US-Kongress nimmt Apple und Google ins Visier

Der Druck auf die App-Ökosysteme von Apple und Google erreicht eine neue Dimension. Gleich drei Entwicklungen aus den letzten Tagen zeigen: Die Ära der Selbstregulierung bei App-Stores ist vorbei – Regierungen diktieren künftig die Spielregeln.

Am Freitag forderte der Homeland-Security-Ausschuss des US-Repräsentantenhauses Antworten von beiden Tech-Giganten. Der Vorwurf: Apps in ihren Stores würden es ermöglichen, Bundespolizisten in Echtzeit zu orten. Parallel verhängte die EU-Kommission eine Rekordstrafe gegen X (ehemals Twitter) wegen Verstößen gegen das Gesetz über digitale Dienste. Und als wäre das nicht genug, bestätigte Google die aktive Ausnutzung zweier kritischer Android-Sicherheitslücken.

Was bedeutet diese geballte Regulierungswelle für Nutzer, Entwickler und die Branche?

Die republikanischen Abgeordneten Andrew Garbarino und Josh Brecheen richteten am Freitag eindringliche Schreiben an Tim Cook und Sundar Pichai. Ihr Anliegen: Apps, die Standortdaten von Beamten der Einwanderungsbehörde ICE und des Grenzschutzes CBP crowdsourcen, stellten eine “ernsthafte Bedrohung” dar.

Passend zum Thema Android-Sicherheit: Google meldet aktive Ausnutzung kritischer Android-Lücken (CVE-2025-48633 & CVE-2025-48572) — viele Nutzer haben nicht die richtigen Einstellungen oder verpassen Patches. Unser kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android, zeigt Schritt-für-Schritt, wie Sie Updates prüfen, App-Berechtigungen verwalten und Spyware fernhalten. Der Ratgeber ist gratis per E‑Mail erhältlich und liefert praktische Checklisten für Backup, sichere App-Einstellungen und regelmäßige Prüfungen. Ideal für Besitzer von Samsung, Xiaomi, Pixel & Co. Jetzt kostenloses Android-Schutzpaket herunterladen

Konkret geht es um Anwendungen wie “ICEBlock” – bereits aus den App-Stores entfernt – und mögliche Nachahmer. Die Parlamentarier befürchten, kriminelle Organisationen könnten solche Tools nutzen, um Kontrollen zu umgehen oder Beamte gezielt anzugreifen.

“Diese Apps gefährden nicht nur DHS-Personal, sondern ermöglichen es böswilligen Akteuren, Gewalt anzustiften und rechtmäßige Regierungsoperationen zu behindern”, heißt es in den Briefen. Die Meinungsfreiheit sei “nicht absolut”, wenn sie unmittelbare rechtswidrige Handlungen fördere.

Die Forderung ist eindeutig: Bis 12. Dezember 2025 müssen Apple und Google darlegen, wie sie Anträge für solche Apps prüfen und nutzergenerierte Inhalte moderieren, die operative Polizeidaten offenlegen könnten.

Doch wo verläuft die Grenze zwischen berechtigter Bürgerkontrolle und gefährlichem Tracking? Apps wie Waze zeigen ebenfalls Polizeistandorte – bislang ohne Beanstandung. Die Tech-Konzerne stehen nun vor der Aufgabe, diese Linie zu definieren, bevor es der Gesetzgeber für sie tut.

EU verhängt erste DSA-Strafe: 120 Millionen Euro

Zeitgleich setzte die Europäische Kommission ein deutliches Zeichen. Die am Freitag verkündete Geldbuße von 120 Millionen Euro gegen X ist die erste Sanktion aufgrund des Digital Services Act (DSA) – und sie zielt ins Herz des Geschäftsmodells.

Die Regulierungsbehörde identifizierte drei gravierende Verstöße:

Täuschende Verifizierung (45 Millionen Euro): Der blaue Haken bei X lässt sich kaufen, ohne dass die Identität geprüft wird. Für die EU-Kommission ein klarer Fall von “Deceptive Design” – Nutzer werden in die Irre geführt, weil sie den Haken als Echtheitssignal interpretieren.

Intransparente Werbebibliothek (35 Millionen Euro): X versäumte es, ein durchsuchbares Archiv aller Anzeigen bereitzustellen. Damit können Forscher und Watchdog-Organisationen politische Werbung und Tracking-Praktiken nicht überprüfen – eine zentrale DSA-Anforderung.

Blockierte Datenzugänge (40 Millionen Euro): Berechtigte Wissenschaftler wurden am Zugriff auf öffentliche Daten gehindert. Die EU sieht darin einen Verstoß gegen die Pflicht, systemische Risiken wie Desinformation überwachbar zu machen.

“Dies ist die erste Nichteinhaltungsentscheidung unter dem DSA”, erklärte Henna Virkkunen, Exekutiv-Vizepräsidentin für technologische Souveränität. X hat nun eine Frist zur Behebung – andernfalls drohen laufende Strafzahlungen.

Elon Musks Plattform kündigte bereits Widerspruch an. Doch mit dem vollständig durchsetzbaren DSA dürften auch TikTok, Meta und andere ihre Verifizierungs- und Datenzugangs-Schnittstellen überprüfen – niemand will der Nächste sein.

Android-Nutzer im Fadenkreuz von Angreifern

Abseits der Regulierungsschlachten brodelt eine unmittelbare technische Bedrohung. Am Dienstag veröffentlichte Google sein Dezember-Sicherheitsbulletin mit einer beunruhigenden Nachricht: Zwei Schwachstellen werden bereits aktiv ausgenutzt.

Die Sicherheitslücken CVE-2025-48633 (Informationsabfluss) und CVE-2025-48572 (Rechteausweitung) stecken im Android Framework – jener Softwareschicht, die App-Berechtigungen und Systemzugriffe verwaltet.

CVE-2025-48633 ermöglicht es bösartigen Apps, Berechtigungsgrenzen zu umgehen und sensible Nutzerdaten abzugreifen. CVE-2025-48572 kann Angreifern die vollständige Gerätekontrolle verschaffen – ohne Zutun des Nutzers.

Google spricht von “begrenzter, gezielter Ausnutzung”. Diese Formulierung deutet typischerweise auf den Einsatz durch kommerzielle Spyware-Anbieter hin, die Journalisten oder Dissidenten ins Visier nehmen. Pixel-Geräte erhielten den Patch mit Stand “5. Dezember 2025” bereits – andere Hersteller müssen nachziehen.

Paradoxe Anforderungen: Weniger vs. mehr Zugang

Die Ereignisse der letzten 72 Stunden offenbaren ein grundlegendes Spannungsfeld. In den USA sollen Plattformen Funktionen einschränken (Standort-Tracking), um Beamte zu schützen. In der EU werden sie bestraft, weil sie Zugriffe einschränken (Forscherdaten) und Transparenz verweigern.

Für App-Entwickler bedeutet das: Compliance wird zum Minenfeld. Was in Washington als Sicherheitsmaßnahme gilt, könnte in Brüssel als unzulässige Zensur durchgehen – und umgekehrt.

“Die Selbstregulierung der App-Stores ist faktisch beendet”, analysiert Digital-Policy-Expertin Dr. Elena Rossi. “Ob physische Sicherheit von Polizisten in den USA oder Informationsökosystem-Schutz in der EU – Regierungen definieren jetzt die Architekturregeln mobiler Plattformen.”

Was kommt als Nächstes?

Der 12. Dezember wird zeigen, wie Apple und Google auf die US-Forderungen reagieren. Weigern sie sich, könnten Anfang 2026 Vorladungsschlachten folgen. Ihre Antwort wird grundlegend klären, wo geschützte Meinungsäußerung endet und “gefährliches” Tracking beginnt.

Für X startet möglicherweise erst die juristische Marathonrunde. Mit dem vollständig scharfgeschalteten DSA dürften weitere Plattformen ihre Verifizierungs- und API-Praktiken überdenken.

Android-Nutzer sollten ihre Geräteeinstellungen prüfen: Ist der Sicherheits-Patch-Stand mindestens vom 5. Dezember 2025? Hersteller wie Samsung, Xiaomi oder Motorola stehen unter Druck, schneller als im üblichen Monatsrhythmus zu liefern – denn die Angreifer warten nicht.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer — zuletzt betonte Google, dass Pixel bereits gepatcht sind, viele andere Geräte aber noch verwundbar sind. Der Gratis-Ratgeber gibt konkrete Checklisten: Patch-Check, Berechtigungs-Scan und empfohlene Einstellungen für Messaging- und Banking-Apps. Perfekt, wenn Sie WhatsApp, Online-Banking oder PayPal auf dem Smartphone nutzen und Ihre Daten schützen wollen. Kostenloses Android-Sicherheitspaket anfordern