Android: Sicherheitsbericht zeigt Licht und Schatten

Der aktuelle Sicherheitsbericht von Google zum Thema Android-Mobilgeräte zeigt einige durchaus erfreuliche Trends auf. Daneben findet sich aber auch eine sehr beunruhigende Statistik: Lediglich jedes zweite Android-Mobilgerät erhielt im Laufe des letzten Jahres ein Sicherheitsupdate. Teilweise mag es an bequemen oder unwissenden Nutzern liegen. Das Hauptproblem ist jedoch die starke Fragmentierung der Android-Welt und die Tatsache, dass gerade kleinere Hersteller die Updates oftmals gar nicht zeitnah für ihre Geräte anpassen. Google will nun helfen, die Situation zu verbessern.

Verbesserungen bei Sicherheitsfeatures, geringere Verbreitung von Schadsoftware

Rund 1,4 Milliarden aktiv genutzte Mobilgeräte mit Googles Betriebssystem Android gibt es derzeit, schätzt Google. Wie sicher sind jedoch diese gigantischen Mengen an Smartphones und Tablets? Aktuelle Untersuchungen zeigen Licht wie auch Schatten.

Googles aktueller Sicherheitsbericht zeigt einige erfreuliche Entwicklungen auf. So hat die Anzahl mit Schadsoftware infizierter Geräte im Jahr 2016 gegenüber dem Vorjahr abgenommen. So nahm die Anzahl von Trojanern gegenüber 2015 um gut 50 Prozent ab; diese machten insgesamt nur noch 0,016 Prozent aller von Googles Sicherheitssoftware untersuchten Downloads aus. Der Anteil der Phishing-Apps sank sogar um 70 Prozent. Nur noch auf 0,05 Prozent der Geräte, die nur aus Googles Play Store mit Apps versorgt werden, fand sich bei Untersuchungen ein „potentiell schädliches“ Programm. 2015 waren es noch 0,15 Prozent gewesen. Insgesamt waren rund 0,7 Prozent aller untersuchten Android-Geräte von einer solchen, womöglich schädlichen Software befallen.

Auch das Android-Betriebssystem selbst wird nach Ansicht Googles immer sicherer. Dafür hat sich der Software-Gigant sehr ins Zeug gelegt und in die aktuelle Betriebssystem-Version „7.0 Nougat“ eine ganze Reihe neuer Sicherheitsfeatures eingebaut. Darunter sind verbesserte Möglichkeiten zur Verschlüsselung – aktuell ohnehin ein großes Thema in der IT-Welt – und bessere Sicherheitsfeatures beim Abspielen von Musik- und Videodateien.

Auch das hauseigene „Bug Bounty“-Programm gewann an Bedeutung. Im Laufe des Jahres schüttete Google fast eine Million US-Dollar an Sicherheitsforscherinnen und Sicherheitsforscher aus, die halfen, Schwachstellen in der Software zu entdecken.

Updates: Nur jedes zweite Gerät wurde 2016 versorgt

Ein großes Problem allerdings zeigt der Sicherheitsbericht auf. Von den 1,4 Milliarden Android-Geräten erhielt im Jahr 2016 lediglich rund die Hälfte ein sogenanntes Plattform-Sicherheitsupdate. Google berichtet, rund 735 Millionen Android-Geräte von etwa 200 Herstellern mit entsprechenden Updates versorgt zu haben. Der Rest ging leer aus.

Die Hauptursache für dieses Problem ist keineswegs eine mangelnde Bereitschaft Googles, an der Sicherheit seiner Geräte zu arbeiten – das zeigen die Berichte über anderenorts in diesem Bereich getätigte Investitionen wohl deutlich. Auch ist in diesem Fall – anders als beispielsweise bei der Passwortsicherheit – die Ursache höchstens in zweiter Linie beim Benutzerverhalten zu suchen.

Das Hauptproblem ist vielmehr die Vielzahl im Umlauf befindlicher Android-Versionen, auch als „Android Fragmentation“ bezeichnet. Aktuell teilen Betriebssystem-Versionen von 4.4 bis 7.0 unter sich den Markt auf. Hinzu kommt, dass selbst innerhalb einer nominell identischen Android-Version keineswegs alle Systeme gleich sind. Vielmehr nehmen die meisten Smartphone-Hersteller mehr oder weniger umfangreiche Änderungen an Treibern, Bedienkonzept und Benutzeroberfläche vor.

Auf all diese verschiedenen Versionen und Besonderheiten muss ein Android-Sicherheitsupdate erst angepasst werden, bevor es verteilt werden kann, und es muss in Tests sicher gestellt werden, dass der Patch auch wie vorgesehen funktioniert und keine Probleme verursacht. All das kostet Zeit und Geld. Selbst große Hersteller versorgen gerade ältere Geräte teilweise nur schleppend mit Updates. Bei kleineren Anbietern warten die Nutzerinnen und Nutzer oft sehr lange oder Updates werden gar nicht erst verteilt. So kommt es zu den von Google berichteten, alles andere als zufriedenstellenden Zahlen.

Google ist in der Pflicht

In gewisser Hinsicht gleicht die Situation bei Android-Mobilgeräten der im Smart-Device- und Router-Bereich: Updates werden häufig gar nicht oder zu spät bereitgestellt oder von den Benutzern nicht als wichtig wahrgenommen. So kommt es zu gefährlichen Schutzlücken. Schwachstellen in der Software werden nicht zeitnah behoben und können so womöglich für Angriffe ausgenutzt werden. Im Falle von hunderttausenden Android-Geräten ist das destruktive Potential hier womöglich erheblich.

Wie auch bei Routern und ähnlichen Geräten kann hier nur herstellerseitig effektiv Abhilfe geschaffen werden. Auch Geräte mit einer eher kleinen Verbreitung müssen zeitnah Updates erhalten. Google hat schon angekündigt, sich des Problems annehmen zu wollen. Künftig will der Software-Gigant enger mit den Geräteherstellern zusammenarbeiten und es ihnen leichter machen, Sicherheits-Updates auf ihre jeweilige, individuell modifizierte Plattform anzupassen. Nun ist es an der Öffentlichkeit und vor allem der IT-Fachwelt, Google auf die Finger zu schauen und dafür zu sorgen, dass es nicht bei einem bloßen Lippenbekenntnis bleibt. Nur so kann die Welt der Android-Mobilgeräte effektiv abgesichert werden.


Image (adapted) „Lg“ by hawkHD (CC0 Public Domain)


 

Schlagwörter: , , , , , , , , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus