Update-Politik der Smartphone-Hersteller
Wer versorgt seine Modelle zuverlässig mit neuer Software, wer lässt Sie im Regen stehen?
Android dominiert den Smartphone-Markt mit erdrückender Dominanz. Für Mitte 2016 ermittelte das Marktforschungsunternehmen Strategy Analytics einen weltweiten Marktanteil von 87,5 Prozent. Von 1,4 Milliarden Smartphones, die 2016 verkauft wurden, laufen also mehr als 1,2 Milliarden mit dem Google-System. Die große Beliebtheit führt aber auch zu Problemen: Android ist nicht überall auf dem gleichen Stand, sondern in vielen Varianten im Einsatz – und wird gleichzeitig attraktiver für Hacker und Kriminelle. Da das Smartphone im Alltag eine immer größere Rolle spielt und zunehmend auch für sicherheitsrelevante Dinge wie Onlinebanking genutzt wird, wird es immer wichtiger, die Software sauber zu halten und keine Angriffsflächen zu bieten.
Je aktueller, desto sicherer
Dabei geht es nicht nur um das Stopfen von neu entdeckten Sicherheitslücken, sondern auch um die Verbesserung des Nutzerkomforts. Per Update werden Software-Fehler ausgebügelt und neue Funktionen nachgereicht. Auch die Performance wird verbessert – vor allem im Verbund mit einer neuen Android-Version. Für den Nutzer lohnt sich ein guter Software-Support also in mehrfacher Hinsicht.
Google veröffentlicht jedes Jahr im Herbst eine neue Android-Version und stellt diese den Herstellern zur Verfügung. Es liegt in deren Verantwortung, das System an die spezifische Hardware ihrer Produkte anzupassen und per Update an Smartphones auszuliefern, die bereits auf dem Markt sind. Was einfach klingt, entpuppt sich bei genauerem Hinschauen als hochkomplexer Prozess, in dem neben den Herstellern nahezu alle großen Player der Mobilfunkindus- trie ein Wörtchen mitzureden haben – an erster Stelle Google, die Chipsatz-Produzenten und die Netzbetreiber. Das macht die Steuerung und vor allem die zeitliche Eingrenzung außerordentlich schwer, daher halten sich die Hersteller in der Regel mit konkreten Ankündigungen zurück. Außerdem liegt es in der Natur der Sache, dass gewinnorientierte Unternehmen lieber neue Smartphones verkaufen statt ältere mit neuer Software zu versorgen – denn das bedeutet zusätzliche Kosten. Doch an dieser Stelle kommt der Nutzer ins Spiel: Er kann die Hersteller zwingen, Software-Updates bereitzustellen, indem er Geräte mit einem schlechten Support einfach links liegen lässt.
Super-GAU im Android-Universum
Die im Juli 2015 unter dem Namen Stagefright bekannt gewordenen Sicherheitslücken waren die bis dato schwerwiegendste Bedrohung des Android-Systems. Der Name bezieht sich auf eine Standardbibliothek zum Verarbeiten von Multimedia-Dateien, die in allen Android-Versionen von 2.2 bis 5.1.1 zum Einsatz kam. Die Bibliothek war anfällig für das Einschleusen von Schadcode, was einem Angreifer theoretisch ermöglichte, mithilfe einer zugesendeten MMS-Nachricht ein AndroidPhone unbemerkt vom Besitzer als Abhörgerät zu missbrauchen oder die Mediengalerie auszulesen. Zum Zeitpunkt des Bekanntwerdens waren fast eine Milliarde Geräte betroffen, also fast alle Android-Smartphones weltweit. Im Februar 2017 erklärte Googles Sicherheitschef Adrian Ludwig zwar, dass ihm kein Fall bekannt sei, in dem Stagefright tatsächlich ausgenutzt wurde – aber das ist kein Beleg dafür, dass es nicht tatsächlich passiert ist. Das giganti-
sche Ausmaß der Bedrohung veranlasste Google jedenfalls, die Sicherheitsarchitektur des Systems grundlegend zu verbessern. Im August 2015 kündigte der federführende Android-Entwickler an, einmal pro Monat ein Sicherheits-Update zu veröffentlichen, um bekannt gewordene Lücken und Fehler schnell abzudichten. Diese Android Security Patches sind unter https://source.android.
com/security/bulletin/ einsehbar und werden jeden Monatsanfang für die Pixel- und Nexus-Modelle veröffentlicht.
Bei allen anderen Smartphones sind die Hersteller in der Pflicht. Und die halten sich zumindest mit öffentlichen Angaben zu diesem Thema zurück – sowohl zu Sicherheitspatches als auch zu Versionsupdates gibt es kaum einfach zugängliche Informationen oder Zeitpläne. Warum das so ist, kann man aktuell am Beispiel Samsung beobachten. Die Koreaner haben sich im Zuge der Stagefright-Lücke aus der Deckung gewagt und einen Update-Fahrplan veröffentlicht, der penibel auflistet, welche Modelle wie lange monatliche Sicherheitsupdates erhalten sollen (http://security.samsungmobile. com). Unsere Bestandsaufnahme zeigt aber, dass dieses Versprechen nicht immer eingelöst wird, einige Modelle erhielten über einen Zeitraum von mehreren Monaten keine entsprechenden Updates. Wäre es in diesem Fall besser gewesen, nichts zu sagen? Eine Antwort fällt schwer. Fakt ist: Die öffentliche Ankündigung erzeugt eine Verbindlichkeit, die in Anbetracht der Komplexität des Update-Prozesses schnell zum Bumerang werden kann. Das Schweigen der Hersteller ist auch ein Erbe der Android-Anfänge, als man versuchte, sich mit frühen UpdateAnkündigungen gegenseitig zu überbieten und von Shitstorms überrollt wurde, wenn ein Termin mal wieder nicht gehalten werden konnte. Seitdem erfolgt eine Verlautbarung in der Regel erst dann, wenn das Update ausgerollt wird, frei nach dem Motto: „Tue Gutes und rede nicht darüber“. Denn, das zeigen unsere Analysen, die Update-Situation von Android ist besser als ihr Ruf.
Was eine Marke ausmacht
Um einen Überblick über den Software-Support zu bekommen,
haben wir die wichtigsten Smartphones der Jahre 2015 und 2016 exemplarisch herausgegriffen und auf Updates und Versionssprünge hin untersucht. Unsere Liste erhebt keinen Anspruch auf Vollständigkeit, denn es ist nahezu unmöglich, alle Modelle zu berücksichtigen, die in Deutschland in den letzten zwei Jahren auf den Markt gekommen sind. Wir glauben aber, das wir die relevantesten berücksichtigt haben. Dabei haben wir nicht alle Geräte manuell auf Updates überprüft (das ist logistisch kaum zu stemmen), sondern auch Websites und Foren durchstöbert und Presseanfragen gestellt. Das Bild, dass sich daraus ergibt, ist sicherlich nicht hundertprozentig exakt, vermittelt aber doch einen guten Eindruck, welcher Hersteller es wie ernst mit dem Software-Support meint. Und auch wenn Apple mit dem Betriebssystem iOS etwas aus dem Rahmen dieser Analyse fällt, haben wir die Kalifornier berücksichtigt. Zum einen wegen ihrer Marktrelevanz, zum anderen wegen dem herausragenden Support, der in der Branche einzigartig ist – was dem Premium-Hersteller mit übersichtlichem Portfolio natürlich leichter fällt als Firmen wie Samsung oder Huawei, die die komplette Breite bis hinunter in den Einsteigerbereich abdecken. Dass diese Unternehmen trotzdem einen guten Support bieten, macht deutlich, wo die Vorteile einer bekannten Marke gegenüber einem Billiganbieter liegen. Wenig überraschend ist auch der Befund, dass teure High-End-Modelle besser unterstützt werden. Es gibt aber Ausnahmen, daher lohnt es sich gerade im Einsteigerbereich genauer hinzuschauen – hier ist BQ die erste Wahl. Wir waren überrascht vom guten Abschneiden des spanischen Herstellers, während die Lenovo-Tochter Motorola unter unseren Erwartungen blieb.
Wir haben den Software-Support in die Kategorien „sehr gut“, „gut“, „befriedigend“und „ungenügend“eingeteilt, so haben Sie mit der Tabelle auf den folgenden Seiten eine Entscheidungshilfe beim nächsten Smartphone-Kauf – und können die Industrie zwingen, das Thema weit oben auf die Agenda zu setzen.
Mit Android O kommt auch eine veränderte Systemarchitektur, die es den Herstellern ermöglichen soll, VersionsUpdates ohne ChipsatzTreiber zu entwickeln.