Google-Registerpflicht bedroht F-Droid

3 months ago 5

Google hegt Pläne, sein Android so anzupassen, dass alle Entwickler von Android-Apps sich registrieren müssen. Andernfalls soll die App nicht mehr ausgeführt werden können. Das F-Droid-Projekt schlägt nun Alarm, weil man davon ausgeht, dass dies das Aus bedeutet.

Android-App-Entwickler-Registrierung: Worum geht es?

Google geht, angesichts einer Vielzahl an schädlichen Android-Apps zukünftig einen drastischen Weg. Alle Entwickler von Android-Apps müssen sich gegenüber Google identifizieren, wenn die App künftig noch unter zertifizierten Android-Geräten ausgeführt werden soll.

Das hatte Google am 25. August 2025 im Blog-Beitrag A new layer of security for certified Android devices angekündigt. Bereits ab 2026 will Google, dass alle Apps von verifizierten Entwicklern registriert werden, damit sie von Nutzern auf zertifizierten Android-Geräten installiert werden können. Dies soll es böswilligen Akteuren erheblich erschweren, schnell eine weitere schädliche App zu verbreiten, nachdem eine Version durch Google gelöscht wurde.

Google will überprüfen, wer der Entwickler ist, aber nicht den Inhalt seiner App oder deren Herkunft. Diese Änderung wird zunächst in einigen ausgewählten Ländern eingeführt, die besonders von dieser Art von betrügerischen App-Scams betroffen sind, die oft von Wiederholungstätern ausgehen. Ich hatte die von Google veröffentlichten Zeitpläne im Beitrag Google verlangt von Android-App-Entwicklern eine Identifizierung angegeben. Ab 2027 sollen diese Regelungen weltweit für Android gelten.

Das F-Droid-Projekt ist gefährdet

Das F-Droid-Projekt stellt seit 15 Jahren einen alternativen Store für Android-Apps bereit, die unter Android per Side-Loading installiert werden können. In diesem Projekt stehen viele Open Source Android-Apps kostenlos bereit. Nutzer greifen häufiger zu den App-Versionen aus dem F-Droid-Store, weil diese – im Gegensatz zur Bloatware, die im Google Play Store angeboten wird – nicht mit Tracking und Werbung verseucht sind. Allerdings stelle ich fest, dass F-Droid-Apps, die ich mir gelegentlich installiert habe, nicht sonderlich stabil laufen und auch in den Funktionen gelegentlich "bescheiden" daherkommen – ich habe vieles wieder gelöscht.

Bereits beim Schreiben meines Beitrags Google verlangt von Android-App-Entwicklern eine Identifizierung ging mir "was passiert mit F-Droid?" durch den Kopf. Kaum ein Entwickler wird sich bei Google registrieren, um dann seine Apps bei F-Droid in den Store einzustellen.

In einer Erklärung vom 29. September 2025 geht das F-Droid-Projekt auf die Google-Pläne ein. Es heißt, dass F-Droid Android-Nutzern seit 15 Jahren weltweit einen sicheren Ort bietet, an dem sie kostenlose Open-Source-Apps finden und installieren können. Im Gegensatz zu den kommerziellen App-Stores – von denen der Google Play Store der bekannteste ist – seien die Unterschiede eklatant. Die kommerziellen Stores seien Brutstätten für Spyware und Betrug und bewerben unverhohlen Apps, die ihre Nutzer ausnutzen, indem sie versuchen, ihre Aufmerksamkeit zu monetarisieren und ihre privaten Informationen mit allen Mitteln, einschließlich Tricks und Dark Patterns, auszuspähen.

Apps im F-Droid-Store werden dagegen vor der Aufnahme validiert, argumentiert man. Erstellt ein Entwickler eine Android-App und hostet den Quellcode öffentlich, überprüft das F-Droid-Team diese App, um sicherzustellen, dass sie vollständig Open Source ist und keine undokumentierten Anti-Features wie Werbung oder Tracker enthält. Sobald die Prüfung bestanden ist, kompiliert und paketiert der F-Droid-Build-Service die App, um sie für den Vertrieb im F-Droid-Store vorzubereiten. Das Paket wird dann entweder mit dem kryptografischen Schlüssel von F-Droid signiert oder, wenn der Build reproduzierbar ist, mit dem privaten Schlüssel des ursprünglichen Entwicklers für den Vertrieb im Store freigegeben. Auf diese Weise können Nutzer darauf vertrauen, dass jede über F-Droid vertriebene App aus dem angegebenen Quellcode erstellt und nicht manipuliert wurde.

Googles Schritt gefährdet den Betrieb des F-Droid-Store mit seinen freien Apps, argumentiert das Projekt berechtigt. Google verfüge einseitig, dass Android-Entwickler weltweit verpflichtet sind, sich zentral bei Google zu registrieren. Neben der Zahlung einer Registrierungsgebühr und der Zustimmung zu den (nicht verhandelbaren und sich ständig ändernden) Geschäftsbedingungen verlangt Google von den Autoren der Software auch das Hochladen von Dokumenten zur Identifizierung ihrer Person, einschließlich eines amtlichen Ausweises, sowie die Auflistung aller eindeutigen „Anwendungskennungen" für jede App, die von dem registrierten Entwickler vertrieben werden soll, heißt es.

Das F-Droid-Projekt kann von Entwicklern nicht verlangen, ihre Apps über Google zu registrieren. Man kann aber auch nicht die Anwendungs-IDs für die im F-Droid-Store angebotenen Open-Source-Apps übernehmen, da man damit effektiv die exklusiven Vertriebsrechte für diese Android-Apps an sich reißen würde (was das Projekt nicht will).

Sollte die Google-Verordnung zur Entwicklerregistrierung in Kraft treten, würde dies das Ende des F-Droid-Projekts und anderer Distributionsquellen für freie/Open-Source-Apps, wie wir sie heute kennen, bedeuten, argumentiert man – und das ist nicht von der Hand zu weisen. Die Welt würde damit die Sicherheit und Zuverlässigkeit eines Katalogs mit Tausenden von Apps verlieren.

Das von Google angeführte Sicherheitsargument zieht nicht, schreibt das Projekt und macht mit folgender Argumentation einen Punkt: Zwar könne die direkte Installation – oder das "Sideloading" – von Software als mit gewissen Risiken verbunden angesehen werden. Doch sei es falsch, zu behaupten, dass zentralisierte App-Stores die einzige sichere Option für die Softwareverteilung sind. Google Play selbst habe wiederholt Malware gehostet, was beweist, dass die Kontrolle durch Unternehmen keinen Schutz für die Nutzer garantiert.

Im Gegensatz zu Googles Play Store bietet F-Droid einen vertrauenswürdigen und transparenten alternativen Ansatz für Sicherheit: Jede App ist kostenlos und Open Source, der Code kann von jedem überprüft werden, der Build-Prozess und die Protokolle sind öffentlich, und reproduzierbare Builds stellen sicher, dass das, was veröffentlicht wird, genau mit dem Quellcode übereinstimmt.

Diese Transparenz und Verantwortlichkeit bietet laut F-Droid eine stärkere Vertrauensbasis als geschlossene Plattformen und lässt den Nutzern dennoch die Freiheit der Wahl. Die Einschränkung der direkten App-Installation untergräbt nicht nur diese Wahlmöglichkeit, sondern beeinträchtigt auch die Vielfalt und Widerstandsfähigkeit des Open-Source-Ökosystems, indem sie zu einer Konsolidierung führt.

Meine persönliche Einschätzung

Für Google wäre es ein cleverer Move, wenn alle Entwickler von Android Apps zur Registrierung gezwungen würden – das würde in der Tat alternative Stores austrocknen. Ich denke aber, es wird für Google – zumindest in Europa – keinen Durchmarsch geben. Denn dank des europäischen Digital Markets Act (DMA) wird Google sich für den Wettbewerb öffnen müssen. Auch Apple wurde gezwungen, sein iOS für alternative Stores zu öffnen.

Apple und Google giften zwar gegen den DSA, weil dieser Sicherheit und Innovation behindere (siehe diesen aktuellen heise-Beitrag). Und die US-Politik läuft gegen die EU-Regulierung mit DMA und DSA Sturm (siehe US-Administration unter Trump macht Druck auf EU wegen Digitalregeln). heise hat gerade im Artikel Trumps EU-Botschafter verlangt Änderung von EU-Regeln den nächsten Vorstoß offen gelegt.

Aber wenn Europa es ernst mit der digitalen Unabhängigkeit meint, wird man dem obigen Ansinnen Googles nicht wirklich nachgeben können. Und wer weiß, vielleicht kann der Vorgang der Startschuss zu Alternativen zu Android werden – Lineage OS und Co. bekämen ein zweites Leben.

Read Entire Article