Zwei Monate nach der Veröffentlichung mehrerer kritischer Sicherheitslücken im für die Wiedergabe von Medien-Dateien zuständigen Stagefright-Framework des mobilen Betriebssystems Android, könnte Google eigentlich eine positive Bilanz ziehen. Immerhin gibt es bislang keinerlei bekannte Angriffe gegen diesen Softwarefehler. Die Befürchtung, dass jene Bugs, von denen fast alle Android-Geräte betroffen sind, zu einer Art Sicherheits-GAU führen werden, haben sich also vorerst nicht bewahrheitet.

Die Situation täuscht

"Gut is gangen, nix is gschehn" also? Mitnichten. Denn die Realität ist, dass der allergrößte Teil der derzeit kursierenden Android-Geräte nie ein Update für die aktuellen – und alle kommenden – Sicherheitslücken erhalten wird. Hunderte Millionen Smartphones und Tablets warten insofern nur auf die erste große, erfolgreiche Angriffswelle mit Schadsoftware. Zwar haben sich einzelne Hersteller wie Samsung und LG nach dem öffentlichen Druck der letzten Wochen monatlichen Sicherheitsupdates verschrieben, was man dabei aber nur am Rande erwähnt: Dies gilt lediglich für einen Bruchteil der jeweils ausgelieferten Geräte, vornehmlich für jene aus der obersten Preiskategorie. Und selbst dieses eingeschränkte Versprechen wurde bisher nur partiell eingehalten, bei vielen Topgeräten stehen die aktuellen Sicherheitslücken weiter offen.

Ursachenforschung

Diese Situation ergibt sich aus der Heterogenität der Android-Welt: Google hat das Betriebssystem zwar entwickelt, erlaubt es Dritten aber die Software weitgehend anzupassen. Ein Angebot, das die Hardwarehersteller freudig angenommen haben, da man hofft, sich durch eigene Verbesserungen entscheidend von der Konkurrenz abheben zu können. Für die damit einhergehende Verantwortung zur Wartung der Software zeigen die Branchengrößen hingegen weniger Begeisterung. Zeitnahe Updates samt mehrjährigem Supportversprechen gibt es im Android-Umfeld derzeit eigentlich nur bei Googles eigener Nexus-Linie. Und selbst hier gibt es mit einem Wert von drei Jahren angesichts immer länger werdender Behaltezyklen bei Smartphones noch einigen Verbesserungsbedarf.

Bedrückender Ausblick

Sorgen bereitet die aktuelle Situation nicht zuletzt mit einem Blick in die Zukunft: Schon bald wird komplexe – und damit implizit auch stark fehleranfällige – Software noch an wesentlich mehr Stellen des Alltags Einzug halten. Vom "Smart Home" bis zum selbstfahrenden Autos könnte eine ähnliche nachlässige Update-Politik verheerende Auswirkungen haben.

Und die Politik?

Angesichts solcher Aussichten und des offensichtlichen Unwillens vieler Hersteller, das Problem selbst in die Hand zu nehmen, stellt sich die Frage, warum die sonst bei_IT-Themen zuletzt so streitbare europäische Politik genau zu diesem Thema schweigt. Eine fixe Verpflichtung der Hersteller zu einem Mindestzeitraum für Sicherheitsupdates sowie eine Kennzeichnungspflicht für den von einem neuen Smartphone zu erwartenden Softwaresupport sind hier nur zwei recht naheliegende Ideen, von denen die Konsumenten direkt profitieren würden. (Andreas Proschofsky, 28.9.2015)