Sicherheitsupdates Wie Google Android sicherer machen will

Ein Android-Handy lädt das Betriebssystem

(Foto: imago/Christian Ohde)
  • Google verpflichtet Android-Hersteller einem Medienbericht zufolge, beliebte Smartphones mindestens zwei Jahre lang mit Sicherheitsupdates zu versorgen.
  • So soll das Android-Ökosystem endlich sicherer werden. iOS ist in dieser Hinsicht weit voraus.
  • Ein Problem bleibt: Android-Nutzer erhalten nichtsicherheitsrelevante Updates mit neuen Funktionen oft mit großer Verspätung - oder gar nicht.
Von Simon Hurtz

Android oder iOS? Für viele Menschen scheint das immer noch eine Glaubensfrage zu sein. Tatsächlich ist die Entscheidung längst zu einer Geschmacksfrage geworden. Vor einigen Jahren mussten selbst die größten Android-Fans zugestehen, dass Apple hochwertigere Smartphones baute und intuitivere Software programmierte. Doch Hersteller wie Samsung und Huawei haben in Sachen Hardware aufgeholt, und Google hat Android in eine gleichwertige iOS-Alternative verwandelt.

Doch in einem entscheidenden Punkt ist Apple bis heute besser: Sicherheit. Seit Jahren versucht Google, Android-Hersteller zu regelmäßigen Patches zu verpflichten, die Fehler in der Software beseitigen und Schwachstellen stopfen. Die Situation ist nicht mehr ganz so katastrophal wie früher, aber immer noch weit vom geschlossenen iOS-Ökosystem entfernt, in dem Updates für alle Geräte gleichzeitig erscheinen und Sicherheitslücken sehr schnell geschlossen werden.

Deshalb erhöht Google jetzt den Druck auf die Hersteller. Dem Tech-Portal The Verge liegen vertrauliche Verträge vor, die Google mit Unternehmen wie Samsung, Sony und LG geschlossen haben soll. Es handelt sich um Lizenzbedingungen für deren Geräte, die in der EU verkauft werden. Öffentliche Äußerungen von Google deuten aber darauf hin, dass für andere Regionen dieselben oder ähnliche Vorgaben existieren. Dem Bericht zufolge sollen die Verträge unter anderem folgende Auflagen beinhalten:

  • Smartphones und Tablets, die nach dem 31. Januar 2018 auf den Markt kamen und öfter als 100 000 Mal aktiviert wurden, müssen mindestens zwei Jahre lang Sicherheitsupdates erhalten. Im ersten Jahr sind mindestens vier Updates vorgeschrieben, für das zweite Jahr wird keine Zahl genannt.
  • Dennoch können sich Hersteller nicht beliebig Zeit lassen: Sie verpflichten sich, Sicherheitslücken binnen 90 Tagen zu schließen Die Zeit läuft, sobald Google die Schwachstellen identifiziert und offengelegt hat.
  • Von August 2018 bis kommenden Januar räumt das Unternehmen den Android-Lizenznehmern eine Gnadenfrist ein: In diesem Zeitraum müssen die Hersteller nur drei Viertel ihrer Geräte den Vorschriften entsprechend patchen. Danach gelten die Vorgaben für alle Smartphones mit mindestens 100 000 Aktivierungen.
  • Wenn Hersteller ihre Geräte nicht wie vorgeschrieben aktualisieren, drohen drastische Sanktionen: Google könnte künftigen Smartphones die Lizenz verweigern, sodass sie nicht mehr mit Android-Betriebssystem erscheinen und ohne Google Play Store und andere Apps von Google ausgeliefert werden müssen.

Android hat noch genug Probleme

Android-Sicherheitschef Dave Kleidermacher hatte auf der Google-Entwicklerkonferenz im Mai angekündigt, dass sich Hersteller auf striktere Vorgaben einstellen und "regelmäßige" Sicherheitsupdates liefern müssten.

Auf Nachfrage bestätigt Google den Bericht von The Verge nicht, dementiert ihn aber auch nicht: Android-Smartphones seien "bereits ziemlich gut" mit Sicherheitsupdates versorgt. Ein Großteil der mehr als 30 Android-Hersteller halte sich an die 90-Tage-Frist und schließe Schwachstellen zeitnah mit Patches.

Tatsächlich hat Google in den vergangenen Jahren vieles unternommen, um es Samsung und Co. leichter zu machen, Geräte aktuell zu halten. Einzelne Patches wurden in monatlichen Sicherheitsupdates gebündelt. Android ist modularer aufgebaut als früher, sodass Hersteller weniger anpassen müssen, um Updates für ihre eigenen Versionen des Betriebssystems auszuliefern. Außerdem gibt es das Android-One-Programm: Diese Geräte kommen mit nahezu unverändertem Android und werden monatlich aktualisiert.

Riskiert Google also Konflikte mit den Herstellern, obwohl es angeblich gar keine Probleme mehr gibt? Die gibt es sehr wohl noch. Google hat gute Gründe, Druck auszuüben. Selbst Luxus-Smartphones wie Samsungs Galaxy S9 oder das LG V40 erhalten Sicherheitsupdates teils nur mit Verzögerung. Vor allem bei günstigeren Geräten bleiben Schwachstellen mitunter monatelang offen - wenn sie denn überhaupt geschlossen werden.

Fotos und Optik sind Kunden wichtiger als Sicherheit

Nur wenige Hersteller geben verbindliche Garantien und legen sich fest, wie lang sie Updates liefern. Nutzer sind also auf den guten Willen der Unternehmen angewiesen. Doch die verdienen nur Geld, wenn sie neue Smartphones verkaufen, und legen deshalb oft wenig Wert darauf, ältere Geräte sicher und aktuell zu halten. Für die breite Masse der Käufer ist die Software bestenfalls ein nachrangiges Entscheidungskriterium. Viele haben keine Ahnung, welche Android-Version sie verwenden, Fotoqualität und Optik sind meist wichtiger.

Insofern sind die neuen Lizenzbedingungen ein Schritt in die richtige Richtung - aber vor Google liegt noch ein langer Weg, wenn es Android in dieser Hinsicht auf Augenhöhe mit iOS bringen will. Denn Sicherheitsupdates sind nur ein Teil des Problems. Genauso wichtig sind die neuen Funktionen, die Google mit neuen Android-Versionen veröffentlicht. Auf die müssen die meisten Nutzer noch viel länger warten als auf Patches, die Sicherheitslücken stopfen.

In der monatlichen Übersicht der Verbreitung der Android-Versionen taucht das neue Android 9 immer noch nicht auf, obwohl es schon Anfang August erschienen ist. Der Marktanteil liegt unter 0,1 Prozent. Der Vorgänger, seit mehr als einem Jahr auf dem Markt, ist auf weniger als 20 Prozent der Geräte installiert. Vier von fünf Smartphones laufen also mit jahrealter Software, weil Hersteller es nicht für nötig halten, auch nach dem Kauf vernünftigen Service für ihre Kunden zu leisten. Zum Vergleich: Apples neues iOS 12 erreichte binnen drei Wochen mehr als die Hälfte aller iPhones und iPads, auf gerade einmal sieben Prozent der Geräte laufen iOS 10 oder ältere Versionen.

Die Zukunft des erfolgreichsten mobilen Betriebssystems ist ungewiss

Die Android-Welt ist stark fragmentiert. Insbesondere Unternehmen aus Fernost passen die Software oft nach eigenen Vorstellungen an. Teils hat das Betriebssystem kaum noch etwas mit dem Original zu tun, das Google ausliefert. Weil es im chinesischen Markt besser ankommt, ähnelt die Nutzeroberfläche der Geräte von Huawei, Xiaomi, Oppo oder Vivo optisch eher iOS als Googles Designsprache. Dementsprechend können diese Hersteller Updates nicht sofort ausspielen, sondern müssen sie aufwändig anpassen. Nur wenige Anbieter wie Nokia und Oneplus setzen auf nahezu unveränderte Android-Oberflächen und versprechen zeitnahe Aktualisierungen.

Weltweit ist Android auf rund 85 Prozent aller Smartphones installiert, doch die Zukunft des erfolgreichsten mobilen Betriebssystems ist ungewiss. Im Sommer verhängte die EU eine Kartellstrafe in Höhe von 4,3 Milliarden Euro: Google nutze mit Android illegal seine marktbeherrschende Stellung aus und verstoße gegen Wettbewerbsrecht.

Vergangene Woche hat Google einen Teil der Auflagen der EU-Kommission umgesetzt und liefert Android nun nicht mehr zwangsweise mit Apps wie Gmail, Google Maps und dem Chrome-Browser aus. Dafür müssen Hersteller Lizenzgebühren von bis zu 40 Dollar pro Gerät zahlen, wenn sie die Apps installieren und den Google Play Store nutzen wollen. Noch ist unklar, ob die betroffenen Unternehmen diese Gebühren an die Kunden weitergeben werden.

Seit mehreren Jahren arbeitet Google an einem komplett neuen Betriebssystem, über das bislang nur wenig bekannt ist: Fuchsia. Auf dem vergangenen Hardware-Event Anfang Oktober stelle Google immerhin zwei neue Android-Smartphones und zahlreiche andere Produkte vor. Das Wort "Android" fiel in über einer Stunde nicht ein einziges Mal. Ganz so, als glaube Google selbst nichtmehr an das Betriebssystem.

Technologie Google will Antworten geben, bevor jemand Fragen stellt

Suchmaschine

Google will Antworten geben, bevor jemand Fragen stellt

Die wichtigste Webseite der Welt verändert sich radikal: bunt und lang statt schlicht und kompakt. Google wird Milliarden Menschen vorsetzen, was sie angeblich wollen - und zwar ob sie es wollen oder nicht.   Von Simon Hurtz