Google verlangt künftig, dass jede Android-App einem verifizierten Entwickler zugeordnet ist, sonst lässt sie sich auf zertifizierten Geräten nicht mehr installieren. F-Droid nennt diese Entwicklerverifizierung eine existenzielle Bedrohung für freie App-Stores und Open-Source-Software. Was hinter dem Streit steckt und was Firmen im DACH-Raum jetzt prüfen sollten.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDie Android-Entwicklerverifizierung greift ab September 2026 und verlangt von jedem Entwickler eine Registrierung bei Google. F-Droid, ein etablierter Store für quelloffene Apps, sieht darin nicht mehr Sicherheit, sondern das Ende der freien App-Verteilung. Der zugespitzte Vorwurf einer „Malware von Google“ stammt aus der Open-Source-Szene, nicht von uns.
Das Wichtigste in Kürze
- Google koppelt die Installation von Apps auf zertifizierten Geräten an eine verifizierte Entwickleridentität, inklusive amtlichem Ausweis und App-Signaturschlüssel.
- Der Zeitplan steht: Registrierungskonsole seit März 2026 offen, erste Länder ab September 2026, weiterer Rollout ab 2027.
- F-Droid warnt, dass sein Signaturmodell mit Googles Ein-Signatur-Vorgabe kollidiert und pseudonyme Entwickler ausschließt.
- Google verweist auf ein kostenloses Konto für Hobbyisten und betont, Sideloading verschwinde nicht.
Was ändert Google technisch?

Jede App muss künftig einem Entwickler zugeordnet sein, der seine Identität bei Google hinterlegt hat, sonst blockiert das zertifizierte Gerät die Installation.
Identitätsebene statt App-Ebene. Die Verifizierung umfasst einen amtlichen Ausweis, eine Gebühr und die Registrierung des Signaturschlüssels. Damit verschiebt sich die Kontrolle von der einzelnen App auf die Person dahinter. Der Mechanismus ähnelt Play Integrity, reicht aber tiefer: Nicht der Code wird geprüft, sondern der Absender. Für kleine Teams entsteht ein kostenloses Konto, das die Verteilung auf bis zu 20 Geräte ohne Ausweis erlaubt.
Warum sieht F-Droid darin eine Bedrohung?
F-Droid signiert die Apps in seinem Katalog selbst, und genau dieses Modell kollidiert mit Googles Vorgabe einer einzigen Entwickler-Signatur pro App.
Reproduzierbare Builds. F-Droid signiert quelloffene Apps zentral, damit Nutzer den Quellcode gegen das fertige Paket prüfen können. In Googles Modell zählt dagegen nur eine Signatur pro App, gebunden an einen registrierten Entwickler. Viele Beitragende bleiben zudem aus Prinzip pseudonym. In ihrem offenen Brief gegen die Entwicklerverifizierung rät die Organisation ausdrücklich davon ab, sich jemals für das Programm anzumelden.
Teil eines Trends. Der Vorstoß reiht sich in eine Serie ein, die freie Software unter Druck setzt. Ähnliche Debatten kennen Sie aus dem Fall Godot, das KI-generierten Code verbietet, oder aus der Diskussion, warum Schwachstellenmeldungen ihren Sonderstatus verlieren. Google hält dagegen, dass Play Protect Schadsoftware bereits abfängt und Sideloading erhalten bleibe.
Was gilt im DACH-Raum?

Der Digital Markets Act verpflichtet Gatekeeper in der EU zu alternativen Vertriebswegen, weshalb die Verifizierung hier auf regulatorischen Widerstand treffen dürfte.
Drei To-dos. Ob Googles Modell mit dem DMA vereinbar ist, bleibt offen und wird die Aufsicht beschäftigen. Prüfen Sie erstens, ob Ihre Firmen-Apps außerhalb des Play Store verteilt werden und ab wann die Pflicht Sie trifft. Sichern Sie zweitens Ihre Signaturschlüssel und klären Sie, wer die Verifizierung übernimmt. Beobachten Sie drittens, wie sich Sicherheit weiterentwickelt, etwa bei Androids Warnung vor KI-Betrug oder beim Einsatz von Google-Diensten in Digitalausweis-Wallets.
Mehr Newshunger?

- Godot verbietet KI-generierten Code: Was Open-Source-Projekte jetzt brauchen
- Schwachstellenmeldungen verlieren ihren Sonderstatus
- Anonymer GitHub-Account veröffentlicht massenhaft ungemeldete Zero-Days
- Jede zweite LG-Smart-TV-App macht den Fernseher zum Proxy für Fremde
- Prompt Injection ist Rollenverwechslung, kein Trick
- Europäische Digitalausweis-Wallets setzen auf Sicherheitsdienste von Google und Apple