Android: Fehlende Updates als Achillesferse
Sicherheitslücken auf hunderten Millionen Geräten bleiben offen, Politik gefordert
Mountain View / Wien – Zwei Monate nach der Veröffentlichung mehrerer kritischer Sicherheitslücken im mobilen Betriebssystems Android könnte Google eigentlich eine positive Bilanz ziehen. Immerhin gibt es bislang keinerlei bekannte Angriffe gegen diesen Softwarefehler. Die Befürchtung, dass jene Bugs, von denen fast alle AndroidGeräte betroffen sind, zu einer Art Sicherheits-GAU führen werden, hat sich also vorerst nicht bewahrheitet.
„Gut is gangen, nix is gschehn“also? Mitnichten. Denn die Realität ist, dass der allergrößte Teil der derzeit kursierenden Android-Geräte nie ein Update für die aktuellen – und alle kommenden – Sicherheitslücken erhalten wird. Hunderte Millionen Smartphones und Tablets warten insofern nur auf die erste große, erfolgreiche Angriffswelle mit Schadsoftware. Zwar haben sich einzelne Hersteller wie Samsung und LG nach dem öffentlichen Druck der letzten Wochen monatlichen Sicherheitsupdates verschrieben, was man dabei aber nur am Rande erwähnt: Dies gilt lediglich für einen Bruchteil der jeweils ausgelieferten Geräte, vornehmlich für jene aus der obersten Preiskategorie. Und selbst dieses eingeschränkte Versprechen wurde bisher nur partiell eingehalten, bei vielen Topgeräten stehen die aktuellen Sicherheitslücken weiter offen.
Unverantwortliche Hersteller
Diese Situation ergibt sich aus der Heterogenität der AndroidWelt: Google hat das Betriebssystem zwar entwickelt, erlaubt es Dritten aber die Software weitge- hend anzupassen. Ein Angebot, das die Hardwarehersteller freudig angenommen haben, da man hofft, sich durch eigene Verbesserungen entscheidend von der Konkurrenz abheben zu können. Für die damit einhergehende Verantwortung zur Wartung der Software zeigen die Branchengrößen hingegen weniger Begeisterung. Zeitnahe Updates samt mehrjährigem Supportversprechen gibt es im Android-Umfeld derzeit eigentlich nur bei Googles eigener Nexus-Linie. Und selbst hier gibt es mit einem Wert von drei Jahren angesichts immer länger werdender Behaltezyklen bei Smartphones noch einigen Verbesserungsbedarf.
Sorgen bereitet die aktuelle Situation nicht zuletzt mit einem Blick in die Zukunft: Schon bald wird komplexe – und damit implizit auch stark fehleranfällige – Software noch an wesentlich mehr Stellen des Alltags Einzug halten. Vom „Smart Home“bis zum selbstfahrenden Auto könnte eine ähnliche nachlässige Update-Politik verheerende Auswirkungen haben.
Angesichts solcher Aussichten und des offensichtlichen Unwillens vieler Hersteller, das Problem selbst in die Hand zu nehmen, stellt sich die Frage, warum die sonst bei IT-Themen zuletzt so streitbare europäische Politik genau zu diesem Thema schweigt. Eine fixe Verpflichtung der Hersteller zu einem Mindestzeitraum für Sicherheitsupdates sowie eine Kennzeichnungspflicht für den von einem neuen Smartphone zu erwartenden Softwaresupport sind hier nur zwei recht naheliegende Ideen, von denen die Konsumenten direkt profitieren würden.