👋 Meet your everyday privacy HIROH

🥳 We are thrilled to introduce the new HIROH phone powered by Murena with a Hardware Kill Switch!

Simply enable its handy button to physically disconnect the microphone and all cameras. This severs the electronic connection, ensuring hackers have no chance to access your data.

With the HIROH phone powered by Murena you get:

🔸 Built-in privacy with /e/OS
🔸 Hardware Kill Switch created by its inventor
🔸 Premium quality hardware with a fantastic 1.5k AMOLED display, 108MP rear camera and a 32MP selfie camera, 16GB memory and more...
🔸 Special numbered Platinum edition of the device for 500 first Murena customers
Ready to use from day one! Because your everyday phone should be your private phone.

👉 Pre-order now exclusively at murena.com and save 200€/$.

some research from the TrackerControl team: https://c3.unu.edu/blog/the-silent-surveillance-how-websites-track-your-every-keystroke

1 deleted accounts has been removed from this group 🚫👻

- 🤖 Prevent spam bot using @GateShieldBot

Summary of TrackerControl team research (post above)

---

The TrackerControl team has researched website tracking. Below is a summary of their findings:

### Silent Surveillance: How Websites Track Your Every Keystroke

Key Points:
- Keystroke logging is more common than you think: Research shows that 91% of websites use technology that enables keystroke tracking. 38.5% of sites can intercept keystrokes in real time, and 3.2% of sites send the recorded data to third parties—even if the form is never submitted.
- Sensitive data at risk: Email addresses, phone numbers, health information, and financial details can end up in the hands of third parties, even if you don’t submit the form.
- Legal concerns: This practice may be illegal in some jurisdictions, such as California, where it could be considered unauthorized wiretapping without user consent.

---
### Why Is This a Problem?
- User intent is ignored: Keystroke logging violates basic trust—especially if you delete or cancel text entry.
- Data brokers exploit information: Collected data, such as email addresses, is often used for targeted advertising or profiling without your consent.
- Most vulnerable situations: On health, financial, and legal service websites, keystrokes can reveal sensitive information you never intended to share.

---
### What Can You Do?
1. Switch to a privacy-focused browser (e.g., Brave or Firefox with strict tracking protection).
2. Install a script-blocking tool (e.g., uBlock Origin or NoScript).
3. Write sensitive information offline and paste it into forms only when you’re ready to submit.

---
Conclusion: Keystroke tracking is part of modern surveillance capitalism. Everyone should have the right to decide who they share their data with—and when. Protect yourself and demand transparency from online services.

Sources:
- [https://t.me/TrackerControl/21246](https://t.me/TrackerControl/21246)
- [https://c3.unu.edu/blog/the-silent-surveillance-how-websites-track-your-every-keystroke](httphttps://c3.unu.edu/blog/the-silent-surveillance-how-websites-track-your-every-keystrokes://c3.unu.edu/blog/the-silent-surveillance-how-websites-track-your-every-keystroke)

Lidl Plus lawsuit in Germany

The Stuttgart Higher Regional Court dismissed a lawsuit by the German Consumer Federation (vzbv) against Lidl regarding its "Lidl Plus" loyalty app. The consumer advocates argued that the app should not be advertised as "free" since users "pay" with their personal data. However, the court ruled that the term "free" only means no monetary payment is required, and data does not constitute a "price" that needs to be disclosed. The court allowed an appeal to the Federal Court of Justice. As a result, Lidl can continue to label the app as "free," even though users must share their data. The ruling underscores the ongoing debate about the value of personal data in digital services and consumer protection.

The case may still be appealed to the Federal Court of Justice.

*(Sources:*
https://www.tagesschau.de/wirtschaft/verbraucher/lidl-app-urteil-100.html

https://www.lto.de/recht/nachrichten/n/6ukl225-olg-stuttgart-lidl-plus-app-verbraucherschutz

No deleted account found from 85 scanned users from this group 🚫👻

How To Install WinBoat - Windows Apps Running Wild On Linux
https://www.youtube.com/watch?v=PaRatIqlqM8

No deleted account found from 87 scanned users from this group 🚫👻

#A16 #Unofficial #TD #GSI #VoltageOS #AOSP

BD: 2025 09 29
SPL: September

VoltageOS 5.1 | A16 QPR0 | TREBLE GSI UNOFFICIAL-signed

Changelog:

Sync latest source of Voltage
added 2 new options in treble app to reduce lags in animations and lmk ( in case you face problems with apps closing quickly )
added overlay for Cubot kingkong x pro
added overlat for tecno Pova 7 Ultra 5G
Voltage-style Blur and option to customize it's shade.
Added option to show daily/weekly data usage in QS footer.
option to enable/disable bottom sheet in Launcher.
Re-added flashlight intensity control for supported devices.
Fixed multiple bugs in Launcher.
Fixed missing shade background bug.
Fixed backuptool.
Updated recent pixel spoof to Pixel 10 Pro XL.
Reduced QS tile text size.
Changed notification transparency to translucency...

Note

Use AppStore for GMS, PlayStore.. - LINK

Maintainer: Doze-off
Download: LINK

SCREENSHOTS - LINK
SUPPORT GROUP - LINK

@TrebleGsis_PrivacySecure_Chat
@TrebleGsis_PrivacySecure_Channel

#A16 #Official #TD #GSI #DerpFest #LineageOS

BD: 2025 09 28
SPL: September

DerpFest 16.0 | A16 QPR0 | TREBLE GSI OFFICIAL-signed

Changelog:

Sync latest source of DerpFest
added 2 new options in treble app to reduce lags in animations and lmk ( in case you face problems with apps closing quickly )
added overlay for Cubot kingkong x pro
added overlat for tecno Pova 7 Ultra 5G

SCREENSHOTS - LINK
SUPPORT GROUP - LINK

Maintainer: Doze-off
Download: LINK

@TrebleGsis_PrivacySecure_Chat
@TrebleGsis_PrivacySecure_Channel

#A16 #Unofficial #TD #GSI #LunarisAOSP #LineageOS

BD: 2025 09 28
SPL: September

Lunaris-AOSP 3.3 | A16 QPR0 | TREBLE GSI UNOFFICIAL-signed

Changelog:

Sync latest source of LunarisAOSP
added 2 new options in treble app to reduce lags in animations and lmk ( in case you face problems with apps closing quickly )
added overlay for Cubot kingkong x pro
added overlat for tecno Pova 7 Ultra 5G

SCREENSHOTS - LINK
SUPPORT GROUP - LINK

Maintainer: Doze-off
Download: LINK

@TrebleGsis_PrivacySecure_Chat
@TrebleGsis_PrivacySecure_Channel

Celebrating 15 Years of F‑Droid!

September 29th marks the anniversary of the open‑source app repository we all love.

Why it matters: F‑Droid’s mission aligns well with CoMaps—both champion Free/Libre Open‑Source Software (FLOSS) and community‑driven innovation.

https://f-droid.org/en/2025/09/04/twif.html
Post from 2010: https://f-droid.org/en//2010/09/29/f-droid-is-here.html

Let’s keep building a freer tech ecosystem together!

RisingOS-Revived 8.1.1 | A16 QPR0 | TREBLE GSI UNOFFICIAL-signed

BD: 30 09 2025
SPL: September

Changelog:

Sync latest source of Rising Rivived
added 2 new options in treble app to reduce lags in animations and lmk ( in case you face problems with apps closing quickly )
added overlay for Cubot kingkong x pro
added overlat for tecno Pova 7 Ultra 5G
full changelog here

Bug

Ortus launcher not working on gapps version (idk)

Maintainer: Doze-off
Download: LINK

SCREENSHOTS - LINK
SUPPORT GROUP - LINK

@TrebleGsis_PrivacySecure_Chat
@TrebleGsis_PrivacySecure_Channel

#A16 #Unofficial #TD #GSI #RisingOS #LineageOS

No deleted account found from 87 scanned users from this group 🚫👻

https://www.kuketz-blog.de/rethinkdns-im-umbruch-warum-die-aktuellen-pre-releases-mit-vorsicht-zu-geniessen-sind/


Mike Kuketz
14. August 2025 | 14:48 Uhr
RethinkDNS im Umbruch: Warum die aktuellen Pre-Releases mit Vorsicht zu genießen sind

In den letzten Tagen sind einige Pre-Releases der beliebten Android-Firewall RethinkDNS erschienen. Diese Versionen bereiten einigen Nutzern jedoch Probleme – vor allem kommt es nach einem Update teilweise zu vollständigem Ausfall der Internetverbindung. Die Builds sind insgesamt noch recht fehleranfällig und sollten nur von technisch versierten Anwendern installiert werden, die bereit sind, Fehler bspw. auf GitHub zu melden.

Bei mir ließ sich die (Internet-/Netzwerk-)Verbindung immerhin wiederherstellen, indem ich in den App-Einstellungen unter »Netzwerk« die IP-Version von »Auto« auf »IPv4« gesetzt habe. Andere Nutzer berichten, dass es hilft, in den Android-Systemeinstellungen die Option »Verbindungen ohne VPN blockieren« zu deaktivieren. Beide Ansätze sind allerdings nur provisorische Notlösungen und keine dauerhaften Fixes.

Seit dem letzten Jahr hat sich RethinkDNS tiefgreifend verändert, was vermutlich auch zu den aktuellen Instabilitäten beiträgt. Zu den wichtigsten Neuerungen zählen:

Vollständige Neuschreibung der Netzwerk-Engine für mehr Stabilität und Leistung
Eine Option zur Aktivierung von WireGuard nur in Mobilfunknetzen
Simulation des »Flugmodus« bei fehlender Verbindung, wenn unter »Configure → Network« die Option »Stall on network loss« aktiviert ist
DNSSEC-konformer Cache für DNS-Anfragen
[…]

Ein weiterer schwerwiegender Bug betrifft mein bisher genutztes Setup, ausschließlich Google-Dienste über VPN zu leiten: Eigentlich hatte ich in einer WireGuard-Konfiguration festgelegt, dass nur Zieladressen innerhalb der offiziellen Google-IP-Netzbereiche über den VPN-Tunnel geleitet werden. Dieses Konzept ermöglicht es, beispielsweise nur Google-Dienste wie Play Store oder YouTube durch das VPN zu schicken, während der restliche Datenverkehr unberührt bleibt. In der aktuellen Pre-Release-Version funktioniert diese Einschränkung jedoch nicht mehr – sobald das WireGuard-Profil importiert ist, wird der gesamte App-Datenverkehr durch den Tunnel geschickt, unabhängig vom Ziel. In Version v0.5.5n war dieses selektive Routing noch voll funktionsfähig, was auf einen klaren Regression-Bug hindeutet.

Positiv ist zwar, dass die Entwickler sehr aktiv an RethinkDNS arbeiten und viele interessante Verbesserungen umsetzen. Gleichzeitig gibt es aber noch gravierende Fehler, die selbst erfahrene Nutzer davon abhalten dürften, die Pre-Releases in einer produktiven Umgebung einzusetzen. Wer auf eine stabile und zuverlässige Firewall angewiesen ist, sollte vorerst besser bei einer stabilen Version bleiben.

https://www.kuketz-blog.de/vpn-apps-wenn-sicherheits-apps-selbst-zum-risiko-werden/

Mike Kuketz
29. September 2025 | 11:43 Uhr
VPN-Apps: Wenn »Sicherheits-Apps« selbst zum Risiko werden

VPN steht für den Schutz der Privatsphäre – eigentlich. Umso absurder ist es, wenn gerade VPN-Apps vollgestopft sind mit Analyse- und Werbe-SDKs. Wer in einer sicherheitsrelevanten Anwendung Tracker integriert, offenbart ein eklatantes Fehlverständnis von Datenschutz und Sicherheit. Negative Beispiele dafür gibt es leider mehr als genug:

NordVPN: 3 Tracker (AppsFlyer, Google Crashlytics, Google Firebase Analytics)
Thunder VPN: 2 Tracker (Google AdMob, Google Firebase Analytics)
Secure VPN: 2 Tracker (Google AdMob, Google Firebase Analytics)
ExpressVPN: 2 Tracker (Google Crashlytics, Google Firebase Analytics)
Surfshark: 3 Tracker (AppsFlyer, Google Crashlytics, Google Firebase Analytics)

Warum Tracker in VPN-Apps ein Problem sind

Fremdcode = Vertrauensrisiko: Jedes externe SDK erweitert zwangsläufig die Angriffsfläche: Mehr Code bedeutet auch mehr potenzielle Fehler – und gleichzeitig weniger Kontrolle darüber, welche Daten an welchen Stellen verarbeitet oder weitergeleitet/übersendet werden. Nach dem KISS-Prinzip gilt deshalb: Alles, was nicht unbedingt notwendig ist, sollte konsequent weggelassen werden.
Personenbezug herstellbar: Pseudonymisierung klingt oft nach Schutz, ist in der Praxis jedoch meist Augenwischerei. Kennungen wie die Google-Advertising-ID lassen sich problemlos mit anderen Datensätzen kombinieren – und so entstehen aus scheinbar harmlosen Meta-Daten schnell vollständige, personenbezogene Profile.
Fehlende Einwilligung: Tracking in Apps geschieht häufig ohne eine informierte, freiwillige und vor allem vorherige Zustimmung der Nutzer. Ein nachträgliches Opt-Out ändert daran nichts mehr – denn zu diesem Zeitpunkt sind die Daten in aller Regel bereits übermittelt und damit verloren.

Was tun?

Vor der Installation prüfen: Mit Exodus Privacy lässt sich schnell erkennen, welche Tracker in einer VPN-App stecken. Mithilfe von Exodus Privacy lässt sich zwar nur erkennen, ob eine Tracking-Bibliothek in einer App eingebaut ist – nicht aber, ob sie tatsächlich aktiv genutzt wird. In der Praxis ist das jedoch meist der Fall, sodass der Befund ein ernstzunehmendes Indiz für problematisches Verhalten darstellt.
Apps bewusst wählen: Es gibt VPN-Anbieter, deren Android-Apps keine Tracker integrieren (positives Beispiel: Mullvad). Hände weg von VPN-Apps, die Werbe-SDKs oder Tracking-Bibliotheken enthalten.
Opt-In statt Zwangstelemetrie: Wenn Telemetrie/Absturzberichte nötig ist, dann selbst gehostet (z. B. Matomo/Sentry), minimal, transparent – und standardmäßig deaktiviert. Das macht bspw. ProtonVPN mit Sentry.

Fazit

VPN-Apps mit Trackern sind nicht nur ein Widerspruch, sie sind ein handfester Vertrauensbruch. Anstatt Sicherheit zu stärken, schaffen sie zusätzliche Angriffsflächen, schwächen die ohnehin fragile Schutzwirkung und machen die Privatsphäre zur Verhandlungsmasse. Wer ernsthaft Schutz bieten will, muss auf Tracking kategorisch verzichten. Alles andere – wohlklingende Versprechen von »Privacy« und »Security« inklusive – ist nichts weiter als Augenwischerei und Marketing-Nebelkerze.

Das Thema Tracking und seine negativen Auswirkungen auf Sicherheit und Datenschutz wurde auf diesem Blog bereits mehrfach kritisch beleuchtet – ausführlich nachzulesen im Beitrag »Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet«. Seht den vorliegenden Beitrag daher als kleinen Reminder.

https://www.kuketz-blog.de/modern-solution-bundesverfassungsgerich-bestaetigt-wegsehen-ist-sicherer-als-aufdecken/

Mike Kuketz
23. September 2025 | 09:09 Uhr
Modern Solution: Bundesverfassungsgerich bestätigt – Wegsehen ist sicherer als Aufdecken

Karlsruhe hat gesprochen – und wieder einmal zeigt sich, wie absurd die deutsche Rechtsprechung im Bereich IT-Sicherheit funktioniert. Es geht im Fall Modern Solution nicht um einen dunklen Hacker aus dem Untergrund, sondern um einen IT-Experten, der eine grob fahrlässige Lücke in einer E-Commerce-Software offengelegt hat. Diese Software enthielt ein hartcodiertes Datenbankpasswort, im Klartext, identisch für alle Kunden und frei in einer Datei lesbar. Mit dieser Information konnte sich jeder, der die Software hatte, direkt auf eine zentrale Datenbank verbinden, in der personenbezogene Daten von rund 700.000 Käufern lagen – von Namen über Adressen bis hin zu Kontodaten. Das ist kein »Einbruch«, sondern ein offenes Scheunentor, das nur jemand bemerken musste, um den Missstand zu sehen.

Statt nun aber den Hersteller in die Pflicht zu nehmen, wurde derjenige verfolgt, der den Fehler dokumentiert und öffentlich gemacht hat. Die Gerichte haben sich dabei auf eine juristische Minimaldefinition von »Zugangssicherung« versteift: Ein Passwort – egal wie erbärmlich implementiert – reicht aus, um § 202a StGB auszulösen. Dass das Passwort im Klartext in der Software stand und für alle Kunden identisch ist – also keinerlei echte Schutzwirkung hat – spielt für die Gerichte keine Rolle. Sicherheit wird hier nicht technisch, sondern formaljuristisch gedacht – und das Ergebnis ist, dass jeder, der eine solche Schwachstelle nachweist, kriminalisiert wird.

Besonders zynisch ist, dass Screenshots, die den Zugang belegten, vor Gericht als Beweis für die Strafbarkeit gewertet wurden. Genau diese Dokumentation ist aber Voraussetzung für eine ernstzunehmende Meldung an Hersteller oder Behörden. Ohne Belege nimmt niemand eine Schwachstelle ernst. Mit Belegen macht man sich in Deutschland strafbar. Wer sich professionell mit Softwareanalyse beschäftigt, wird so in eine Sackgasse geschickt: Entweder man schweigt und lässt die Lücken offen, oder man dokumentiert und riskiert Hausdurchsuchung, Strafverfahren und Rufschaden.

Das Bundesverfassungsgericht hätte hier die Chance gehabt, Klarheit zu schaffen und § 202a StGB so auszulegen, dass Verantwortungsbewusstsein nicht mit krimineller Energie gleichgesetzt wird. Stattdessen lehnt Karlsruhe die Beschwerde ohne Begründung ab. Das ist nicht nur ein fatales Signal an die Community der Sicherheitsforscher, sondern eine gefährliche Einladung an Unternehmen, sich hinter billigsten Alibi-Maßnahmen zu verstecken und Kritiker mit Strafanzeigen mundtot zu machen.

Die Botschaft an alle, die in Deutschland für mehr IT-Sicherheit sorgen wollen, lautet: Finger weg, sonst seid ihr die Kriminellen. Damit macht man Responsible Disclosure faktisch unmöglich und fördert genau das, was man eigentlich verhindern will – dass Schwachstellen im Verborgenen bleiben oder auf grauen Märkten landen. In der Konsequenz schützt man nicht die Bürger, sondern einzig die Unternehmen, die es nicht hinbekommen, ihre Produkte auf einem Mindestniveau sicher zu entwickeln. So kriminalisiert man Verantwortung und erklärt Inkompetenz zum Standard. Deutschland und IT: Willkommen im Neuland.

https://www.kuketz-blog.de/kommentar-zur-eu-data-boundary-die-illusion-europaeischer-souveraenitaet-bei-der-eu-kommission/

Mike Kuketz
1. August 2025
Kommentar zur »EU Data Boundary«: Die Illusion europäischer Souveränität bei der EU-Kommission

EU Data BoundaryDarf die Europäische Kommission intern mit Microsoft 365 arbeiten, obwohl dabei personenbezogene Daten in die USA fließen? Darum ging es in einem Verfahren durch den EU-Datenschutzbeauftragten. Der hat das Verfahren jetzt offiziell eingestellt. Die Begründung: Vertragsänderungen, vertraglich festgelegte Einschränkungen bei Datenübermittlungen – und die Einführung der sogenannten »EU Data Boundary«. Diese soll laut Wiewiórowski die Übermittlung personenbezogener Daten aus dem EWR »auf ein Minimum« reduzieren.

Soweit die Darstellung im offiziellen Schreiben des EU-Datenschutzbeauftragten. Aus unserer Sicht ist damit nichts gewonnen: Das Verfahren ist eingestellt, nichts muss sich ändern und die Details bleiben weiter unklar. Die Einschätzung folgt weitgehend den Angaben der Kommission, ohne erkennbare technische Gegenprüfung oder kritische Auseinandersetzung mit strukturellen Risiken. So entsteht der Eindruck, als sei das Datenschutzproblem rund um Microsoft 365 gelöst.

Im Kern bleibt vor allem unklar, wie belastbar die »EU Data Boundary« in der Praxis wirklich ist: Es fehlen technische Nachweise, unabhängige Kontrollen und rechtliche Garantien. Alles basiert auf Annahmen und Vertrauen – in ein US-Unternehmen, das Daten nach nationalem Recht auch außerhalb der EU offenlegen muss.
Politisch gewollt, technisch unüberprüft

Die Entscheidung wirkt wie der Versuch, ein strukturelles Problem durch vertragliche Kosmetik zu lösen. Es gibt keine unabhängige technische Analyse darüber, was Microsoft tatsächlich an Daten verarbeitet, übermittelt oder speichert. Die »Data Boundary« bleibt ein Konzept – kein überprüfbarer Schutzmechanismus. Kein Open Audit. Keine vollständige Dokumentation. Kein Einblick in die Backend-Telemetrie. Aber viel Vertrauen – in einen Anbieter, der nach US-Recht operiert.

Wer sich mit den rechtlichen Grundlagen und den Zugriffsmöglichkeiten US-Behörden beschäftigt, weiß: Daten, die unter der Kontrolle eines US-Unternehmens stehen, können abgerufen werden – auch wenn sie in Frankfurt oder Amsterdam liegen. Das wurde nicht nur mehrfach juristisch bestätigt, sondern auch politisch in Form des CLOUD Act verankert.
Kein Wort zu den Zugriffsmöglichkeiten der US-Behörden

Besonders irritierend ist, dass im offiziellen Schreiben des EU-Datenschutzbeauftragten zentrale Tatsachen völlig unberücksichtigt bleiben. Nur wenige Tage vor dem Schreiben erklärte ein ranghoher Microsoft-Justiziar unter Eid vor dem französischen Parlament, dass man »nicht garantieren könne«, dass EU-Daten nicht an US-Behörden übermittelt werden. Diese Aussage ist juristisch brisant – sie widerspricht dem Vertrauen in vertragliche Zusicherungen und relativiert zentrale Elemente der »Data Boundary«. Doch im Schreiben des EDPS fehlt jeder Hinweis darauf. Die strukturelle Zugriffsmacht der USA bleibt vollständig ausgeblendet.
Das Problem liegt tiefer

Die eigentliche Tragik liegt darin, dass politische Entscheidungsträger – und Teile der Datenschutz-Community – die Illusion von Souveränität bewusst mittragen. Statt auf europäische Open-Source-Lösungen zu setzen oder zumindest auf vollständige Kontrolle über Infrastruktur zu bestehen, wird der Einsatz US-amerikanischer Cloudlösungen als alternativlos akzeptiert.

Dass weder europäische Server noch eigene Schlüssel vor US-Zugriffen schützen, wurde längst ausführlich analysiert – etwa hier. Das eigentlich Erschreckende: Diese Risiken sind nicht nur bekannt, sondern werden inzwischen politisch offenbar bewusst verdrängt.

https://www.kuketz-blog.de/die-vergessene-vorratsdatenspeicherung-hintergrundbeitrag/

lacrosse
14. September 2025
Die vergessene Vorratsdatenspeicherung – Hintergrundbeitrag
1. EinleitungVorratsdatenspeicherung

Wenn in der Öffentlichkeit oder in Medien von »Vorratsdatenspeicherung« geredet wird, ist fast immer die Speicherung von Telekommunikationsdaten gemeint. Weitgehend unbemerkt von der Öffentlichkeit gibt es aber bereits eine andere Vorratsdatenspeicherung: Finanztransaktionsdaten werden über mehrere Jahre auf Vorrat gespeichert – vorgeschrieben im Geldwäschegesetz (GwG) zur Prävention von Geldwäsche und Terrorismusfinanzierung. Nach § 8 GwG sind »Verpflichtete« wie Finanzinstitute, Steuerberater etc. verpflichtet, Aufzeichnungen z.B. über Finanztransaktionen aufzubewahren.

In diesem Artikel erklären wir das System dahinter und ein zentrales Problem: Es erhebt systematisch viel öfter Daten als notwendig und trifft deswegen auch unschuldige Büger und Bürgerinnen.

Das Prinzip bei der Speicherung von Finanztransaktionsdaten ist im Prinzip genauso wie bei den Telekommunikationsdaten: Es wird nicht gespeichert, wer mit wem kommuniziert, sondern wer wem Geld überweist. Der entscheidende Unterschied besteht darin, dass die Telekommunikations-
unternehmen bei der »allseits bekannten« Vorratsdatenspeicherung verpflichtet wären, die Daten zu speichern und auf Ersuchen von Strafverfolgungsbehörden herauszugeben. Das GwG lagert diese »Ermittlungen« hingegen an Private aus. Die Verpflichteten müssen von sich aus nach bestimmten Kriterien Verdachtsmeldungen an die Financial Intelligence Unit (FIU) des deutschen Zolls erstatten. Durch diese gesetzliche Konstruktion entsteht eine Verkettung aufeinanderfolgender Daten-
speicherungen. Die FIU wertet die Verdachtsmeldungen aus und leitet ihre Erkenntnisse gegebenenfalls an die verschiedenen Strafverfolgungsbehörden oder Nachrichtendienste weiter.

https://www.kuketz-blog.de/android-entwickler-verifizierung-weniger-offenheit-mehr-kontrolle/

Mike Kuketz
19. September 2025
Android: Entwickler-Verifizierung – weniger Offenheit, mehr Kontrolle
1. Entwickler-VerifizierungAndroid-Entwickler-Verifikation

Google führt eine Entwickler-Verifizierung für Android ein. Ab 2026 sollen auf zertifizierten Android-Geräten nur noch Apps installiert werden, die einem verifizierten Entwicklerkonto zugeordnet sind – gleichgültig, ob die App aus dem Play Store kommt, aus einem Dritt-Store stammt oder als APK direkt installiert wird. Die Durchsetzung startet in ausgewählten Ländern (Brasilien, Indonesien, Singapur und Thailand) und wird anschließend ausgeweitet. Installationen über ADB sind weiterhin möglich und nicht an die Verifizierung gebunden. Für normale Nutzer ist das jedoch keine alltagstaugliche Option.

Im Folgenden beleuchten wir, was diese Änderung konkret bedeutet – sowohl für Entwickler, die ihre Apps künftig nur noch mit Verifizierung auf zertifizierten Geräten anbieten können, als auch für Nutzer, deren Spielraum bei der Installation freier Apps eingeschränkt wird.
2. Was ändert sich konkret?

Google verlangt künftig, dass Entwickler ihre Identität nachweisen und ihre Apps (Paketnamen und ggf. Signierschlüssel) einem verifizierten Konto zuordnen. Dafür gibt es zwei Wege: Wer bereits die Play Console nutzt, kann darüber auch Apps registrieren, die außerhalb des Play Store verteilt werden. Für Entwickler, die nur jenseits des Play Store veröffentlichen, richtet Google eine eigene Android Developer Console (ADC) ein (Early Access ab Okt. 2025, allgemein ab März 2026).

Abgefragt werden unter anderem Name, Anschrift, E-Mail und Telefonnummer. Bei Organisationen zusätzlich eine Website sowie eine D-U-N-S-Nummer – eine neunstellige Kennziffer, die von der Firma Dun & Bradstreet vergeben wird und weltweit als eindeutige Identifikation von Unternehmen dient (auch Apple verlangt sie für Entwicklerkonten von Organisationen). Diese Pflicht betrifft nicht nur US-Firmen, sondern ebenso Entwickler aus Deutschland oder anderen europäischen Ländern, etwa GmbHs, UGs oder eingetragene Vereine. Teils ist auch ein amtlicher Ausweis erforderlich. Laut Google werden diese Daten nicht gegenüber Nutzern angezeigt. Für Hobby- und Studierenden-Entwickler soll es ein vereinfachtes Konto ohne Registrierungsgebühr geben.

Google begründet die Pflicht mit mehr Sicherheit und Nachverfolgbarkeit. In der Praxis entsteht damit jedoch eine zusätzliche Hürde – insbesondere für kleine, nebenberufliche oder anonyme FOSS-Projekte. Wer nicht verifiziert ist, scheitert künftig auf zertifizierten Geräten an einer Systemblockade: Android prüft beim Installieren ob die App von einem verifizierten Entwicklerkonto stammt und mit dem passenden Schlüssel signiert wurde. Fehlt die Verifizierung, blockiert das System – egal ob die App über F-Droid, einen anderen Store oder direkt von der Projektseite kommt.

Nach aktuellem Stand gilt die Pflicht nur für zertifizierte Android-Geräte – also solche mit Play Protect und vorinstallierten Google-Apps. Custom-ROMs wie GrapheneOS sind nicht zertifiziert und damit formal nicht betroffen. Für die große Mehrheit der Nutzer ändert das jedoch nichts: Sie verwenden zertifizierte Geräte – und genau dort wird die Installation freier Apps künftig erschwert.
3. Und was ist mit F-Droid und anderen App-Stores?

F-Droid baut die meisten Apps selbst aus dem Quellcode und signiert sie mit dem eigenen Reposchlüssel. Daneben gibt es den Mechanismus der reproduzierbaren Builds: Dabei erstellt F-Droid ein APK aus dem Quellcode und vergleicht es mit der vom Entwickler veröffentlichten Version. Sind beide Dateien bytegenau identisch – abgesehen von der Signatur –, kann F-Droid statt eines eigenen Builds auch das Original-APK mit der Signatur des Entwicklers ausliefern. Das Verfahren ist aufwendig und gelingt noch nicht bei jeder App, wird aber zunehmend genutzt, um mehr Transparenz und Vertrauen in die Builds zu schaffen.