#KeepAndroidOpen: Warum Googles neue Regeln die Android-Freiheit bedrohen

Wir bei AdGuard freuen uns, zu den Unterzeichnern eines neu veröffentlichten offenen Briefes zu gehören. Gemeinsam mit vielen anderen setzen wir uns gegen die geplanten Richtlinien von Google zur Entwickler-Verifizierung ein. Ins Leben gerufen wurde diese Initiative von F-Droid — seit dem Start im letzten Jahr wächst die Unterstützung von Tag zu Tag. Inzwischen haben sich zahlreiche Organisationen aus der Zivilgesellschaft und der Technologiebranche angeschlossen, darunter die Electronic Frontier Foundation, die Free Software Foundation und Vivaldi. Adressiert ist der Brief direkt an die Google-Spitze, unter anderem an Sundar Pichai, Larry Page und Sergey Brin.

Die Botschaft ist unmissverständlich: Die geplanten Änderungen würden das Android-Ökosystem grundlegend verändern — und zwar leider nicht zum Guten. Wir teilen die im Brief geäußerten Bedenken voll und ganz und stehen Seite an Seite mit all jenen, die Google dazu auffordern, diesen Schritt noch einmal zu überdenken.

Googles neue Anforderungen zur App-Verifizierung

Im Zentrum der Debatte steht ein neues, verpflichtendes Verifizierungssystem für alle Android-Entwickler. Bisher betrafen solche Regeln nur Apps, die direkt über Google Play angeboten wurden — doch das neue Konzept geht weit darüber hinaus. Künftig soll jeder, der Apps für Android erstellt, vorab eine Art „offizielle Genehmigung“ von Google einholen. Das gilt selbst dann, wenn die Apps völlig unabhängig verteilt werden, etwa über die eigene Website, alternative App-Stores, Firmensysteme oder per direktem Dateitransfer.

In der Praxis bedeutet das: Wer Apps entwickelt, muss künftig ein Konto in einer neuen Google-Konsole anlegen, den Geschäftsbedingungen von Google zustimmen und eine Registrierungsgebühr von 25 Dollar zahlen. Damit ist es aber nicht getan — es folgt ein umfassender Identitätscheck. Dazu gehört das Einreichen eines amtlichen Lichtbildausweises (wie Pass oder Führerschein) sowie die Bestätigung von E-Mail-Adresse und Telefonnummer per Einmalcode.

Zusätzlich muss die App kryptografisch mit der verifizierten Identität verknüpft werden. Entwickler sind dazu verpflichtet, den öffentlichen SHA-256-Fingerabdruck ihres Signaturschlüssels hochzuladen und eine signierte APK-Datei einzureichen, die eine spezielle Verifizierungsdatei enthält. So wird der Paketname der App untrennbar mit der registrierten Person oder Organisation verbunden.

Wichtig zu wissen: Wer bereits Apps über Google Play anbietet, muss nicht ganz bei null anfangen. In der bestehenden Play Console wird es eine Option geben, auch jene Apps zu registrieren, die außerhalb des Google Play Stores vertrieben werden. Ganz anders sieht es jedoch für alle aus, die ihre Apps ausschließlich über andere Kanäle bereitstellen: Sie müssen ein komplett neues Konto anlegen und den gesamten Registrierungs- und Verifizierungsprozess von Anfang bis Ende durchlaufen. Für viele etablierte Google-Play-Entwickler sind die neuen Regeln also eher eine Erweiterung ihrer bisherigen Routine, während sie für alle anderen eine völlig neue Hürde darstellen.

Das System befindet sich seit November 2025 in einer Testphase und wird im März 2026 für alle geöffnet. Ab September 2026 macht Google dann ernst — zunächst in Brasilien, Indonesien, Singapur und Thailand. Ab diesem Zeitpunkt wird die Installation von Apps auf zertifizierten Android-Geräten in diesen Ländern blockiert, sofern der Entwicklungsprozess nicht verifiziert und die App registriert wurde. Google hat bereits angekündigt, diese Richtlinie später weltweit auszurollen.

Zwar hat Google signalisiert, dass es für Studierende und Hobby-Entwickler spezielle Konten mit weniger strengen Prüfungen und ohne die Gebühr von 25 Dollar geben soll. Das mag die Last für Einzelne zwar ein wenig lindern, ändert aber nichts an der Kernbotschaft: Der unabhängige Vertrieb von Software unter Android erfordert künftig die ausdrückliche Erlaubnis von Google.

Das ist ein gewaltiger Umbruch. Er rüttelt an den Grundfesten von Android, das lange Zeit als das offene Gegenstück zum geschlossenen Apple-System galt. Bisher war Android ein Ökosystem, in dem Software ohne einen zentralen „Türwächter“ entwickelt und verteilt werden konnte. Mit den neuen Regeln wird diese Offenheit massiv eingeschränkt. Google dehnt seine Kontrolle weit über den eigenen Play Store aus und verschafft sich die technische Macht, die Installation jeder App zu verhindern, die das Unternehmen nicht zuvor abgesegnet hat.

Die Schattenseiten der neuen Google-Richtlinien

Die Auswirkungen auf die Entwickler-Community und vor allem auf den Innovationsgeist könnten massiv sein. Open-Source-Projekte, die von Freiwilligen getragen werden, datenschutzorientierte Teams oder Entwicklergruppen in Regionen, in denen Google-Dienste nur schwer zugänglich sind — sie alle stehen plötzlich vor neuen Hürden. Was auf dem Papier wie ein „Prozess von 10 Minuten“ klingt, kann für kleine Teams mit begrenzten Ressourcen schnell zu einem echten Hindernis werden.

Dazu kommen berechtigte Sorgen um die Privatsphäre der Entwickler. Die Pflicht, amtliche Ausweise, verifizierte Telefonnummern und weitere persönliche Daten zu hinterlegen, konzentriert hochsensible Informationen an einem einzigen Ort. Besonders für Menschen, die Tools zum Schutz der Privatsphäre entwickeln, ist es ein tiefer Widerspruch, wenn sie als Voraussetzung für den Vertrieb ihrer Software erst einmal ihre eigene Identität preisgeben müssen.

Ebenso besorgniserregend ist der breitere Rahmen, in dem diese Regeln durchgesetzt werden sollen. Google blickt auf eine lange Geschichte von App-Sperrungen und Ablehnungen zurück, die viele in der Entwickler-Community als undurchsichtig, widersprüchlich und schwer anfechtbar beschreiben. Wenn man dem Unternehmen nun die Kontrolle über den gesamten App-Vertrieb bei Android überträgt — weit über den Play Store hinaus —, wächst die Sorge vor willkürlichen Entscheidungen und mangelnden Einspruchsmöglichkeiten.

Darüber hinaus gibt es gute Gründe zu bezweifeln, dass diese Richtlinien ihr eigentliches Ziel — mehr Sicherheit — überhaupt erreichen. Wer wirklich Böses im Schilde führt, hat immer wieder bewiesen, dass sich Sicherheitsvorkehrungen umgehen lassen. Das gilt selbst für Google Play, wo Identitätsprüfungen und Compliance-Checks längst Standard sind. Eine Untersuchung von Bitdefender im vergangenen Jahr hat gezeigt, dass über 331 schädliche Apps den Weg auf die Plattform fanden und Millionen von Menschen erreichten — trotz der bestehenden Verifizierungspflicht. Diesen Apps gelang es, die Sicherheitsmaßnahmen von Android 13 zu umgehen und sich als harmlose Software zu tarnen.

Für seriöse Entwicklerteams hingegen werden die Auswirkungen sofort spürbar sein. Wer als unabhängiger Anbieter auf Sideloading oder alternative App-Stores setzt, könnte zu dem Schluss kommen, dass sich der zusätzliche Papierkram, die Gebühren und der bürokratische Aufwand schlicht nicht mehr lohnen. Das Ergebnis? Weniger Apps außerhalb von Google Play und insgesamt ein schrumpfendes Angebot — nicht etwa, weil das Interesse fehlt, sondern weil die künstlichen Hürden viele abschrecken. Das wiederum bremst den Wettbewerb und würgt Innovationen ab.

Auch aus Sicht derer, die Android-Geräte nutzen, birgt die neue Richtlinie Gefahren: Sie könnte ein falsches Gefühl der Sicherheit vermitteln. Wenn sich Apps nur noch installieren lassen, wenn sie „verifiziert“ sind, liegt der Trugschluss nahe, dass „verifiziert“ automatisch auch „sicher“ bedeutet. Doch das stimmt nicht. Eine Verifizierung bestätigt lediglich, wer hinter einer App steht — sie garantiert weder sauberen Code noch schließt sie böswilliges Verhalten aus. Dieses falsche Vertrauen könnte dazu führen, dass Menschen weniger vorsichtig werden. Das würde genau jene Wachsamkeit untergraben, die das Sicherheitssystem von Android eigentlich fördern sollte.

Sicherheit ohne Kontrollzwang: Die Alternativen

Android verfügt bereits über ein solides Arsenal an Sicherheitswerkzeugen. Funktionen wie Sandboxing, detaillierte Berechtigungsabfragen, verifizierte App-Signaturen, Warnhinweise beim Sideloading und Google Play Protect bilden mehrere Schutzschichten. Wenn diese Werkzeuge konsequent genutzt werden — und dieses „Wenn“ ist entscheidend —, sollten sie völlig ausreichen, um echten Sicherheitsbedrohungen zu begegnen, ohne das gesamte Ökosystem einer noch strengeren zentralen Kontrolle zu unterwerfen.

Ein Beispiel: Google Play Protect scannt kontinuierlich alle Apps auf einem Gerät, auch solche aus externen Quellen, und gleicht sie mit den Bedrohungserkennungssystemen von Google ab. Das System kann vor schädlichen Apps warnen, sie deaktivieren oder in schweren Fällen sogar ganz entfernen. Kurz gesagt: Es ist darauf ausgelegt, gefährliches Verhalten zu erkennen — völlig egal, woher eine App stammt.

Sicherheit und Offenheit müssen also kein Widerspruch sein; Android hat beides jahrelang erfolgreich unter einen Hut gebracht. Doch wenn neue Richtlinien einem einzelnen Plattformbetreiber noch mehr Macht zusprechen — und das ausgerechnet in einer Zeit, in der Regulierungsbehörden Wettbewerb und Marktdominanz ohnehin kritisch beäugen —, weckt das ernsthafte Bedenken. Solche Schritte können die Gatekeeper-Rolle von Google zementieren, alternative App-Stores ins Abseits drängen und es unabhängigen Teams erschweren, zu fairen Bedingungen am Wettbewerb teilzunehmen. Es macht den Anschein, als ginge es hier weniger um Sicherheit als vielmehr um die Frage, wer den Zugang zum Publikum kontrolliert.

Die größte Stärke von Android war schon immer seine Offenheit. Genau das hat die Plattform für die Entwicklung und für die Menschen, die sie nutzen, so attraktiv gemacht. Wir sind fest davon überzeugt: Diese Offenheit zu bewahren, kommt am Ende allen zugute.

Für uns bei AdGuard ist das keine rein theoretische Debatte. Wer unsere App nutzt, weiß: Die Vollversion von AdGuard für Android ist nicht im Google Play Store zu finden. Das liegt daran, dass die Google-Richtlinien dort keine vollwertigen, systemweiten Werbeblocker zulassen. Stattdessen wird die App direkt über unsere offizielle Website oder über vertrauenswürdige alternative App-Stores bezogen.

Unser Ziel ist und bleibt es, AdGuard für alle zugänglich zu halten. Wir werden daher alle notwendigen Schritte unternehmen, um die neuen Anforderungen von Google zu erfüllen, falls und sobald diese in Kraft treten. Nur so können wir sicherstellen, dass unsere App auch in Zukunft verfügbar bleibt. Dennoch ist zum jetzigen Zeitpunkt noch völlig unklar, was genau wir tun müssen, um unter dem neuen Regelwerk als „konform“ zu gelten. Wir sind nach wie vor der Überzeugung, dass es die bessere Lösung wäre, wenn Google diesen Kurs noch einmal überdenkt und die Offenheit bewahrt, die das Android-Ökosystem seit jeher auszeichnet.