Der amerikanische IT-Konzern schikaniert mit neuen Richtlinien die Open-Source-Community und datenschutzbewusste Internetnutzerinnen.
Seit einigen Jahren habe ich ein Pixel-Smartphone, auf dem GrapheneOS installiert ist. Das ist ein datenschutzorientiertes und alternatives Android-Betriebssystem, das ohne vorinstallierte Google-Dienste auskommt.
Eingerichtet habe ich das aus mehreren Gründen: um dem Duopol Apple und Google zu entgehen. Und vor allem: damit es schwierig wird, mir einen «Staatstrojaner» unterzujubeln.
Damit ist Spionagesoftware gemeint, die die Sicherheitslücken von Betriebssystemen wie jenen von Google oder Apple ausnutzt und selbst Nachrichten mitlesen kann, die Ende-zu-Ende-verschlüsselt sind. Zwar ist auch GrapheneOS nicht zu 100 Prozent immun gegen solche Angriffe – aber wegen des mehrstufigen robusten Sicherheitsprozesses ist bislang kein erfolgreicher Spyware-Angriff bekannt.
Kurz gesagt: GrapheneOS erfüllt viele «Best Practices» im IT-Sicherheitsbereich.
Insgesamt lief das bisher für eine privacybewusste Nutzerin wie mich ohne spezifischen IT-Hintergrund ganz gut. Denn die wichtigsten Apps erhalte ich ohnehin aus dem Google Play Store, der in einer isolierten Umgebung (im Jargon: Sandbox) läuft. Und trotzdem ist das darunterliegende Betriebssystem weder datengierig, noch gehört es zu einem unsympathischen IT-Konzern aus den USA.
Ich habe somit das Beste aus zwei Welten auf einem Smartphone vereint.
Und: Da ich als Journalistin von den Schweizer Überwachungsgesetzen nicht ausgenommen bin, kann ich mit GrapheneOS zumindest selber das höchstmögliche technische Mass an Quellenschutz bieten. Das sorgt auch nach aussen für Vertrauen bei potenziellen Informanten.
Doch im Verlauf des letzten Jahres habe ich schon erste Komforteinbussen zu spüren bekommen. So hat etwa die für das Kulturleben wichtige Ticketcorner-App – respektive die Firma dahinter – entschieden, dass ihre App alternativen Betriebssystemen nicht zur Verfügung steht. Ich war deshalb letztes Jahr auf mein zweites Handy angewiesen, um etwa die Shows rund um den Eurovision Song Contest in der Schweiz besuchen zu können.
Auf Anfrage wird der Entscheid so begründet: Man müsse sicherstellen, «Nutzer von Bots zu unterscheiden und somit Missbrauch effektiv zu verhindern». Dieselbe fadenscheinige Begründung lieferte die Post zu ihrer (mittlerweile eingestellten) Swiss-ID-App.
Und seit diesem Jahr haben sich die Banken-Apps dazugesellt. Eine davon gab mir neulich zu verstehen, dass künftige Versionen wegen meines veränderten Betriebssystems (im Jargon: Custom OS genannt) nicht mehr verfügbar sein werden. Solche Warnhinweise wühlen einen zuerst auf: Man fühlt sich fast ein bisschen wie eine Betrügerin – als ob man etwas falsch gemacht hätte.
Auf Nachfrage bei der besagten Bank antwortet diese mir: «Alternative Betriebssysteme wurden von uns auch bisher nicht offiziell unterstützt. Mit den laufenden Verschärfungen der Sicherheitschecks wird deren Nutzung künftig nicht mehr möglich sein.» Die Mediensprecherin teilt mir mit, dass mein alternatives Betriebssystem «somit nicht sicher genug sei».
Doch mit Sicherheit haben diese Entscheidungen der Schweizer Firmen nichts zu tun. Im Gegenteil: Dahinter steckt eine willkürliche Massnahme von Google, die die Banken, die Post und auch Ticketcorner gar nicht in dieser Form umsetzen müssten.
Ein kleiner technischer Exkurs dazu: Google hat die alte Sicherheitsprüfung «SafetyNet» für seinen App Store 2025 abgeschaltet und durch eine neue Prüfung namens «Play Integrity» ersetzt. Apps im Google Play Store, die bisher «SafetyNet» benutzt haben, mussten auf diese neue Prüfung umgestellt werden, sonst funktionieren ihre Sicherheitschecks nicht mehr.
Über «Play Integrity» kann sich eine App-Entwicklerin via Google unterschiedliche Eigenschaften des Geräts zusichern lassen. Nicht alle davon sind zwingend für die Entwicklung der jeweiligen App.
Die strenge «Geräteprüfung» gilt als die höchste Stufe dieses Sicherheitsmechanismus. Google möchte damit unter anderem sicherstellen, dass App-Hersteller wissen: Ihre App läuft auf einer «sicheren Umgebung», also allein nur auf Android.
Das Betriebssystem GrapheneOS ist von Google grundsätzlich nicht zertifiziert – und gilt daher als «unsicher», was nach objektiven Massstäben der IT-Sicherheit lächerlich ist. Google missbraucht damit seine Marktmacht und zwingt mit dieser Geräteprüfungsoption das Android-System noch mehr Nutzerinnen auf.
Fraglich ist zum jetzigen Zeitpunkt auch, ob die künftige staatliche E-ID – gemäss offizieller Mitteilung startbereit ab 1. Dezember 2026 – für alternative Betriebssysteme wie GrapheneOS verfügbar sein wird. Das Bundesamt für Justiz lässt sich auf Anfrage diesbezüglich nicht in die Karten blicken. Ernüchternd ist auch, dass die Agov Access App aus «Sicherheitsgründen» nicht für GrapheneOS zur Verfügung steht (auch wenn die Bundeskanzlei auf meine Anfrage hin gedenkt, dies zu ändern). Jene Anwendung braucht man in der Schweiz für digitale Behördengänge (etwa die Einreichung der Steuererklärung). Bei beiden Digitalprojekten (Agov Access App und E-ID) geht es um die öffentliche digitale Infrastruktur des Bundes. Es wäre ein grosses staatliches Versagen, wären diese Dienstleistungen allein dem Big-Tech-Duopol ausgeliefert.
Hinzu kommt: Google möchte bis September 2026 alle App-Entwickler für seinen Play Store, aber auch für alternative Marktplätze wie F-Droid identifizieren lassen – mit Namen und Passdaten. Offiziell ist das eine Massnahme, um auf dem Play Store gegen Betrug und Spam vorzugehen – doch damit erlangt Google noch mehr Kontrolle darüber, wer und was auf seinen Plattformen erscheint.
Der renommierte IT-Blog «Kuketz» schreibt dazu: «Damit entscheidet künftig nicht mehr die Qualität des Codes darüber, ob eine App installiert werden kann, sondern allein die Verifizierung des Entwicklers durch Google. Fehlt sie, blockiert das System die Installation – selbst wenn die App frei, quelloffen und technisch einwandfrei ist.»
Für die digitale globale Zivilgesellschaft ist somit klar: Das ist ein Fall von Machtmissbrauch durch den Big-Tech-Riesen. Mit einem offenen Brief und einer Kampagne können unzufriedene Bürger direkt die Wettbewerbsbehörden ihrer Länder anschreiben, die Website stellt Textbausteine und die richtigen Empfängeradressen bereit.
Die Empörung darüber ist auch in Bern angekommen. Die Schweizer Wettbewerbskommission Weko erhielt bislang 150 Beschwerdebriefe, wie sie auf Anfrage bekannt gibt.
Die Weko steht deshalb in Kontakt mit den EU-Behörden. Zwar hat die Schweiz entschieden, den «Digital Markets Act» der EU nicht zu übernehmen. Dieser soll verhindern, dass Big-Tech-Monopole ihre Marktmacht ausnutzen, indem sie ihre eigenen Dienste bevorzugen oder Mitbewerberinnen schikanierende Bedingungen auferlegen. Ein Beispiel dafür ist die Praxis von Amazon: Die vom IT-Konzern selber hergestellten Produkte liess dieser lange Zeit prominent auf seinem Online-Marktplatz anzeigen – aus Sicht der Händler auf Amazon ein unfaires No-Go.
Doch in dieser neuen Google-Causa könnte ein Verstoss gegen Artikel 7 des Schweizer Kartellgesetzes vorliegen. Genau das werde nun so schnell wie möglich geprüft, versichert die Weko.
Vermutlich können wie so oft nur noch europäische Behörden das Gebaren des Tech-Konzerns stoppen – mit drakonischen Bussen und rigoroser Anwendung der Wettbewerbsgesetze.
Hier der Originalartikel:
https://www.republik.ch/2026/05/11/ctrl-wie-google-seine-macht-missbraucht-einmal-mehr
