Warum sind viele Android-Geräte so unsicher?

Quelle: Sven Krumrey 29.03.2017 | 46 Kommentare

Würden Sie einen Computer nutzten, der seine letzten Sicherheits-Updates 2014 hatte? Die meisten von Ihnen würden wohl bei dieser Frage auf regelmäßige Windows-Updates und ein Antivirus-System verweisen und sich (mit Recht) ziemlich sicher fühlen. Aber wie steht es um die Android-Geräte? Android ist als Betriebssystem auf Milliarden Smartphones, Tablets, usw. vertreten und eigentlich sicher. Aber nur, wenn man eine halbwegs aktuelle Version auf seinem Gerät hat und das ist leider keine Selbstverständlichkeit.

Kürzlich nahm ich mal ein selten genutztes Tablet zur Hand und schaute nebenbei, welches Android eigentlich drauf ist. Android 4.4, gefühlt aus der Steinzeit also. Ein Produkt der Marke Acer, nicht ganz billig gewesen und seit grob 3 Jahren ohne irgendein Update von Hersteller-Seite. Und auch, wenn ich Optimist bin – es wird auch keines mehr kommen. Damit ist es kein Einzelfall, 500 Millionen Geräte sind komplett von Sicherheits-Updates abschnitten. Wer Updates nur verspätet bekommt, ist also durchaus privilegiert, eine bizarre Situation. Doch wie kann es sein, dass Geräte oftmals schon 2 Jahre nach dem Erscheinen von den Herstellern vergessen werden? Und wieso gibt es kein zentrales Update wie bei Windows?

Um dies zu verstehen, muss man einen Blick drauf werfen, was Android ist und wie es verteilt wird. Android kommt von der Open Handset Alliance, federführend ist natürlich Google und ist (und nun wird es interessant für Hersteller) umsonst. Das heißt, die sonst üblichen, oftmals erheblichen Lizenzkosten für Betriebssysteme können umgangen werden. Einzig die Nutzung bestimmter Google-Dienste (wie z.B. der Playstore) soll lizensiert sein, man munkelt hier von 75 Cent pro Handy, auch für Billig-Anbieter akzeptabel. Die Anbieter nehmen also Android und passen es Ihrer Hardware, also z.B. dem Smartphone an, man spricht hier von Portierung. Oftmals werden die Handys dann noch mit Software von Partnern, eigenen Projekten oder schlicht Werbung dicht gepflastert. Manche Hersteller wollen noch eine eigene Duftmarke setzen und entwickeln eigene Derivate (hier: Abspaltungen) des Betriebssystems. Man passt die Optik und Funktionen an und versucht so, die Kunden zu begeistern.

Google selbst schickt normalerweise Sicherheits-Updates im Monats-Takt und tut auch einiges, um das System sicherer zu machen. Die Zahl der bösartigen Software im Playstore geht zurück, Android selbst bekommt mit jeder Version neue Sicherheits-Mechanismen. Neben dem eigenen Team vergütet man auch Anregungen von externen Tipp-Gebern und gibt dafür pro Jahr über 1 Million Dollar aus, doch was bringt es den Kunden? Denn allzu viele Firmen möchten: Verkaufen und zwar möglichst viel und dann bitte schnell zum nächsten Modell wechseln. Selbst die 2011 verabschiedete Vereinbarung, die Firmen mögen doch bitte wenigstens 18 Monate für Updates sorgen (ein lächerlich kurzer Zeitraum), verpuffte wirkungslos. Große Hersteller halten sich meistens daran, für viele Klein-und-billig-Anbieter ist der Support hier schnell beendet. Wer Neues will, muss Neues kaufen. Ein Unding, denn die Sicherheitslücken in älteren Versionen sind nicht nur üppig, sondern auch den Erschaffern von Schadsoftware hinlänglich bekannt.

Die Praxis sieht dann so aus: Sagen wir, es gibt ein neues Android-Update mit wichtigen Sicherheits-Patches. Die Hersteller werden darüber informiert – und nun liegt alles in der Hand der Firmen. Wer ein reines Android nutzt und wenig Anpassungen hat, kann die Updates mit recht geringem Aufwand aufspielen, wenn die Firma denn will. Wer sein Android stark modifiziert hat, muss erst mal testen und die Patches eventuell dem System anpassen. Das kostet dann wieder Zeit und natürlich Geld, nicht alle Hersteller wollen das. Und auch wenn eine Firma reagiert – auch bei besseren Anbietern sind Handys oft Wochen und Monate mit kritischen Fehlern online, bevor die Updates eintrudeln. Smartphones mit Branding (Anpassung an einen Netzanbieter) sind hier noch ein Sonderfall, denn hier hakt es oft am Mobilfunk-Betreiber, sie bringen die Updates für „ihre“ Smartphones im Umlauf. Gerne „vergisst“ man hier Prepaid-Handys oder verzögert die Auflieferung über Monate. Die Android-Macher haben keine vertraglichen Mittel oder Konventionalstrafen als Hebel, sie können nur auf den guten Willen der Hersteller oder Anbieter hoffen.

Ohne Sicherheits-Updates ein allzu leichtes Opfer

Doch die Motivation der Firmen ist gering, denn auch viele Kunden kümmern sich nicht um die Sicherheit Ihrer Android-Geräte und machen keinen Druck. Verkauft wird über Preis und Ausstattung und wenn augenscheinlich alles funktioniert, ist man als Konsument zufrieden. Man würde wohl Bill Gates mit Fackeln durchs Dorf jagen, wenn er nicht für die Verbreitung von Windows-Updates sorgen würde, bei Android wird dies (noch) akzeptiert. So wurden auch schon Smartphones auf den Markt geworfen, die nie ein Update bekamen und dennoch gut bewertet wurden. Zum Glück handeln nicht alle so, Motorola, HTC und Sony schneiden hier oftmals gut ab, Samsung braucht immer seine Zeit. Bei Xiaomi wird etwas anders gearbeitet. Hier nutzt man Android nur als Basis und pfropft das eigene MIUI als Betriebssystem drauf. Und an dem wird konstant gewerkelt, inklusive zahlreicher Sicherheits-Updates. Damit bekommt man also nicht automatisch das neue Android (wäre ja zu schön), aber immerhin die sicherheits-relevanten Updates. Besser als nichts.

Es ist klar, dass sich die Android-Macher nur ungern zu diesem Thema äußern. Wer mag schon zugeben, dass eigene Produkte zwar ständig verbessert werden, dies aber bei vielen Kunden niemals ankommt? Nur spektakuläre Sicherheits-Lecks wie das Media-Framework Stagefright, das Schadsoftware Tür und Tor öffnete, schaffen es in die Medien. Und so sind gerade über eine halbe Milliarde Geräte online, die eklatante und allseits bekannte Sicherheits-Lücken haben. Das wird sich wohl auch nicht ändern, bis die Käufer ein Bewusstsein für diese Problematik entwickeln und Druck ausüben. Druck auf Google, die Markt-Macht ausnahmsweise im Sinne der Konsumenten auszuüben und Druck auf die Firmen, Ihre Produkte auch langfristig sicher nutzbar zu erhalten. Gerüchte besagen, dass Google eine schwarze Liste hat, auf denen besonders unbelehrbare Sünder verzeichnet sind. Es wäre doch allzu interessant für uns Käufer, da mal einen Blick hinein zu werfen.

<zurück zur Ideenschmiede: Smartphone>

Rolf Mohr
Letzte Artikel von Rolf Mohr (Alle anzeigen)