Im März liefert Adobe am Patchday Sicherheitsupdates für acht Programme. Sie schließen teils von Adobe als kritisch eingestufte Sicherheitslücken. Angreifer können dadurch etwa Schadcode einschmuggeln oder ihre Rechte ausweiten.

Die Patchday-Übersicht von Adobe listet die acht Sicherheitsmitteilungen zu den einzelnen Produkten auf. In Adobe Commerce, Commerce B2B und Magento Open Source schließen die Entwickler 19 Sicherheitslücken. Darunter sind mehrere Cross-Site-Scripting-Schwachstellen, von denen eine die Einstufung nach CVSS als kritisches Risiko nur knapp verpasst und die das Ausweiten der Rechte oder die Umgehung von Sicherheitsmaßnahmen ermöglichen. Insgesamt sechs davon stuft Adobe abweichend als kritische Bedrohung ein.

Ähnlich sieht es beim Illustrator aus. Mehrere Schwachstellen erlauben das Einschleusen und Ausführen von beliebigem Code, fünf der sieben Lücken stuft Adobe als kritisch ein. In Acrobat DC, Acrobat Reader DC und Acrobat 2024 klaffen drei Sicherheitslücken, von denen zwei Codeschmuggel erlauben und als kritisch eingestuft wurden. Wer den Substance 3D Stager einsetzt, sollte die Updates zum Schließen der sechs als kritisch geltenden Sicherheitslücken anwenden, durch die Angreifer Schadcode einschmuggeln können.

Adobe: Weitere Updates schließen Sicherheitslücken

Aber auch im Adobe DNG Software Development Kit (SDK) stopfen Softwareupdates teils kritische Lücken, in Adobe Premiere und Premiere Pro gab es lediglich ein kritisches Leck abzudichten. Neun immer noch als „wichtig“ klassifizierte Sicherheitslücken bessert Adobe in Substance 3D Painter aus. Im Adobe Experience Manager (AEM) schließen die Entwickler im März zudem 33 Cross-Site-Scripting-Sicherheitslecks, die jedoch lediglich einen CVSS-Wert von 5.4 erreichen. Adobe stuft die Lücken abweichend von der „mittleren“ Risikobewertung nach CVSS als „wichtig“ ein.

IT-Verantwortliche und Nutzer sowie Nutzerinnen der Adobe-Software sollten die Aktualisierungen zeitnah anwenden. Im Februar hatte Adobe zum Patchday Sicherheitslücken in neun Programmen geschlossen.

(dmk)

Im März 2026 hat Microsoft Aktualisierungen für 83 neue Schwachstellen am Patchday in petto. Bei zwei der Lücken handelt es sich um Zero-Day-Schwachstellen. Immerhin wurde bislang offenbar noch keine davon in Angriffen im Netz missbraucht.

Microsoft selbst listet alle Schwachstelleneinträge, die das Unternehmen am März-Patchday veröffentlicht hat, in einer Übersicht auf. Davon stufen die Entwickler acht als kritische Bedrohung ein – zum Großteil abweichend von der oftmals deutlich niedrigeren Risikobewertung nach CVSS-Wert.

Microsoft kümmert sich um Zero-Day-Lücken

Informationen zu einer Schwachstelle im SQL-Server, die die Ausweitung der Rechte ermöglicht (CVE-2026-21262, CVSS 8.8, Risiko „hoch“) sowie eine Denial-of-Service-Lücke in .Net (CVE-2026-26127, CVSS 7.5, Risiko „hoch“) sind laut Microsoft bereits öffentlich verfügbar. Sie wurden jedoch noch nicht angegriffen und Microsoft schätzt die Lage so ein, dass deren Missbrauch unwahrscheinlich bleibt.

Als kritisches Risiko stufen die Entwickler aus Redmond Lücken in Microsofts „ACI Confidential Containers“ in Azure ein. Angreifer können dadurch ihre Rechte erhöhen oder unbefugt auf Informationen zugreifen (CVE-2026-23651, CVE-2026-26124, beides CVSS 6.7, Risiko „mittel“, sowie CVE-2026-26122, CVSS 6.5, Risiko „mittel“); Kunden müssen nichts unternehmen, Microsoft hat die Fehler serverseitig korrigiert. Etwas skurril mutet eine Sicherheitslücke in Microsofts Device Pricing Program an, durch die Angreifer Schadcode aus dem Netz einschleusen und hätten ausführen können (CVE-2026-21536, CVSS 9.8, Risiko „kritisch“). Dasselbe gilt für eine Lücke in Microsofts Payment Orchestrator Service (CVE-2026-26125, CVSS 8.6, Risiko „hoch“). Die hat Microsoft ebenfalls serverseitig geschlossen und informiert lediglich der Transparenz halber darüber.

In Microsoft Office erlauben zwei Sicherheitslücken das Einschleusen von Code aus dem Netz, etwa mittels sorgsam präparierter Dokumente. Dazu genügt bereits die Anzeige im Vorschaufenster (CVE-2026-26110, CVE-2026-26113, CVSS 8.4, Risiko „hoch“). In Excel können bösartige Akteure die Sandbox des Copilot-Agent-Modus umgehen und dabei unbefugt Informationen ins Netz ausleiten. Es handelt sich um eine Zero-Click-Lücke (CVE-2026-26144, CVSS 7.5, Risiko „hoch“).

Angreifer können den Windows-Druckerspooler mit manipulierten Netzwerkpaketen zur Ausführung von eingeschmuggeltem Schadcode bewegen. Dazu benötigen sie jedoch zumindest niedrige Berechtigungen auf dem Zielsystem (CVE-2026-23669, CVSS 8.8, Risiko „hoch“). Am Ende listet Microsoft noch zehn Schwachstellen im Chromium-Projekt auf, die mit aktuellen Edge-Updates geschlossen werden. Die hat Google in Chrome bereits in der vergangenen Woche ausgebessert. Die Updates für Windows bringen Secureboot-Zertifikatsaktualisierungen für mehr Geräte und etwa auch für Windows-10-Systeme mit.

Diverse weitere Sicherheitslücken betreffen zahlreiche Produkte und Dienste aus dem Microsoft-Portfolio. IT-Verantwortliche sollten daher die Microsoft-Übersicht durchsehen und in der eigenen Organisation eingesetzte, anfällige Produkte auf den aktuellen Stand bringen.

Im Februar hatte Microsoft am Patchday mehrere Sicherheitslücken schließen müssen, die bereits im Internet attackiert wurden. Sechs der dort geschlossenen Sicherheitslücken haben Kriminelle bereits vor dem Patchday missbraucht.

(dmk)

Die meisten von uns haben nicht nur Bargeld, sondern Plastikkarten von Banken, der Krankenkasse oder der städtischen Bibliothek im Portemonnaie. Das Bundesdigitalministerium (BMDS) will diese Karten nach und nach um digitale Nachweise ergänzen. Schon im Januar 2027 soll bundesweit eine digitale Brieftasche an den Start gehen. Die sogenannte EUDI-Wallet wird dann allen Bürger:innen kostenlos zur Verfügung stehen, ihre Nutzung ist freiwillig.

Das soll zum einen die Verwaltungsdigitalisierung voranbringen: Bürger:innen können die Wallet dann dazu nutzen, um sich gegenüber Behörden auszuweisen, etwa wenn sie online Bescheide abrufen möchten.

Aber auch gegenüber Unternehmen sollen sich Nutzer:innen künftig mit der Wallet ausweisen können. Sie kann künftig zum Einsatz kommen, wenn diese online ein Bankkonto eröffnen, eine SIM-Karte registrieren oder einen Vertrag elektronisch unterschreiben.

Wir beantworten die zentralen Fragen zur geplanten digitalen Brieftasche: Hat das lederne Portemonnaie jetzt ausgedient? Welche Vor- und Nachteile bringt die digitale Brieftasche aus Sicht der Nutzer:innen? Und warum sind Datenschützer:innen und Bürgerrechtler:innen nach wie vor skeptisch?

Was ist die EUDI-Wallet?

Die EUDI-Wallet (European Digital Identity Wallet) ist eine App auf dem Smartphone, die als digitale Brieftasche für offizielle Identitätsnachweise dient. Statt Personalausweis, Führerschein oder Zeugnisse in Papierform mitzuführen, sollen Bürger:innen diese Dokumente künftig digital speichern und die eigene Identität oder individuelle Berechtigungen EU-weit digital nachweisen können – sowohl online als auch vor Ort. Dabei sollen die Nutzer:innen selbst darüber bestimmen können, welche Daten sie mit wem wann teilen.

Die EU-Verordnung, die der Wallet zugrundeliegt, sieht die Einführung der Wallet im Dezember 2026 vor. Das zuständige Bundesministerium für Digitales und Staatsmodernisierung (BMDS) hat aber bereits angekündigt, dass in Deutschland der 2. Januar 2027 der Starttermin sein wird.

Geht es nach der EU-Kommission, sollen bis zum Jahr 2030 vier Fünftel aller EU-Bürger:innen die Wallet nutzen. Ihr Quellcode muss mit Einschränkungen unter einer Open-Source-Lizenz veröffentlicht werden muss. Das soll beispielsweise unabhängige Sicherheitsüberprüfungen ermöglichen.

Was ist eine digitale Identität?

Eine digitale Identität ist die Gesamtheit von Daten, die eine Person in einem digitalen System eindeutig identifiziert. Dazu gehören beispielsweise der Name, das Geburtsdatum und der Wohnort. Je nach Kontext zählen aber auch Berufsabschlüsse, die Krankenversicherungsnummer oder die Führerscheinklasse dazu.

Die Wallet soll eine staatlich geprüfte digitale Identität mit hoher Vertrauenswürdigkeit bereitstellen. Das bedeutet, dass die Identität auf einer amtlichen Überprüfung der Person beruht. Nach der zugrundeliegenden eIDAS-Verordnung erfüllt sie damit die höchsten Sicherheits- und Vertrauensniveaus und kann daher auch für rechtlich verbindliche Vorgänge eingesetzt werden.

Was kann ich mit der digitalen Brieftasche machen?

Mit der digitalen Brieftasche soll vieles möglich werden, was heute noch Papierkram oder aufwendige Online-Verfahren erfordert. Das Prinzip ist ähnlich wie bei Wallet-Apps, wie sie Apple und Google etwa schon für Bordkarten oder Konzerttickets bereitstellen. Allerdings geht es bei der Wallet zunächst vor allem um amtlich anerkannte Dokumente. Erst im Laufe der Zeit sollen weitere Anwendungsfälle hinzukommen.

Daraus ergibt sich dann eine Reihe von Anwendungsszenarien. Drei Beispiele, wie sich die Kommission den Einsatz der EUDI-Wallet konkret vorstellt:

• Wer mit dem Auto durch Europa reist, soll künftig keinen physischen Führerschein mehr mitführen müssen. Bei einer Verkehrskontrolle in Frankreich oder in Spanien können Nutzer:innen dann ihre Wallet-App zücken, die Beamtin scannt einen QR-Code und sieht sofort, dass die Fahrerlaubnis gültig ist. Der digitale Nachweis ist auch ohne Internetverbindung überprüfbar und es sollen nur die persönlichen Daten übermittelt werden, die für die Kontrolle relevant sind.
• Wer heute ein Bankkonto eröffnet, muss sich nicht länger per PostIdent oder VideoIdent ausweisen. Stattdessen fordert die Bank die benötigten Identitätsdaten direkt über die App an, Nutzer:innen geben die Weitergabe frei – fertig. Die Bank erhält die verifizierten Daten innerhalb weniger Sekunden, Ausweiskopien sind nicht mehr nötig. Da die Identitätsdaten staatlich beglaubigt sind, erfüllt das Verfahren die Anforderungen nach dem Geldwäschegesetz.
• Eine Studentin aus Erfurt möchte sich für einen Masterstudiengang in Polen bewerben. Statt beglaubigte Papierkopien ihres Bachelor-Zeugnisses per Post zu schicken, legt sie ihren digital signierten Abschlussnachweis aus der Wallet vor. Die Universität in Warschau kann die Echtheit des Dokuments sofort prüfen. Übersetzungen und notarielle Beglaubigungen entfallen, weil das Format EU-weit standardisiert und rechtlich anerkannt ist.

Konkret wird es bald in Sachsen: Im vergangenen Oktober startete das Bundesdigitalministerium gemeinsam mit der Sächsischen Staatskanzlei und der Landeshauptstadt Dresden ein größeres Pilotprojekt. Ab Mitte 2026 sollen Dresdner:innen den Dresden-Pass und die Sächsische Ehrenamtskarte in der Wallet hinterlegen können. Beide Nachweise berechtigen unter anderem zu ermäßigten Preisen für Kultur- und Freizeitangebote. Dresden testet damit als erste Kommune Deutschlands die Wallet.

Außerdem wird in Sachsen erstmals das zentrale digitale Bürgerkonto, die Bund-ID, in die Wallet eingebunden. Bürger:innen können die Wallet dann dazu nutzen, um sich gegenüber Behörden auszuweisen, etwa wenn sie online Bescheide abrufen möchten. In Kooperation mit der Hochschule für Technik und Wirtschaft Dresden wird zudem ein konkreter Anwendungsfall entwickelt, bei dem Studierende einen Bafög-Antrag mit der Wallet vollständig digital beantragen und den Bescheid dann in der Wallet hinterlegen können.

Was ist die rechtliche Grundlage für die Wallet?

Im April 2024 trat die novellierte EU-Verordnung über elektronische Identifizierung und Vertrauensdienste in Kraft, auch bekannt als eIDAS 2.0 (Verordnung EU 2024/1183). Die Verordnung verpflichtet alle 27 EU-Mitgliedstaaten dazu, ihren Bürger:innen bis Ende 2026 kostenlos eine digitale Wallet anzubieten.

eIDAS steht für electronic Identification, Authentication and trust Services. Die Vorgängerversion der Verordnung von 2014 schuf bereits einen Rahmen für digitale Identitäten in der EU, sah allerdings noch keine Pflicht zur Umsetzung vor. Das hat sich mit eIDAS 2.0 geändert.

Die konkrete Umsetzung der Verordnung regelt jeder Mitgliedstaat innerhalb des vorgegebenen EU-Rahmens selbst. Die eIDAS-Verordnung gilt in allen EU-Mitgliedstaaten unmittelbar. Allerdings müssen für den Betrieb der nationalen Wallets Landesgesetze geändert werden. In Deutschland sind das vermutlich das Personalausweisrecht, die Registergesetze und das Verwaltungsverfahrensrecht.

Die politische Steuerung des Projekts „Nationales EUDI-Wallet-Projekt Deutschland“ liegt beim Bundesministerium für Digitales und Staatsmodernisierung (BMDS). Die Umsetzung erfolgt durch die Bundesagentur für Sprunginnovationen (Sprind) in Zusammenarbeit mit Partnern. So sind etwa die Bundesdruckerei und ihre Tochtergesellschaft D-Trust an der Entwicklung zentraler Komponenten beteiligt – insbesondere am sogenannten PID-Provider-Dienst, der Identitätsdaten aus dem Personalausweis sicher in die Wallet überträgt.

Mittelfristig soll das Projekt in eine Tochter-GmbH der Sprind überführt werden, die dann als zentrale verantwortliche Stelle für die Wallet fungiert. Die GmbH ist dann für Betrieb der öffentlichen Infrastruktur rund um die Wallet zuständig und soll langfristig in den Verantwortungsbereich des BMDS wechseln.

Dürfen auch Unternehmen eine Wallet anbieten?

Neben der staatlichen Wallet können auch private Anbieter eigene Wallets entwickeln, sofern diese nach einem deutschen Zertifizierungsschema zugelassen sind.

Private Anbieter sollen eigene Wallets in Deutschland allerdings erst 12 Monate nach Start der staatlichen Wallet anbieten können. Diese Wallets können sie dann mit eigenen Zusatzdiensten versehen. Das können etwa Mitgliedsausweise, Bonussysteme oder Zutrittsberechtigungen für Firmengelände sein.

Wer darf auf die Wallet zugreifen?

Wer die Wallet nutzt, soll transparent darüber bestimmen können, welche Daten an sogenannte „relying parties“ weitergegeben werden. Diese „vertrauenswürdigen Parteien“ können eine Bank, ein Online-Shop oder eine Behörde sein.

Sie müssen sich laut eIDAS-Verordnung, die der europäischen Wallet zugrundeliegt, vorab in dem EU-Mitgliedstaat registrieren, in dem sie ihren Sitz haben. Dabei müssen sie darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Nur diese Daten dürfen sie dann auch aus den Wallets abfragen.

Allerdings kritisieren zivilgesellschaftliche Organisationen, dass die EU-Kommission wiederholt versucht habe, bei der technischen Umsetzung der Wallet „Schlupflöcher“ einzubauen.

Wer ist für die Aufsicht zuständig?

Für die Aufsicht über das eIDAS-Ökosystem wird keine neue zentrale EU-Aufsichtsstelle geschaffen. Stattdessen obliegt sie den einzelnen Mitgliedstaaten.

Die eIDAS-Verordnung regelt unter anderem, dass jeder Mitgliedstaat mindestens eine Aufsichtsstelle benennen muss, die die Wallet-Anbieter kontrolliert (Artikel 46a). Bei Verstößen kann sie unter anderem die Bereitstellung der Wallet aussetzen. Einmal im Jahr müssen die nationalen Aufsichtsstellen der EU-Kommission Bericht erstatten. Wer diese Funktion in Deutschland übernimmt, ist derzeit noch offen. Vermutlich wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Aufgabe übernehmen.

Aufsichtsstellen für Wallet-Anbieter können die Registrierung einer vertrauenswürdigen Partei und deren Zugang zum Authentifizierungsmechanismus aussetzen oder widerrufen. Das geht allerdings nur dann, wenn ihnen zuvor rechtswidriges Verhalten nachgewiesen wurde.

Für alles, was den Umgang mit personenbezogenen Daten betrifft, greift die Datenschutzgrundverordnung. Dafür sind dann die Datenschutzbehörden in Deutschland zuständig. Nutzer:innen sollen verdächtige Datenanfragen außerdem direkt aus der Wallet heraus an die zuständige Datenschutzbehörde melden können.

Welche Voraussetzungen müssen Wallets erfüllen, damit sie zugelassen werden?

Die Wallet muss laut Artikel 5a der eIDAS-Verordnung besonders hohe Sicherheitsanforderungen erfüllen. Sie muss zudem unter anderem in der Lage sein, Nachweise sicher zu verarbeiten, ein Datenschutz-Dashboard enthalten und Pseudonyme generieren können.

Personenbezogene Daten müssen in der Wallet getrennt von allen anderen Daten des Wallet-Anbieters aufbewahrt werden. Keine Partei darf Transaktionen oder Nutzer:innenverhalten verfolgen oder verknüpfen können. Auch darf der Wallet-Anbieter keine Informationen über Transaktionen sammeln, die für den Betrieb nicht erforderlich sind.

Eine Zertifizierung gilt für maximal fünf Jahre, alle zwei Jahre muss eine Schwachstellenbeurteilung erfolgen. Wird eine Schwachstelle festgestellt und nicht behoben, wird die Zertifizierung aufgehoben.

Der Quellcode von europäischen Wallet-App muss unter einer Open-Source-Lizenz veröffentlicht werden. Allerdings schränkt die eIDAS-Verordnung ein, dass bestimmte, nicht auf dem Gerät installierte Komponenten in „hinreichend begründeten Fällen“ davon ausgenommen sein können, sofern die Mitgliedstaaten das vorsehen.

Ist die Nutzung der EUDI-Wallet verpflichtend?

Nein, die Nutzung ist laut EU-Verordnung freiwillig. Niemand ist gezwungen, eine Wallet einzurichten oder zu verwenden. In Deutschland bleibt es möglich, Behördenangelegenheiten persönlich zu erledigen, den physischen Personalausweis zu nutzen oder die bestehende eID-Funktion des Persos und die BundID zu verwenden.

Umgekehrt sind aber bestimmte Anbieter dazu verpflichtet, die Wallet zu akzeptieren. So müssen etwa Banken und sehr große Online-Plattformen die EUDI-Wallet als Identifizierungsmittel anerkennen, sobald diese verfügbar ist. In der Verordnung ist ausdrücklich festgehalten, dass keine Person im Zugang zu Diensten benachteiligt werden darf, wenn sie keine Wallet nutzt (Art. 5a Abs. 15).

In der aktuellen Debatte um Social-Media-Verbote rückt eine weitere Funktion in den Fokus. CDU und SPD streben ein Social-Media-Verbot bis 14 Jahre an. Alle Nutzer:innen ab 16 Jahren sollen sich gegenüber sozialen Plattformen ausweisen. Dieser Pflicht sollen sie mit der EUDI-Wallet nachkommen können.

Mehr als jede:r Zweite in Deutschland ist privat auf Social Media aktiv. Sollten sie alle sich künftig unter anderem mit der Wallet gegenüber den Plattformbetreibern ausweisen müssen, wäre die Freiwilligkeit für einen Großteil der Bevölkerung faktisch dahin.

Wie funktioniert der digitale Identitätsnachweis technisch?

Bevor Nutzer:innen die Wallet nutzen können, müssen sie diese per Smartphone-App einrichten. In Deutschland wird die initiale Identifikation voraussichtlich über die Online-Ausweisfunktion des Personalausweises (eID) erfolgen. Die Identitätsdaten auf dem Online-Ausweis werden per NFC-Chip mit Hilfe des Smartphones eingelesen und in die Wallet-App übertragen.

Dokumente, die Nutzer:innen anschließend in ihre Wallet laden, werden verschlüsselt auf dem Smartphone gespeichert. So sollen Unbefugte auch dann keinen Zugriff auf die Daten erhalten können, wenn das Smartphone verloren gehen sollte.

Fordert eine Bank, eine Behörde oder ein anderer Dienst nun Identitätsdaten an, entscheiden Nutzer:innen aktiv in der App, welche Daten sie freigeben. Erst dann werden die Daten übermittelt – und zwar bestenfalls nur solche Daten, die auch tatsächlich nötig sind.

Allerdings steht die initiale Identifikation mit der eID derzeit noch vor einer Herausforderung: Bisher nutzt nur ein geringer Teil der Bundesbürger:innen den Online-Ausweis, und viele haben ihre PIN nicht mehr, um den Dienst zu aktivieren. Den kostenlosen Dienst, mit dem Bürger:innen eine neue PIN beantragen konnten, hat die damalige Ampel-Regierung Anfang 2024 aus Kostengründen eingestellt. Das BMDS prüft derzeit offenbar, den Dienst übergangsweise wieder kostenfrei anzubieten, sowie alternative Wege, die Wallet zu aktivieren.

Wie soll die Wallet die Privatsphäre und die Daten der Nutzer:innen schützen?

Die Wallet ist laut Verordnung so konzipiert, dass Datenschutz von Anfang an in die Technik eingebaut wird und kein nachträglicher Zusatz sein soll.

Konkret sieht die Verordnung unter anderem folgende Schutzmechanismen vor:

• Datenminimierung: Die Verordnung verpflichtet Unternehmen ausdrücklich dazu, nur die Mindestdaten anzufordern, die für den jeweiligen Dienst erforderlich sind – wobei laut Verordnung „der Grundsatz der Datenminimierung und das Recht der Nutzer, frei gewählte Pseudonyme zu verwenden, zu achten sind“. Für einen Altersnachweis genügt zum Beispiel die Information „Person ist über 18“ – ohne Namen, Geburtsdatum oder Adresse zu zeigen.
• Zero-Knowledge-Proof: Bei einem Null-Wissens-Beweis kann eine Eigenschaft wie die Volljährigkeit bewiesen werden, ohne die zugrundeliegenden Daten selbst preiszugeben. Die Verordnung sieht vor, dass die dafür notwendigen Technologien in die europäische Brieftasche integriert werden.
• Verschlüsselung: Alle Daten auf dem Gerät und bei der Übertragung sollen Ende-zu-Ende-verschlüsselt sein.
• Kein Tracking: Anbieter sollen technisch nicht in der Lage sein, das „Nutzerverhalten zu verfolgen, zu verknüpfen, zu korrelieren“. Vor dieser Gefahr hatten Bürgerrechtsorganisation frühzeitig gewarnt und deshalb klare rechtliche Vorgaben angemahnt.
• Transparenz und Kontrolle: Die Wallet soll über ein Datenschutz-Dashboard verfügen, eine Oberfläche zur Verwaltung und Kontrolle der geteilten Daten. So sollen Nutzende einsehen, welche Daten geteilt wurden, Löschungen verlangen und Verstöße an die zuständigen nationalen Datenschutzbehörden melden können.

Warum sehen Datenschützer:innen und Bürgerrechtler:innen die Wallet kritisch?

Datenschützer:innen und Bürgerrechtler:innen hatten die geplante EUDI-Wallet bereits von Beginn an aus zwei zentralen Gründen kritisiert. Zum einen befürchteten sie, dass die EU-Verordnung eine technische Infrastruktur schafft, die es ermöglicht, EU-Bürger:innen on- wie offline massenhaft zu identifizieren und zu überwachen. Zum anderen könnten öffentliche Stellen und Unternehmen die Wallet dazu verwenden, um Nutzer:innen umfassend auszuspähen.

Einige der Risiken, die der Ursprungsentwurf der Verordnung noch barg, wurden im Zuge der Verhandlungen in Brüssel minimiert oder ausgeräumt. Andere bestehen aus Sicht von Bürgerrechtler:innen jedoch fort.

So kann etwa das Recht auf Pseudonymität laut Verordnung durch nationales oder EU-Recht eingeschränkt werden. Und der Zero Knowledge Proof findet sich als Forderung nur in den erläuternden Erwägungsgründen der Verordnung und stellt für die EU-Mitgliedstaaten somit keine Verpflichtung dar.

Außerdem werden in Brüssel derzeit noch die technischen Anforderungen an die europäische digitale Brieftasche verhandelt. Und dabei versucht die Kommission offensichtlich wieder, wieder und wieder, die rechtlichen Vorgaben auszuhebeln – zulasten des Verbraucher- und des Datenschutzes.

Auch der Verbraucherzentrale Bundesverband veröffentlichte im Februar 2025 ein Gutachten und mahnte zugleich Nachbesserungen bei den Entwürfen der sogenannten Durchführungsrechtsakte an. Der Verband kritisierte, „dass die guten Datensicherheits- und Datenschutzaspekte der eIDAS-Verordnung hier nicht hinreichend umgesetzt werden“.

Was wird insbesondere bei der deutschen Wallet kritisiert?

Sicherheitsforschende und Verbraucherschützer:innen sehen insbesondere eine Entscheidung der früheren Ampel-Regierung als problematisch an: die Wahl zugunsten der Architektur-Variante, die auf signierte Daten setzt.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Im Oktober 2024 entschied sich das Bundesinnenministerium für eine Architektur-Variante bei der deutschen Wallet, die auf signierte Daten setzt. Diese Entscheidung hat weitreichende Folgen für die Identifikations- und Authentifizierungsprozesse.

Denn dieses „Siegel“ macht die Daten überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich in seinem Gutachten ebenfalls klar gegen signierte Daten aus.

Die Sicherheitsforscherin Bianca Kastl, die auch Kolumnistin bei netzpolitik.org ist, befürchtet, dass der Wallet ein ähnliches Schicksal bevorstehe wie der von Sicherheitslücken geplagten elektronischen Patientenakte.