanYan-Trägerauthentifizierung und staatlicher Gerätekennungen.

Roblox, eine Plattform mit einer großen Anzahl minderjähriger Nutzer, wurde dabei ertappt, das vollständige Persona-SDK einschließlich der NFC-Reisepasslesefunktionalität in einem Verifizierungsablauf einzubetten, den Nutzer Berichten zufolge nicht verlassen können, ohne ihn abzuschließen.

Was das für Sie bedeutet

Die Untersuchung des TBOTE-Projekts bestreitet nicht, dass Altersverifizierung an sich illegitim ist. Ihr Argument ist spezifischer: Die zur Umsetzung der Altersverifizierung aufgebaute Infrastruktur verfügt über technische Fähigkeiten und Eigentumsstrukturen, die weit über jeden einzelnen Anwendungsfall der Altersabfrage hinausgehen.

Für gewöhnliche Internetnutzer bedeutet dies, dass die Einhaltung einer Altersverifizierungsaufforderung auf einer Gaming-Plattform, einem sozialen Netzwerk oder einer Website mit nicht jugendfreien Inhalten dazu führen kann, dass biometrische Daten von mehreren nicht offengelegten Dritten verarbeitet werden, eine Authentifizierung auf Trägerebene ohne sichtbare Benachrichtigung stattfindet und Daten in Systeme mit Behördenberichtsfunktionen fließen.

Gesetzliche Mandate in mehr als 25 US-Bundesstaaten, Brasilien und dem Vereinigten Königreich schaffen, was die Untersuchung einen „Pflichtmarkt" für diese Dienste nennt. Der Bericht stellt fest, dass Meta 26,3 Millionen US-Dollar für Lobbyarbeit im Zusammenhang mit dieser Gesetzgebung ausgegeben hat. Brasiliens Serpro-Datenbank, die Datensätze zu rund 220 Millionen brasilianischen Staatsbürgern enthält, wird als Teil der Infrastrukturumgebung identifiziert, in der diese Verifizierungssysteme betrieben werden.

Die Konvergenz von Identitätsverifizierung und KI-Agenteninfrastruktur wird als aufkommendes Problem hervorgehoben. Die Untersuchung legt nahe, dass die Identitätsverifizierung als Voraussetzung für die Teilnahme an automatisierten Internettransaktionen allgemein positioniert wird – nicht nur für altersbeschränkte Inhalte.

Handlungsempfehlungen

Leser, die ihr Engagement mit dieser Infrastruktur verstehen möchten, können mehrere praktische Schritte unternehmen.

Erstens: Überprüfen Sie die Datenschutzrichtlinien und Unterauftragsverarbeiter-Offenlegungen jeder Plattform, die Sie zur Identitätsverifizierung aufgefordert hat. Stellen Sie fest, ob Anbieter von Gesichtserkennungsdiensten und Trägerauthentifizierungsdienste aufgeführt sind.

Zweitens: Beachten Sie, dass „Altersverifizierung" auf einer Plattform nicht bedeutet, dass Ihre Daten bei dieser Plattform verbleiben. SDK-basierte Verifizierung leitet Daten durch Drittanbieter-Identitätssysteme, die jeweils eigene Datenspeicherungs- und Weitergabepraktiken haben.

Drittens: Verfolgen Sie die gesetzgeberischen Entwicklungen in Ihrer Rechtsordnung. Gesetze, die eine Altersverifizierung vorschreiben, schaffen rechtliche Verpflichtungen für Plattformen, die wiederum die Einführung der in dieser Untersuchung beschriebenen Infrastruktur vorantreiben. Zu verstehen, was Ihr Bundesstaat oder Ihr Land vorschreibt, ist relevant, um zu verstehen, welche Daten Sie möglicherweise einreichen müssen, um bestimmte Online-Dienste nutzen zu können.

Die vollständige Untersuchung des TBOTE-Projekts, einschließlich Methodik und Quelldokumenten, ist öffentlich zugänglich. Die Ergebnisse stellen eine der technisch detailliertesten öffentlichen Analysen der Altersverifizierungsbranche dar, und die aufgeworfenen Fragen zu Offenlegung, Datenflüssen und strukturellen Interessenkonflikten werden von Regulierungsbehörden, Journalisten und Datenschutzforschern voraussichtlich weiter untersucht werden.