Google verlangt künftig, dass jede Android-App einem verifizierten Entwickler zugeordnet ist, sonst lässt sie sich auf zertifizierten Geräten nicht mehr installieren. F-Droid nennt diese Entwicklerverifizierung eine existenzielle Bedrohung für freie App-Stores und Open-Source-Software. Was hinter dem Streit steckt und was Firmen im DACH-Raum jetzt prüfen sollten.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Die Android-Entwicklerverifizierung greift ab September 2026 und verlangt von jedem Entwickler eine Registrierung bei Google. F-Droid, ein etablierter Store für quelloffene Apps, sieht darin nicht mehr Sicherheit, sondern das Ende der freien App-Verteilung. Der zugespitzte Vorwurf einer „Malware von Google“ stammt aus der Open-Source-Szene, nicht von uns.

Das Wichtigste in Kürze

  • Google koppelt die Installation von Apps auf zertifizierten Geräten an eine verifizierte Entwickleridentität, inklusive amtlichem Ausweis und App-Signaturschlüssel.
  • Der Zeitplan steht: Registrierungskonsole seit März 2026 offen, erste Länder ab September 2026, weiterer Rollout ab 2027.
  • F-Droid warnt, dass sein Signaturmodell mit Googles Ein-Signatur-Vorgabe kollidiert und pseudonyme Entwickler ausschließt.
  • Google verweist auf ein kostenloses Konto für Hobbyisten und betont, Sideloading verschwinde nicht.

Was ändert Google technisch?

Ein grünes Vorhängeschloss an einem Holzpfahl mit Anhängern: „Nur mit Ausweis“ und Bild-Icon
Google verlangt künftig von App-Entwicklern eine Identitätsverifizierung mit amtlichem Ausweis und Gebühr zur Installation auf zertifizierten Geräten

Jede App muss künftig einem Entwickler zugeordnet sein, der seine Identität bei Google hinterlegt hat, sonst blockiert das zertifizierte Gerät die Installation.

Identitätsebene statt App-Ebene. Die Verifizierung umfasst einen amtlichen Ausweis, eine Gebühr und die Registrierung des Signaturschlüssels. Damit verschiebt sich die Kontrolle von der einzelnen App auf die Person dahinter. Der Mechanismus ähnelt Play Integrity, reicht aber tiefer: Nicht der Code wird geprüft, sondern der Absender. Für kleine Teams entsteht ein kostenloses Konto, das die Verteilung auf bis zu 20 Geräte ohne Ausweis erlaubt.

Warum sieht F-Droid darin eine Bedrohung?

F-Droid signiert die Apps in seinem Katalog selbst, und genau dieses Modell kollidiert mit Googles Vorgabe einer einzigen Entwickler-Signatur pro App.

Reproduzierbare Builds. F-Droid signiert quelloffene Apps zentral, damit Nutzer den Quellcode gegen das fertige Paket prüfen können. In Googles Modell zählt dagegen nur eine Signatur pro App, gebunden an einen registrierten Entwickler. Viele Beitragende bleiben zudem aus Prinzip pseudonym. In ihrem offenen Brief gegen die Entwicklerverifizierung rät die Organisation ausdrücklich davon ab, sich jemals für das Programm anzumelden.

Teil eines Trends. Der Vorstoß reiht sich in eine Serie ein, die freie Software unter Druck setzt. Ähnliche Debatten kennen Sie aus dem Fall Godot, das KI-generierten Code verbietet, oder aus der Diskussion, warum Schwachstellenmeldungen ihren Sonderstatus verlieren. Google hält dagegen, dass Play Protect Schadsoftware bereits abfängt und Sideloading erhalten bleibe.

Was gilt im DACH-Raum?

Papp-Android-Figur mit „NICHT VERIFIZIERBAR“-Aufkleber und Notiz: „Ich mag aber auch so!“
EU-Gatekeeper müssen alternative App-Vertriebswege ermöglichen. Googles Verifizierungsmodell könnte regulatorischen Widerstand nach dem Digital Markets Act treffen

Der Digital Markets Act verpflichtet Gatekeeper in der EU zu alternativen Vertriebswegen, weshalb die Verifizierung hier auf regulatorischen Widerstand treffen dürfte.

Drei To-dos. Ob Googles Modell mit dem DMA vereinbar ist, bleibt offen und wird die Aufsicht beschäftigen. Prüfen Sie erstens, ob Ihre Firmen-Apps außerhalb des Play Store verteilt werden und ab wann die Pflicht Sie trifft. Sichern Sie zweitens Ihre Signaturschlüssel und klären Sie, wer die Verifizierung übernimmt. Beobachten Sie drittens, wie sich Sicherheit weiterentwickelt, etwa bei Androids Warnung vor KI-Betrug oder beim Einsatz von Google-Diensten in Digitalausweis-Wallets.

Mehr Newshunger?

Grünes Vorhängeschloss mit Text, Android-Figur, Apps und einem Anhänger davor auf weißem Grund
Godot-Projekt verbietet KI-generierten Code in Beiträgen. Schwachstellenmeldungen verlieren privilegierten Status
4,3 11 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?