bedeckt München

Android-Sicherheitslücke "Stagefright":Die Last der Dominanz

Android Security Hole Found By Researcher

Das Android-Betriebssystem von Google ist weltweit auf den meisten Smartphones installiert. Umso wichtiger ist es, dass die Sicherheit stimmt.

(Foto: Bloomberg)

Die Daten auf Smartphones sind besonders schützenswert. Ausgerechnet Marktführer Google gibt mit seinem Android-Betriebssystem auf diesem Gebiet keine gute Figur ab.

Von Helmut Martin-Jung

Als der Internetkonzern Google im November 2007 ankündigte, ein offenes Betriebssystem für Handys zu entwickeln, war das fast eine Verzweiflungstat. Apple hatte die Welt wenige Monate zuvor mit seinem iPhone überrascht, und Google, die große und mächtige Firma, sah ihre Felle im so wichtigen Mobilsektor davonschwimmen. Lieber ein System, das - weil eben offen - jeder Handy-Hersteller übernehmen und nach Gusto verändern konnte, als gar kein Standbein in der Welt der Smartphones und Tablets.

Wie gut der Plan aufgehen würde, hat auch bei Google keiner geahnt. Der Marktanteil von Android, so heißt die Software, liegt mittlerweile bei knapp 80 Prozent, weit vor Apple, die mit ihrem iOS keine 20 Prozent erreicht. Nun kann Google zwar schwerlich Android wieder einkassieren und es anderen untersagen, die Software so zu nutzen, wie es ihnen passt. Doch der Konzern, der die Hauptlast an der Entwicklung von Android trägt, hat natürlich nur dann etwas davon, wenn das mit hohem Aufwand programmierte System Einnahmen in Googles Kasse spült.

Das tut es vor allem dann, wenn die Handy-Nutzer Googles Dienste wie etwa die Internetsuche, den Online-Kalender oder den Mail-Service verwenden. Komfortabel nutzen lassen die sich auf dem Smartphone-Bildschirm eigentlich nur über die entsprechenden Programme. Diese Apps aber veröffentlicht Google zunehmend als herstellereigene Software, die nicht jeder verwenden oder verändern darf. Die alten, offenen Programme gibt es zwar noch, sie werden aber nicht mehr weiterentwickelt. Was bei der hohen Drehgeschwindigkeit im Mobil-Geschäft einen Tod auf Raten bedeutet.

Wer so viel Druck ausübt, muss Verantwortung übernehmen

Google übt auch Druck auf Hersteller aus, 2013 zum Beispiel veröffentlichte der Konzern einen Blog-Eintrag, in dem der Gerätehersteller Acer dafür kritisiert wurde, dass er auch Geräte mit einer nicht von Google veröffentlichten Android-Version verkaufen wollte. Acer könne dann nicht in der von Google gegründeten Open Handset Alliance bleiben, sprich: Auf Handys von Acer würde es keine der beliebten Google-Apps geben.

Wer so viel Druck und Zwang ausübt, lädt sich aber auch viel Verantwortung auf. Smartphones sind sehr persönliche Geräte, die Daten darauf sollten gut geschützt werden. Doch in dieser Hinsicht hat Google unter den großen Betriebssystem-Anbietern oft keine gute Figur abgegeben. Das liegt zum einen daran, dass es offen ist. Wer sich auskennt, kann den Original-Programmcode nach Schwachstellen flöhen. In Googles App-Store gab es auch immer wieder mal verseuchte Programme, außerdem kann man auf Android-Handys auch sehr leicht Apps aus anderen Quellen laden - ein Klick, und die Sperre gegen das sogenannte side loading ist aufgehoben.

Als eine gravierende Android-Sicherheitslücke in einer älteren Software, einem Internet-Browser für Handys, bekannt wurde, weigerte sich Google, die Software zu reparieren - die Nutzer sollten doch lieber gleich eine neue Betriebs-Software aufspielen. Wenn das bloß so einfach wäre. Für viele günstige Handys bieten die Hersteller überhaupt keine größeren Updates an, und auch die Spitzenmodelle gehören softwaremäßig nach zwei, höchstens drei Jahren zum alten Eisen und werden nicht mehr versorgt. Das ist nicht die Schuld Googles, sondern auch die der Gerätehersteller und der Mobilfunkbetreiber, die jede neue Android-Version anpassen und prüfen müssen.

Nicht nur den eigenen Stall sauber halten

Mit der vor Kurzem bekannt gewordenen gefährlichen Sicherheitslücke "Stagefright", die viele neuere Android-Versionen betrifft, scheint sich das Spiel zu drehen. Google will künftig auch monatliche Sicherheits-Updates liefern, die Lücke soll bald geschlossen werden. Auch große Hersteller wie Samsung, Sony, HTC oder LG haben Ähnliches angekündigt, allerdings nur für ihre neueren Flaggschiff-Modelle.

Das kann aber auf Dauer kein Zustand sein. Wenn es auch aus Sicht von Google, dem börsennotierten Konzern, verständlich ist, dass man sich in erster Linie um seine Einnahmen, weniger um den Schutz von Kunden-Geräten sorgt - auf lange Sicht wird Google damit an Vertrauen einbüßen. Die Internetfirma muss sich daher mit Hochdruck darum bemühen, nicht nur den eigenen Stall sauber zu halten.

Sie muss auch dem unguten Zustand ein Ende machen, dass Updates von derartiger Bedeutung bei vielen Nutzern einfach nicht ankommen. Die Plattform dafür, die Open Handset Alliance gibt es ja schon. Und ein Vorbild auch: Apple. Die tun sich allerdings auch viel leichter, denn sie kontrollieren Geräte und Software, und die Zahl der Smartphone-Modelle ist sehr überschaubar.

© SZ vom 10.08.2015/mahu
Zur SZ-Startseite

Lesen Sie mehr zum Thema