Androits Einschränkungen beim Sideloading sind die bisher verbraucherfeindlichste Maßnahme

 (makeuseof.com)
8 Punkte von GN⁺ 2025-10-14 | 5 Kommentare | Auf WhatsApp teilen
  • Google führt neue Einschränkungen für sideloaded Apps ein und macht eine verpflichtende Entwicklerverifizierung zur Pflicht
  • Diese Einschränkungen treten ab Oktober 2025 in Kraft und werden ab September 2026 zunächst in bestimmten Ländern verbindlich durchgesetzt
  • Nach den neuen Regeln ist die Installation von Apps auf Geräten mit GMS (einschließlich Play Store) nicht mehr möglich, wenn keine Entwickler-Identitätsprüfung (auf Basis eines amtlichen Ausweises) erfolgt ist
  • Apps, die außerhalb offizieller Stores vertrieben werden, etwa über F-Droid, sowie private und Indie-Entwickler dürften massiv getroffen werden; die Tradition anonymer und selbstbestimmter Verbreitung könnte verschwinden
  • Google bezeichnet dies als „Maßnahme zur Verbesserung der Sicherheit“, doch sie überschneidet sich mit bestehenden Schutzmechanismen wie Play Protect, und ein realer Sicherheitsgewinn ist unklar
  • Die Maßnahme behindert die Offenheit und Innovationskraft von Android und beschneidet die autonome Entscheidungsfreiheit der Nutzer; sie könnte das Ende eines unabhängigen und freien App-Vertriebsökosystems einläuten

Überblick

  • Android ist als offene Plattform besonders attraktiv, weil es viele Open-Source-Apps und freies Sideloading ermöglicht
  • Doch Google führt ab Oktober 2025 eine neue Sideloading-Richtlinie ein und erzwingt eine Entwickler-Identitätsverifizierung, wodurch die Kontrolle darüber ausgebaut wird, wessen Apps Nutzer installieren dürfen
    • Auf allen GMS-Geräten mit Zugang zum Play Store müssen Entwickler ein Identitätsprüfungsverfahren auf Basis eines amtlichen Ausweises oder von Kontaktdaten durchlaufen
    • Nicht verifizierte Apps werden bereits bei der Installation blockiert; nur Custom-ROMs oder de-Googled-Geräte bleiben ausnahmsweise unbeeinflusst
  • Tatsächlich beginnt die verbindliche Umsetzung im September 2026 zunächst in bestimmten Ländern und soll 2027 weltweit gelten
  • Viele Nutzer haben bislang Apps wie NewPipe und Blokada, die nicht im Play Store verfügbar sind, über Drittanbieter-App-Stores wie F-Droid installiert
  • Künftig könnten Apps von Entwicklern ohne erfolgreiche Identitätsverifizierung auf den meisten Geräten mit Google Mobile Services (GMS) nicht mehr installierbar sein

Was Google tatsächlich ändert: Regeln, Zeitplan und die Bedeutung von „Verifizierung“

  • Google erklärt diese Änderung mit dem Schlagwort „verifizierte Entwickler“
    • Verglichen wird es mit einer Ausweiskontrolle am Flughafen: Damit eine App auf einem Gerät installiert werden kann, muss der Entwickler eine Identitätsprüfung per offiziellem Ausweis oder Kontaktdaten durchlaufen
    • Stufenweiser Rollout ab Oktober 2025
    • Verbindliche Einführung ab September 2026 in bestimmten Ländern
    • Ausweitung auf die ganze Welt im Jahr 2027
  • Apps von nicht verifizierten Entwicklern dürften auf nahezu allen Mainstream-Geräten blockiert werden
    • Nur eine kleine Minderheit von Geräten wie Custom-ROMs oder de-Googled-Geräten, die Googles Zertifizierungstests nicht bestanden haben, ist davon nicht betroffen
  • Google verbietet Sideloading nicht direkt, führt aber einen zentralisierten, von Google kontrollierten Checkpoint ein und zieht damit die Grenzen der Teilnahme am Android-Ökosystem neu
  • Dadurch wird der Zugang für anonyme/pseudonyme Entwickler und für freie Open-Source-Verteilung deutlich enger

Sicherheitsgewinn als Begründung – aber wie wirksam ist er wirklich?

  • Google behauptet, die neuen Einschränkungen dienten dem Schutz der Nutzer vor schädlichen Apps oder Schäden durch gefälschte Identitäten
    • Tatsächlich verfügt Android bereits über bestehende Sicherheitsmechanismen wie Google Play Protect
    • Google Play Protect bietet für sideloaded Apps automatisches Scannen und Risikoerkennung
  • Daher bleibt fraglich, wie groß der zusätzliche Sicherheitsgewinn durch eine Identitätsverifizierung tatsächlich ist
  • Eine Identitätsprüfung ist nicht gleichbedeutend mit der Sicherheit der Nutzer; auch in der Vergangenheit gab es im Play Store Fälle von Malware-Verbreitung über verifizierte Apps
  • Mit dieser Richtlinie verlagert sich die Vertrauensbasis weg von Sicherheitswarnungen auf dem Gerät und der eigenständigen Einschätzung des Nutzers hin zu Googles Verifizierungsverfahren
  • Die Regelung verletzt die Autonomie und Wahlfreiheit der Nutzer und kann als Versuch verstanden werden, Kritik am Sideloading auszuweichen

Erwartete Kollateralschäden

  • Freie APK-Ökosysteme, die auf Offenheit angewiesen sind, dürften am stärksten getroffen werden
    • F-Droid hostet zahlreiche Apps, die im Play Store nicht angeboten werden
    • Viele dieser Werkzeuge existieren gerade deshalb, weil sie sich bewusst außerhalb von Googles Kontrolle bewegen sollen
    • Selbst sichere Apps könnten auf Mainstream-Geräten unbenutzbar werden
  • Auch Indie-Entwickler und Hobbyentwickler geraten unter Druck
    • Bei manchen Apps rechtfertigen Zeitaufwand, Mühe und der Eingriff in die Privatsphäre für die Identitätsprüfung den Nutzen kaum
    • Darunter könnten Einmalprojekte und Apps für kleine Communities fallen
    • Schrumpft das Ökosystem, schadet das am Ende allen Nutzern
  • Innovation könnte zum größten Opfer werden
    • Androids Stärke liegt in seiner Flexibilität und darin, ein Ökosystem für alle zu sein
    • Die Einführung eines einzigen zentralisierten Gatekeepers wird basisnahe Innovation ausbremsen
    • Nicht jeder wird den Willen oder die Möglichkeit haben, beizutragen; das wird unweigerlich Tempo und Bandbreite der Innovation auf Android beeinflussen

Die neue Realität für Android-Nutzer

  • Google bezeichnet dies als Sicherheitsmaßnahme, für tatsächliche Nutzer könnte es sich jedoch als Verlust an Autonomie und erschwerte Nutzung bemerkbar machen
  • Besonders hart trifft es Indie-Entwickler und kleine Nutzergruppen, die häufig Apps außerhalb offizieller Stores verwenden
  • Es gibt zwar Umgehungsmöglichkeiten – etwa nicht verifizierte Geräte, direkte APK-Backups oder alternative App-Stores –, diese bringen jedoch technische Hürden oder Sicherheitsrisiken mit sich
  • Die Schwächung der Android-Offenheit ist eindeutig, und die Sorge wächst, dass das System eines Tages in ein vollständig geschlossenes Ökosystem übergehen könnte

Verwandte Beiträge

5 Kommentare

 
ndrgrd 2025-10-14

Dann kann Google auf allen Android-Geräten doch gleich einfach einen ständig laufenden, überwachten Bildschirmrekorder einschalten. Dann wären schließlich alle „Sicherheitsbedrohungen“ verschwunden.
 
unsure4000 2025-10-14

Man könnte es wirklich machen, so wie bei Windows, haha
 
ndrgrd 2025-10-14

Das kann man immerhin abschalten, aber es ist schon eine absurde Situation, dass Windows da fast noch besser ist.
 
GN⁺ 2025-10-14
Hacker-News-Meinungen
  • Dass ich Apps meiner Wahl außerhalb des Play Store installieren kann, war der wichtigste Grund, warum ich Android gewählt habe. Fast alle in meinem Umfeld nutzen iPhones, aber wenn diese Freiheit verschwindet, werde ich wohl einfach auf ein iPhone wechseln, um iMessage und FaceTime nutzen zu können.
    • Das ist der Moment, in dem das Alleinstellungsmerkmal von Android verschwindet. Künftig dürfte sich viel ändern, wenn technikaffine Menschen Nicht-Fachleuten ein Smartphone empfehlen. Heutzutage ist alles zu gewöhnlich geworden. Google scheint nicht länger auf die Mundpropaganda von „Nerds“ zu setzen. Seit der Markt gesättigt ist, kümmert man sich nicht mehr um Early Adopters. Bei YouTube ist es ähnlich: Werbeblocker haben das Marketing ganz natürlich unterstützt, aber jetzt, wo der Markt gesättigt ist, entscheidet man sich eher dafür, diese Nutzer zu vertreiben.
    • Auch ich kann den Reiz von Vendor Lock-in nachvollziehen, wenn jemand sagt, er wechsle wegen iMessage und FaceTime zum iPhone.
    • Ich würde auch empfehlen, sich Ubuntu Touch anzusehen. Es ist sehr erfrischend und hat eine aktive Entwickler-Community. Man muss nicht zwingend zwischen zwei kleineren Übeln wählen.
    • Der größte verbleibende Game Changer scheint im Moment nur noch Firefox oder ein alternativer Browser zu sein.
    • Ich habe wegen dieser Nachricht diesmal ebenfalls zum iPhone gewechselt. Sideloading war der zentrale Reiz von Android.
  • In diesem Bereich braucht es unbedingt Kartellregulierung. Dass ich den Hersteller um Erlaubnis bitten muss, um Software auf Hardware zu installieren, die ich gekauft habe, ist wirklich absurd. Es gibt auch keine echten Alternativen außerhalb der Apple- oder Google-Ökosysteme. Man sollte nicht zulassen, dass diese beiden Unternehmen mobile Plattformen so übermäßig kontrollieren.
    • Es sollte verpflichtend eine Möglichkeit geben, jede vom Hersteller eingerichtete Sperre eigenständig und bedingungslos zu umgehen. Ich verstehe, dass Sicherheit nötig ist, aber auf meinem eigenen Gerät sollte ich das Recht haben, die Sicherheit selbst zu deaktivieren. Mehrere Klicks und Warnhinweise wären für mich in Ordnung. Technisch ist es unter Android mit Debugging-Tools immer noch möglich, jede beliebige App zu installieren. Ich bin mir noch nicht sicher, ob genau hier die Grenze gezogen werden sollte.
    • Besonders problematisch ist, dass der Alltag — Bankgeschäfte, staatliche Dienste, grundlegende Kommunikation — praktisch unmöglich wird, wenn man nicht an dieser Monopolstruktur teilnimmt.
    • Monopole behindern die Innovation in den USA, und man kann sich nicht ewig nur auf ihren bisherigen Erfolg mittragen lassen.
    • Bei der Hardware braucht man doch keine Erlaubnis, oder? Man installiert einfach direkt ein OS.
  • Die Ironie ist, dass auch der Play Store in Echtzeit von Spyware und Malware wimmelt, unter Namen, die wie offizielle Apps klingen ("Gallery", "Messages", "Text Messages"). Ich habe das Problem sogar über interne Google-Kanäle gemeldet, aber faktisch hat sich nichts geändert. Das Problem ist nicht Sideloading, sondern Google selbst. Das ist sowohl gegenüber Gerätenutzern als auch gegenüber Entwicklern extrem feindselig. Es wirkt inzwischen so, als träten wir in ein Zeitalter ein, in dem Nachrichtendienste oder Regierungen Geräte feindselig kontrollieren — etwa indem der Staat mobile ID verlangt oder clientseitiges Scanning einführt. Je jünger jemand ist, desto strengere Authentifizierungsanforderungen sollen offenbar durchgesetzt werden, unter Nutzung der Play-Integrity-Kette. Dazu lohnt sich ein Blick in die Magisk-Community auf Reddit und deren Apps. In Root-/Third-Party-Communities gibt es bereits zahlreiche Probleme beim Ausführen von Apps. Manche Apps verweigern schon dann komplett den Start, wenn bloß die SuperSU-App vorhanden ist (nicht einmal nur Sandboxing).
    • Dass so etwas passiert, liegt daran, dass sie wirklich glauben, alles gehöre ihnen. Figuren wie RMS (Richard Stallman) haben diese Zukunft schon vor langer Zeit vorausgesagt, und inzwischen ist diese Vorhersage Realität geworden — und es ist bereits zu spät.
  • Ich finde, statt "Sideloading" sollte man von "Installation freier Software" sprechen. Das Wort "Sideloading" klingt so, als sei es ein Trick oder ein Hack, dabei ist es auf Computern seit jeher völlig normal, auf dem eigenen gekauften Gerät frei Software zu installieren. Das ist nicht bloß ein "Telefon", sondern ein Computer in Telefonform — ein Computer, den wir bezahlt haben. Wir sollten installieren dürfen, was wir wollen.
    • In einem anderen Thread hat jemand den Begriff "direct install" vorgeschlagen, und den finde ich gut.
    • Ich frage mich, seit wann das Wort "Sideloading" überhaupt verwendet wird. In Android selbst steht beim Öffnen einer APK-Datei einfach nur "Installieren", das Wort "Sideloading" taucht dort nicht auf.
    • Die Lage ist inzwischen so schlimm, dass der Begriff "Installieren" allein nicht mehr ausreicht. Es ist inzwischen zur stillschweigenden Grundannahme geworden, dass jemand anders vollständig kontrolliert, was man installieren darf.
    • Das "side" in "Sideloading" bedeutet lediglich, dass es nicht über den offiziellen App Store läuft. Es hat keine negative Konnotation. Vielleicht wäre das bei einem Wort wie „backloading“ anders, aber diese Begriffsdiskussion halte ich für eine irrelevante Nebenfrage.
    • Eigentlich sollte vielmehr die vom Smartphone-OS-Anbieter vorgekaut gelieferte App-Installation negativ bezeichnet werden. Ein spöttischer Begriff wie "Lameloading" wäre vielleicht ganz witzig.
  • Früher habe ich einer Open-Source-App einfach kurz die Funktion hinzugefügt, die ich wollte, und sie direkt auf meinem Handy getestet. Android-Entwicklung begann und endete für mich genau mit dieser einen Aufgabe, und das dauerte nur ein paar Stunden. Irgendeine offizielle Android-Entwicklerzertifizierung brauchte ich dafür nicht. Mit dieser Änderung geht das dann also nicht mehr? Selbst wenn ich etwas nur für mich allein gebaut habe, muss ich es in ein offizielles Programm eintragen, um es auf meinem eigenen Handy zu installieren? Ich dachte, nicht einmal Apple gehe so weit.
  • Wenn man den Fokus darauf legt, dass Google irreführend damit geworben hat, man könne frei Software installieren, und auf diese Weise konkurrierende offene Optionen verdrängt hat, dann gibt es meiner Meinung nach genug rechtliche Grundlage, um Druck auf Google auszuüben.
    • Ich frage mich, welches Land so etwas verlangen würde. In den USA ist man nicht verpflichtet, für immer jede Aussage aus früherer Werbung einzuhalten. Selbst wenn ein Unternehmen Produktfunktionen falsch bewirbt, ist es rechtlich nicht dazu verpflichtet, das Produkt so zu verändern, dass es exakt der Werbung entspricht. Die Abhilfe wäre eher eine Korrektur der Werbung oder eine Rückerstattung für das Gerät. Auch wenn eine Funktion, die es vor Jahren gab, später entfernt wird, ist das überhaupt nicht illegal.
    • Dasselbe Argument immer wieder zu wiederholen, macht es bei kritischer Prüfung nicht tragfähiger. Ich habe bereits hier darauf geantwortet. Am Ende läuft es nur auf die Schlussfolgerung hinaus, dass es nach geltendem US-Recht keine Grundlage gibt, Google dafür zu sanktionieren, also neue Gesetze nötig wären. Und du scheinst zu glauben, dass das dann bei Apple genauso gelten und den „Weltuntergang“ bedeuten würde. Die tatsächliche Form einer Lösung wäre wohl etwas wie ein parteiübergreifender App Store Freedom Act, siehe den Link: https://www.congress.gov/bill/119th-congress/house-bill/3209/text. (Wegen des Apple-/Google-Lobbyismus wird aber wahrscheinlich auch dieses Gesetz sterben oder mit zahllosen Ausnahmeklauseln versehen.)
    • Das ist eine viel zu überzogene Behauptung. In der tatsächlichen Werbung gab es keine so klare Botschaft. Und Werbung muss auch nicht auf ewig eingehalten werden. Wenn Red Lobster zum Beispiel keine „endlosen Krabbenbeine“ mehr anbietet, trägt das Unternehmen dafür auch nicht lebenslang Verantwortung.
    • Die EU kann Google auch ohne klare Rechtsgrundlage stoppen. Tatsächlich glaube ich sogar, dass die EU solche Richtlinien eher gut findet, weil sie die Umsetzung eines umfassenden Überwachungssystems begünstigen.
  • Wenn sich daran nichts ändert, werde ich irgendwann wohl einen Lebensstil umsetzen, bei dem ich nur noch einen Laptop, ein gewöhnliches Handy und einen Hotspot mit mir herumtrage. Wenn ich Internet brauche, bereite ich es vor einer Reise im Voraus vor, und wenn ich es nicht vorher vorbereiten konnte, finde ich eben einen anderen Weg oder lasse die Sache ganz bleiben. Eigentlich weiß ich gar nicht, warum ich das nicht schon jetzt mache. Es klingt ziemlich unterhaltsam.
  • Ich hoffe, dass F-Droid, die FSF oder eine ähnliche Organisation das in den USA oder in Europa offiziell zum Thema macht. Falls dafür Spenden oder Funding aufgesetzt werden, würde ich das gerne unterstützen.
  • Im Play Store wurden schon mehrfach „verifizierte“ Malware-Fälle historischen Ausmaßes entdeckt. Trotzdem halte ich die Schlussfolgerung „dieses Argument ist schwach“ für richtig: Nur weil selbst bei Prüfung Probleme auftreten, folgt daraus nicht logisch, dass man überhaupt nicht mehr prüfen sollte. Es gibt bessere Gegenargumente in anderen Kommentaren („mein Gerät, meine Regeln“ usw.); dieses hier überzeugt mich nicht.
  • Wenn man mit Android oder iPhone praktisch sogar die Kontrolle über zentrale Hardware verliert, frage ich mich, welche realistischen Alternativen es überhaupt gibt. Ich habe ein PinePhone, aber die Hardware-Entwicklung scheint fast stillzustehen, und Librem kenne ich auch. Gibt es darüber hinaus brauchbare Alternativen auf dem Markt?
    • Ich setze auf Linux-basierte Smartphones. Sie sind noch nicht fertig, aber bis Android so verhärtet ist wie iOS, könnten sie eine realistische Alternative sein. Das Problem sind Bank-Apps und Ähnliches, aber ein gebrauchtes iPhone im Lockdown-Modus dürfte selbst nach EoL noch keine Probleme machen.
 
cuj1559 2025-10-14

„Eine Gesellschaft, die Freiheit für ein wenig Sicherheit aufgibt, verdient weder Sicherheit noch Freiheit.“ – Benjamin Franklin.

Natürlich handelt es sich in diesem Fall allerdings um das eigenmächtige Vorgehen eines einzelnen Unternehmens.