Google hat angekündigt, dass sich alle Entwickler:innen von Android-Apps zentral bei Google registrieren müssen, damit ihre Anwendungen auf Android-Geräten installiert werden können. Dass soll auch für solche Apps gelten, die über alternative App-Stores oder als direkte Downloads verfügbar sind. Die Registrierungspflicht soll laut Google böswillige Akteure abschrecken und die Verbreitung schädlicher Apps erschweren. Im September 2026 soll sie in den ersten Ländern wirksam und 2027 weltweit ausgerollt werden.

Nach ersten Protesten schien Google einzulenken, die Änderungen sind jedoch eher kosmetisch und das weitere Vorgehen laut Kritikern intransparent.

Eine breite Allianz von Organisationen aus der Zivilgesellschaft sowie gemeinnützigen Einrichtungen und Technologieunternehmen wehrt sich jetzt mit einer Protestnote und einer Kampagne gegen diese Pläne. Unterzeichnet haben nicht nur namhafte Organisationen wie die Free Software Foundation, der Chaos Computer Club und die EFF, sondern auch der alternative App-Store F-Droid sowie die Unternehmen Proton oder Tuta. Im Brief heißt es:

Die zwangsweise Einführung eines fremden Sicherheitsmodells, das der historischen Offenheit von Android zuwiderläuft, gefährdet Innovation, Wettbewerb, Datenschutz und die Freiheit der Nutzer. Wir fordern Google dringend auf, diese Richtlinie zurückzuziehen und gemeinsam mit der Open-Source- und Sicherheits-Community an weniger restriktiven Alternativen zu arbeiten.

Nutzung von Handys ohne Google in Gefahr

Das Betriebssystem Android erlaubt bislang, im Gegensatz zu Apples iOS, dass die Nutzer:innen Apps abseits von Googles App-Store in alternativen Stores oder einfach als Software von Webseiten herunterladen und installieren können. So war es möglich, dass die Nutzer:innen das System auch unabhängig von Google-Diensten nutzen konnten. Dieses Prinzip sehen die Kritiker nun in Gefahr:

Die vorgeschlagene Entwicklerregistrierungsrichtlinie verändert diese Beziehung grundlegend, indem sie Entwickler, die Apps über alternative Kanäle […] vertreiben möchten, dazu verpflichtet, zunächst die Genehmigung von Google durch einen obligatorischen Verifizierungsprozess einzuholen, der die Zustimmung zu den Nutzungsbedingungen von Google, die Zahlung einer Gebühr und das Hochladen eines amtlichen Ausweises umfasst.

Damit erweitere Google seinen großen Einfluss über den eigenen Marktplatz hinaus auf Vertriebskanäle, in denen der Konzern keine legitime operative Rolle spiele, so die Kritik. Weiter heißt es: „Die Zentralisierung der Registrierung aller Anwendungen weltweit gibt Google außerdem neue Befugnisse, jede beliebige App aus beliebigen Gründen für das gesamte Android-Ökosystem vollständig zu deaktivieren.“

Das Bündnis fürchtet zudem Barrieren für den Marktzugang, zum Beispiel von kleinen Teams mit begrenzten Ressourcen oder von Aktivist:innen, die in ihren Ländern verfolgt und kriminalisiert werden. Vor dem Hintergrund, dass Google auf Druck der US-Regierung in jüngster Vergangenheit zum Beispiel Apps gegen die Migrationstruppe ICE aus dem Store nahm, sind solche Bedenken nachvollziehbar. Die Registrierungspflicht könnte solche Maßnahmen über den App-Store hinaus ermöglichen.

Pläne stärken Googles Macht und Wettbewerbsposition

Weitere Bedenken beziehen sich auf Datenschutz und Überwachung: Durch die Registrierungspflicht entstehe bei Google eine umfassende Datenbank aller Android-Entwickler:innen, unabhängig davon, ob sie die Dienste von Google nutzen oder nicht. Zudem ergäben sich durch das Verfahren Risiken wie eine Kontoschließung, so die Kritiker:innen.

Bestehende App-Prüfungsverfahren von Google seien schon heute wegen undurchsichtiger Entscheidungsfindung, inkonsistenter Durchsetzung und begrenzter Beschwerdemechanismen in der Kritik. Die Ausweitung dieses Systems auf Apps für alle Android-zertifizierten Geräte berge deswegen Risiken, unter anderem willkürliche Ablehnungen von Apps oder den Einfluss von politischen oder wettbewerbsbezogenen Erwägungen, welche die Registrierungsgenehmigungen beeinflussen könnten.

Die neue Richtlinie ermögliche Google zudem Einblicke in den Wettbewerb. Diese Informationsasymmetrie verschaffe Google erhebliche Wettbewerbsvorteile, ermögliche es dem Unternehmen, konkurrierende Produkte und Dienste zu vereinnahmen, zu kopieren und zu untergraben, und kann viele Fragen zum Kartellrecht aufwerfen, so der Protestbrief.

Die Unterzeichnenden fordern deswegen Google auf, die obligatorische Registrierung für den Vertrieb durch Dritte unverzüglich aufzuheben. Das Unternehmen solle einen transparenten Dialog mit der Zivilgesellschaft, Entwickler:innen und Regulierungsbehörden über Verbesserungen der Android-Sicherheit zu führen sowie Offenheit und Wettbewerb respektieren. Die Initiative hat zudem eine Petition gestartet, um die Forderungen zu untermauern.

Der Schweizer Messenger Threema soll quantensicher werden. Hierzu ist das Unternehmen eine Partnerschaft mit IBM Research eingegangen, wie Threema mitteilte. Durch frühzeitige Absicherung der Chats soll erreicht werden, dass diese rückwirkend nur begrenzt entschlüsselt werden können, sobald Quantencomputer über die nötige Zahl fehlerfreier Qubits verfügen.

Die Sorge, die Sicherheitsforscher umtreibt, heißt: „Harvest Now, Decrypt Later“. Wer mit heutigen Methoden verschlüsselte Kommunikation „erntet“, könnte sie später aufschließen, um daraus Kapital zu schlagen. Aus diesem Grunde gibt es mit Signal und Apple iMessage erste Messengerdienste, die bereits auf Post-Quanten-Kryptografie setzen. Threema war hier bislang noch außen vor, obwohl die Schweizer die Sicherheitsversprechen hoch ansiedeln. Eine Analyse der Deutschen Gesellschaft für Auswärtige Politik (DGAP) im November 2024 kam zum Ergebnis, dass der Messenger ähnlich wie WhatsApp, Telegram und andere „quantenunsicher“ ist.

Threema setzt auf ML-KEM

Eingesetzt werden soll künftig der Algorithmus ML-KEM – ein neues Verschlüsselungsverfahren, das auch Quantencomputern standhält. Er wurde maßgeblich von IBM-Forschern entwickelt und im Sommer 2024 vom US-Standardisierungsinstitut NIST offiziell zertifiziert. Die Idee ist nicht, die bisherige Verschlüsselung zu ersetzen, sondern sie mit dem neuen Verfahren zu kombinieren – ein sogenannter hybrider Ansatz.

Signal setzt auf „PQXDH“ (Post-Quantum Extended Diffie-Hellman) und schützt den Beginn einer Unterhaltung vor Quantencomputern, danach läuft die Verschlüsselung aber klassisch weiter. Apple geht mit PQ3 weiter und erneuert den Quantenschutz auch während laufender Chats regelmäßig – so erholt sich die Verbindung automatisch, selbst wenn ein Schlüssel kompromittiert wurde. Threema hat beides noch nicht, kündigt aber mit IBM genau das an – wie tiefgreifend die Umsetzung wird, ist noch offen.

Noch kein konkreter Zeitplan

IBM Research ist hier kein zufälliger Partner. Die Kryptografen des Konzerns haben zwei der drei neuen NIST-Standards selbst mitentwickelt. IBM betreibt zudem das sogenannte „Quantum Safe“-Programm, das Unternehmen bei der Migration auf quantensichere Infrastruktur begleitet.

Einen konkreten Zeitplan oder eine fertige Implementierung gibt es noch nicht. Die Partnerschaft ist derzeit auf Forschungsebene. Außerdem steht Threema gerade selbst unter neuer Führung – der Finanzinvestor Comitis Capital übernahm den Dienst erst im Januar 2026.

(mki)

Netzwerkadmins, die IT-Infrastrukturen in Unternehmen mit Cisco Catalyst SD-WAN Controller managen, sollten die Anwendung aufgrund von laufenden Attacken umgehend auf den aktuellen Stand bringen. Durch das Ausnutzen einer Sicherheitslücke verschaffen sich Angreifer Zugriff auf Netzwerke und setzen sich darin fest. Zum jetzigen Zeitpunkt sind nicht alle Sicherheitspatches verfügbar.

Jetzt updaten!

Sicherheitsforscher von Cisco Talos führen in einem Beitrag aus, dass die Attacken schon seit mindestens drei Jahren laufen. Wer konkret hinter den Angriffen steckt, ist bislang unbekannt. Die Forscher fassen die Bedrohung unter der Bezeichnung „UAT-8616“ zusammen. Sie gehen davon aus, dass dahinter hochentwickelte Bedrohungsakteure („highly sophisticated cyber threat actor“) stecken. Die US-Sicherheitsbehörde CISA hat eine Notfallanweisung veröffentlicht. Sie stuft die Attacken als staatliche Bedrohung ein und ordnet Behörden dazu an, die Sicherheitspatches bis zum 27. Februar zu installieren.

Wie aus einer Warnmeldung von Cisco hervorgeht, sind konkret Catalyst SD-WAN Controller und Catalyst SD-WAN Manager von den Attacken betroffen. Weil ein Peering-Authentifizierungsmechanismus nicht korrekt funktioniert (CVE-2026-20127 „kritisch“ CVSS Score 10 von 10), setzen Angreifer mit speziellen Anfragen an verwundbaren Systemen an. Sind Attacken erfolgreich, greifen sie mit hohen Nutzerrechten auf Instanzen zu und setzen sich in Netzwerken fest.

In der Warnmeldung listet Cisco Indicators of Compromise auf, an denen Admins bereits attackierte Systeme erkennen können. Aufgrund des Schweregrads bekommen sogar einige nicht mehr im Support befindliche Versionen wie 20.11 Sicherheitsupdates. Bei Ausgaben vor 20.9 ist aber ein Upgrade fällig, um Sicherheitspatches zu erhalten. Gegen die geschilderte Attacke sind die folgenden Versionen abgesichert:

• 20.12.6.1
• 20.12.5.3
• 20.15.4.2
• 20.18.2.1

Die Version 20.9.8.2 soll am 27. Februar folgen.

Weitere Gefahren

Setzen Angreifer an fünf weiteren „kritischen“ Lücken (etwa CVE-2026-20122) in Catalyst SD-WAN an, können sie sich Root-Rechte verschaffen und Systeme kompromittieren. Überdies sind noch unter anderem Nexus 3600 und 9000, NX-OS und UCS angreifbar. Hier kann es unter anderem zu DoS-Zuständen kommen. Weitere Informationen zu den Schwachstellen und Sicherheitsupdates listet der Netzwerkausrüster im Sicherheitsbereich seiner Website auf.

(des)