Google hat angekündigt, dass ab September 2026 auf allen zertifizierten Android-Geräten nur noch Apps installiert werden können, deren Entwickler sich zuvor bei Google verifiziert haben. Dieser Schritt betrifft nicht nur Apps aus dem Play Store, sondern auch jede APK-Datei und jeden alternativen Store. Wer eine App veröffentlichen will, muss persönliche Daten, Ausweisdokumente und die Kennungen seiner Anwendungen bei Google hinterlegen. 2027 soll die Regel weltweit ausgerollt werden. Einige haben diesen Schritt als Sprungbrett für klickbare Videotitel in der Art genutzt, dass APK´s sterben, was wir in diesem Beitrag bereits entkräftet haben, hier wollen wir nochmals sachlich die Lage sondieren. Auch aus der Perspektive eines Indie-Entwicklers, auch wir haben die Nachricht „schulterzuckend, was soll man schon machen“ im Postfach gehabt.
Sicherheit als Begründung
Offiziell geht es um Sicherheit. Google verweist auf eigene Statistiken, nach denen Sideloaded-Apps rund 50-mal häufiger Malware enthalten als Apps aus dem Play Store. Bislang verlässt sich das Unternehmen vor allem auf den Schutz durch Play Protect, das installierte Apps auf Schadsoftware prüft. Mit der Verifizierung will man jedoch an einem früheren Punkt ansetzen: Wer eine App verbreitet, soll eindeutig identifizierbar sein.
Die Realität der Bedrohung
Dass Malware ein reales Problem ist, belegen die Zahlen. Allein im zweiten Quartal 2025 wurden laut Kaspersky über 142.000 neue bösartige oder unerwünschte Android-Pakete entdeckt. Gleichzeitig ist auch der Play Store nicht frei von Schadsoftware. Malwarebytes fand im selben Jahr ein Ad-Fraud-Netzwerk mit 224 infizierten Apps und insgesamt mehr als 38 Millionen Downloads. Die Argumentation „Sideloading = Risiko, Play Store = sicher“ greift also zu kurz.
Was das für Nutzer bedeutet
Die große Mehrheit der Anwender wird kaum etwas bemerken. Rund 90 Prozent laden ihre Apps ausschließlich aus dem Play Store und nutzen keine alternativen Quellen. Für sie läuft alles wie gewohnt. Wer allerdings regelmäßig APK-Dateien von Drittseiten installiert oder alternative Stores wie F-Droid nutzt, könnte bald vor verschlossenen Türen stehen. Alte APKs, die bisher problemlos liefen, lassen sich ab 2026 möglicherweise nicht mehr installieren. Nutzer von Custom-ROMs oder nicht zertifizierten Geräten sind von den Änderungen oft weniger betroffen, da Googles Regeln hier nicht greifen.
Auswirkungen auf Entwickler
Für Unternehmen und professionelle Studios ist die neue Pflicht ein zusätzlicher Verwaltungsakt, mehr nicht. Die meisten sind ohnehin schon registriert. Für Indie-Entwickler bedeutet die Änderung ebenfalls überschaubaren Aufwand, solange sie bereit sind, ihre Daten offenzulegen. Brisant wird es für Hobbyentwickler oder Community-Projekte, die aus guten Gründen anonym bleiben möchten. Für sie ist die Verifizierung eine unüberwindbare Hürde – und ihre Apps wären auf zertifizierten Geräten blockiert.
F-Droid als Testfall
Besonders deutlich wird das am Beispiel von F-Droid. Der alternative Store bietet seit über 15 Jahren ausschließlich quelloffene Apps an, aktuell mehr als 4.600 Stück. Jede Anwendung wird geprüft, reproduzierbar gebaut und signiert. Nutzer können verifizieren, dass die App exakt dem veröffentlichten Quellcode entspricht.
Doch Googles neue Regeln untergraben genau dieses Modell. F-Droid kann nicht stellvertretend für Entwickler die Registrierung übernehmen, ohne deren Rechte an sich zu ziehen. Damit droht ein Szenario, in dem ein Großteil der F-Droid-Apps auf zertifizierten Geräten nicht mehr installiert werden kann. Exakte Nutzerzahlen gibt es nicht, da F-Droid keine Accounts führt. Schätzungen gehen aber davon aus, dass weniger als ein Prozent der Android-Nutzer den Store aktiv verwenden – absolut dennoch Millionen weltweit.
Vergleich mit iOS
Interessant ist der Blick zur Konkurrenz. Während Android enger wird, öffnet sich iOS in der EU leicht. Seit iOS 17.4 sind Dritt-Stores und sogar Web-Distribution möglich. Apple behält aber die Kontrolle, indem jede App vor der Veröffentlichung ein Prüfverfahren durchlaufen muss. Das Ergebnis: iOS bleibt reguliert geschlossen, aber mit mehr Kanälen. Android dagegen bleibt technisch offen, setzt aber auf zentrale Identitätsbindung. Beide Systeme stellen neue Hürden auf – nur an unterschiedlichen Stellen.
Zwischen Sicherheit und Kontrolle
Bleibt die Frage: Geht es wirklich nur um Sicherheit? Gestohlene Identitäten lassen sich auch in einem Verifizierungssystem missbrauchen. Gleichzeitig werden ausgerechnet die ehrlichen Entwickler getroffen, die anonym bleiben wollen. F-Droid verweist darauf, dass Transparenz, offene Quellcodes und reproduzierbare Builds ein ebenso starkes Sicherheitsmodell darstellen wie Googles zentralisierte Kontrolle. Wahrscheinlicher ist, dass beide Seiten recht haben: Mehr Nachvollziehbarkeit kann Sicherheit schaffen, gleichzeitig wächst die Machtkonzentration bei Google.
Fazit
APK-Dateien verschwinden nicht. Doch ab 2026 legt Google fest, wer Apps auf zertifizierten Geräten verteilen darf. Für die breite Masse der Nutzer ändert sich nichts, für die Open-Source-Community ist es ein Einschnitt. Im Kern geht es um die Balance zwischen Schutz und Vielfalt: Sicherheit durch Kontrolle oder Freiheit durch Offenheit.
2 Kommentare
Hier wäre doch Mal interessant wie viel Malware bei f-droid gefunden wurde.
Dankeschön für die Anregung. Das lässt sich wahrscheinlich nur schwer recherchieren, weil F-Droid selbst keine klassischen Nutzer- oder Sicherheitsstatistiken wie große Stores veröffentlicht. Wir haben uns das Thema aber einmal genauer angeschaut und dazu einen kurzen Folgebeitrag recherchiert. Darin geht es auch darum, warum Malware im F-Droid-Ökosystem deutlich seltener auftaucht als im Play Store – und wo trotzdem Risiken liegen. https://www.check-app.de/2026/03/14/android-verifizierung-2026-was-seit-der-ankuendigung-wirklich-passiert-ist/