Rund sieben Monate nach dem ersten Durchsickern von Informationen rund um geplante Änderungen am App Sideloading Prozess von Android (wir berichteten hier und hier) hat Google nun konkrete Details zu den geplanten Änderungen beim Sideloading von Android Apps und der Entwicklerverifizierung veröffentlicht. Im Vergleich zu den ursprünglichen Plänen hat das Unternehmen an mehreren Stellen nachgebessert - vollständig beruhigen dürfte das die Kritiker allerdings nicht.
Rückblick: Was Google im August 2025 ankündigte
Als Google im Sommer 2025 erstmals ankündigte, das Sideloading von Apps auf Android einzuschränken und Entwickler zu verifizieren, sorgte das für erhebliche Unruhe in der Community. Der Plan sah vor, dass ab September 2026 nur noch Apps installiert werden können, deren Entwickler sich zuvor bei Google registriert und ihre Anwendungen signiert haben. Betroffen wären alle zertifizierten Android Geräte, also praktisch alle Smartphones und Tablets, die mit Google Play Services ausgeliefert werden.
Google begründete die Maßnahme mit einer internen Analyse, die bei per Sideloading installierten Apps eine 50-fach höhere Malware Rate gegenüber Play Store Apps festgestellt haben will. Kritiker bezweifelten allerdings, ob Sicherheitsbedenken wirklich das einzige Motiv sind. Da Google an jedem Verkauf über den Play Store beteiligt ist, lag der Verdacht nahe, dass das Unternehmen auch wirtschaftliche Interessen verfolgt. Zudem äußerten alternative App Stores wie F-Droid Bedenken, da ihr Geschäftsmodell auf dem freien Vertrieb von Apps außerhalb des Play Stores beruht.
Google reagierte relativ zügig mit ersten Klarstellungen: Sideloading werde grundsätzlich erhalten bleiben, und für Hobbyentwickler sowie Studenten sei ein vereinfachter Registrierungsweg ohne Gebühr und ohne Ausweispflicht geplant. Kurz darauf wurde bekannt, dass Apps nicht verifizierter Entwickler weiterhin per ADB, also über eine direkte Verbindung zum PC, installiert werden könnten.
{eblogads}
Der neue "Advanced Flow"
Was nun jüngst offiziell im Android Developers Blog vorgestellt wurde, geht über den ADB Umweg hinaus. Google hat einen sogenannten Advanced Flow entwickelt, der es versierten Nutzern ermöglicht, auch ohne PC Apps von nicht verifizierten Entwicklern zu installieren. Der Prozess ist einmalig und läuft in mehreren Schritten ab:
Zunächst muss der Entwicklermodus in den Systemeinstellungen aktiviert werden, was wie bisher über siebenmaliges Tippen auf die Build-Nummer erfolgt. Anschließend muss der Nutzer bestätigen, dass er den Schritt freiwillig und ohne Anleitung durch Dritte vornimmt. Danach ist ein Neustart des Geräts erforderlich, wodurch aktive Verbindungen getrennt werden - einschließlich etwaiger Fernzugriffe. Es folgt eine Wartezeit von 24 Stunden. Erst danach kann der Nutzer die Freischaltung per biometrischer Authentifizierung oder Geräte-PIN abschließen. Ist das erledigt, lässt sich das Sideloading nicht verifizierter Apps entweder für sieben Tage oder dauerhaft freischalten. Bei jeder einzelnen Installation erscheint weiterhin ein Warnhinweis, was man ja bereits heute von Android kennt.
Der Ablauf mag umständlich wirken, hat aber einen konkreten Hintergrund. Google beschreibt ausführlich das Muster von Telefonbetrug: Kriminelle setzen ihre Opfer unter Druck, indem sie ihnen etwa ein gesperrtes Bankkonto oder die Verhaftung eines Familienmitglieds vorspielen. Sie bleiben dabei am Telefon und leiten die Opfer Schritt für Schritt durch die Installation einer Schadsoftware. Neustart und Wartezeit sollen genau dieses Schema durchbrechen, da sie erzwungene Pausen in den Prozess einbauen, in denen Betroffene die Situation nüchtern überdenken können. Laut einem Bericht der Global Anti-Scam Alliance (GASA) aus dem Jahr 2025 waren 57 Prozent der befragten Erwachsenen im Vorjahr Opfer eines Betrugsversuchs, mit einem weltweiten Schaden von rund 442 Milliarden Dollar.
Drei Wege für unterschiedliche Nutzergruppen
Insgesamt ergibt sich künftig ein dreistufiges System. Wer Apps von verifizierten Entwicklern installiert, bemerkt keine Änderung gegenüber heute. Für Studenten und Hobbyentwickler sollen sogenannte Limited Distribution Accounts entstehen: Damit lassen sich Apps ohne Ausweispflicht und ohne Registrierungsgebühr auf bis zu 20 Geräten verteilen. Für alle anderen, die Apps von nicht verifizierten Quellen installieren möchten, gilt der beschriebene Advanced Flow. Kommerzielle Entwickler sind von den Änderungen kaum betroffen, da sie in der Regel bereits über die Play Console verifiziert sind. Diese Verifizierung gilt künftig auch für extern vertriebene Apps.
Bereits im September 2025 wurde bekannt, dass Google die Entwicklerverifizierung nicht über den bestehenden Play Protect Service abwickeln wird. Stattdessen entsteht eine eigenständige Systemanwendung namens "Android Developer Verifier". Die Entkopplung vom Play Protect bietet unter anderem die Möglichkeit, die Komponente als Open-Source Lösung zu gestalten, was Custom ROM Entwicklern erlauben würde, eigene vertrauenswürdige Quellen zu definieren. Vorinstalliert wird der Android Developer Verifier voraussichtlich ab Android 16 QPR2.
Die neuen Konten für begrenzte Verteilung sowie der Advanced Flow sollen ab August 2026 verfügbar sein, bevor die eigentliche Entwicklerverifizierungspflicht im September 2026 greift. Den Anfang machen Brasilien, Indonesien, Singapur und Thailand, also Regionen, in denen Smartphones für viele Menschen das einzige Endgerät sind und in denen betrügerische App Kampagnen besonders verbreitet sind. In Europa und anderen Märkten ist der Rollout erst für 2027 geplant.
{eblogads}
Kein vollständiger Rückzieher, aber ein sinnvoller Kompromiss
Gemessen an den ursprünglichen Ankündigungen ist das Gesamtpaket der Maßnahmen moderater bzw. differenzierter ausgefallen. Sideloading bleibt möglich, der Zugang ist jedoch je nach Situation mit deutlich mehr Aufwand verbunden als bisher. Wer heute eine APK Datei installieren möchte, muss lediglich die entsprechende Option in den Einstellungen aktivieren. Künftig ist je nach App ein mehrstufiger, zeitlich gestreckter Prozess notwendig, zumindest bei Apps nicht verifizierter Entwickler.
Ob das als tragfähiger Kompromiss angesehen wird, hängt stark von der Perspektive ab. Für die große Mehrheit der Android Nutzer, die ausschließlich den Play Store nutzen, ändert sich nichts. Für Entwickler, die ihre Apps außerhalb des Play Stores verbreiten, und für Nutzer, die regelmäßig auf alternative Quellen zurückgreifen, ist das neue Verfahren hingegen ein spürbarer Einschnitt in eine Freiheit, die Android seit jeher von iOS unterschieden hat. Andererseits bleibt Android trotzdem weiterhin offener als iOS, selbst nachdem die EU dort das Sideloading erzwungen hat.
Quelle(n): Google