Android vs iPhone: Bei Updates sollte das Ergebnis eigentlich eindeutig sein, oder? Foto: Dado Ruvic / REUTERS

Jedes Jahr ein neues Smartphone: Was früher für viele normal war, ist mittlerweile fast schon zu einer Ausnahmeerscheinung geworden. Und das ist auch gut so, gibt es doch viele gute Gründe, die "Behaltezeit" von Smartphones zu verlängern. Der Inhalt der eigenen Geldbörse ist einer, der Umweltschutz ein anderer. Dazu kommt, dass diese Geräte mittlerweile dermaßen ausgereift sind, dass sich ein Hardware-Upgrade von einem Jahr zum anderen meist nicht einmal für technisch besonders interessierte User rentiert – zu gering sind die Unterschiede.

Updates werden immer wichtiger

Das führt wiederum dazu, dass ein anderes Thema immer wichtiger wird: die Software – und vor allem, wie lange es für diese Updates gibt. Denn selbst wenn man nicht immer das Neueste haben muss, so bleibt doch die Realität, dass Smartphone-Software ein komplexes Gebilde ist und regelmäßige Wartung braucht, um halbwegs sicher zu bleiben.

Ein Name wird dabei oftmals lobend erwähnt: Apple. Der iPhone-Hersteller hat den Ruf, seine Geräte deutlich länger mit neuer Software zu versorgen, als es unter Android üblich ist. Gleichzeitig haben zuletzt einzelne Android-Hersteller ihre Update-Versprechen deutlich verbessert. Eine gar formidable Ausgangslage, um dieses Thema einmal etwas näher zu beleuchten. Also der Frage nachzuspüren: Ist das wirklich so? Und wenn ja: Wie groß ist der Vorteil der iPhones wirklich? Eines darf dabei schon im Vorhinein verraten werden: Es ist alles sehr viel komplizierter, als viele denken mögen – und das Ergebnis längst nicht so eindeutig wie gedacht.

Ein Start mit oberflächlichen Vergleichen

Beginnen wir mit der einfachsten Betrachtungsweise, den Support-Versprechen der jeweiligen Hersteller. Unter Android stoßen wir da bereits auf die erste große Hürde. Immerhin gibt es rund um Googles Betriebssystem eine Fülle unterschiedlicher Firmen, deren Support-Versprechen stark variieren. Gleichzeitig stechen dabei derzeit zwei Firmen klar aus der Masse hervor: Samsung und Google selbst.

Beide Hersteller versprechen derzeit für viele ihrer Geräte fünf Jahre an Sicherheitsaktualisierungen, wobei diese bei Google bis zum Schluss monatlich erfolgen, bei Samsung im Verlauf des letzten Jahres nur mehr vierteljährlich. Dafür garantiert Samsung gar vier Upgrades auf neue Android-Generationen – Google derzeit nur drei.

Apple macht es anders

Wie sieht da im Vergleich das Update-Versprechen von Apple aus? Sehr kurz, denn was vielen nicht bewusst sein dürfte: Es gibt schlicht keines. Apple gibt also keine Garantien in dieser Hinsicht ab, weder in Bezug auf große Upgrades noch auf Sicherheitsaktualisierungen. Also müssen wir da schon etwas mehr Recherche betreiben – mit einem Blick auf die bisherige Praxis.

Das derzeit älteste Apple-Smartphone mit aktuellem iOS: das iPhone 8. Foto: Koller / STANDARD

Dabei zeigt sich: Zuletzt haben iPhones entweder fünf (Beispiel: iPhone 7) oder sechs (iPhone 6s) große Versionssprünge erhalten. Diese Variabilität ergibt sich aus der Art, wie Apple seine Softwarepflege anlegt. Die Liste an unterstützten Geräten wird nämlich nur alle paar Jahre verändert, dafür werden dann aber gleich mehrere Hardwaregenerationen auf einmal gestrichen. Die aktuelle Softwareversion ist dabei iOS 16, das älteste von diesem noch unterstützte Smartphone ist das iPhone 8 aus dem Jahr 2017.

Erweiterter Support

Nach den großen Updates ist es aber noch nicht aus – folgt doch eine Phase, in der es zwar keine neuen iOS-Generationen, aber sehr wohl Sicherheitsaktualisierungen gibt. Da Apple den Wartungsaufwand dafür minimieren will, beschränkt man sich bislang immer auf eine ältere iOS-Generation – zuletzt war das iOS 12, jetzt iOS 15 –, die parallel weiterläuft.

Das bedeutet natürlich rechnerisch wieder, dass dieser erweiterte Support-Zeitrahmen ebenfalls nicht für alle Geräte gleich ist. Im Schnitt beträgt er aber zwei bis drei Jahre. Im Optimalfall – den etwa unlängst das iPhone 5S erlebt hat – kommen wir damit also tatsächlich auf einen Zeitraum von fast neun Jahren, in denen es irgendeine Form von regelmäßigem Software-Support durch Apple gibt.

Eine Anmerkung an dieser Stelle: Theoretisch wäre es sogar möglich, dass Apple iOS 12 noch weiter unterstützt. Derzeit weiß das schlicht niemand mit Sicherheit, da sich Apple eben generell nicht zu solchen Fragen äußert. Geht man aber nach der Praxis der vergangenen Jahre, dürfte das August-Update für iOS 12 das letzte gewesen sein.

Ein (falsches) Zwischenfazit

Grob überschlagen ergibt das also folgendes Bild: Unter Android reden wir im Bestfall von maximal vier großen Versionssprüngen und fünf Jahren an Sicherheitsaktualisierungen, beim iPhone sind es bis zu sechs iOS-Upgrades und neun Jahre, in denen sicherheitsrelevante Fehler ausgeräumt werden.

Klingt alles sehr eindeutig und plakativ, insofern könnten wir jetzt an dieser Stelle auch aufhören. Das Problem dabei: Diese Darstellung ist nicht nur plakativ, sie ist auch falsch. Denn wer sich die Sache etwas näher ansieht, der wird schnell feststellen, dass das alles gar nicht so einfach zu vergleichen ist. Das liegt einerseits daran, dass Android in den vergangenen Jahren stark modularisiert wurde und die klassischen System-Updates nur mehr ein Weg sind, die Software aktuell zu halten, zudem zeigt sich aber auch, dass Apples Sicherheitsaktualisierung nicht das liefern, was man vielleicht erwarten würde. Aber der Reihe nach.

Eines der Android-Smartphones mit derzeit bestem Update-Versprechen: das Galaxy Z Flip 4 von Samsung. Foto: Proschofsky / STANDARD

Der Modularisierung erster Teil

Da wäre zunächst einmal, dass unter Android vorinstallierte Apps üblicherweise auch Jahre nach dem Supporte-Ende des jeweiligen Smartphones noch über den Play Store auf dem Laufenden gehalten werden. Und das beinhaltet nicht nur Sicherheitsaktualisierungen, sondern auch funktionelle Updates. Am deutlichsten zeigt sich das bei Google selbst: Wer dort etwa das seit dem Vorjahr nicht mehr offiziell unterstützte Pixel 3 hernimmt, wird sehen, dass praktisch alle der vorinstallierten Apps weiterhin sehr aktiv über den Play Store auf dem Laufenden gehalten werden.

Bei anderen Android-Herstellern ist diese Abdeckung nicht ganz so lückenlos, typischerweise aber noch immer erheblich besser als bei Apple, wo Updates der vorinstallierten Apps oft an eine Aktualisierung der Systemsoftware gebunden sind.

Nicht mehr nur Apps allein

Die Modularisierung von Android ist weit vorangeschritten. Zur Illustration der Screenshot der Update-Liste eines – offiziell nicht mehr supporteten – Pixel 3 nach ein paar Wochen in der Lade. Bei all dem handelt es sich um vorinstallierte Apps und Infrastrukturdienste. Sie werden also auch auf diesem Gerät noch über Jahre hinweg gewartet. Screenshot: Proschofsky / STANDARD

Vor allem aber beschränkt sich die Aktualisierung via Play Store längst nicht mehr auf sichtbare Apps. Google nutzt diesen Weg nämlich auch, um diverse Infrastrukturdienste auf dem Laufenden zu halten. So wird etwa jener Private Compute Core, der für die Verarbeitung besonders sensibler Daten zuständig ist, auf diesem Weg aktualisiert. Und damit natürlich auch über das Support-Ende durch den eigentlichen Gerätehersteller hinaus. Dasselbe gilt für einzelne Privacy- und Sicherheitsfunktionen, Netzwerkservices, die gesamte Spracheingabe und Dienste für die Nutzung von künstlicher Intelligenz direkt am Smartphone.

Weitere Beispiele sind Play Protect, das vor Schadsoftware schützt, oder auch jenes Webview, das für die Anzeige von beliebigen Webinhalten zum Einsatz kommt. Gerade Letzteres ist aus einer Sicherheitsperspektive sehr wichtig, da viele Angriffe gegen Smartphones über Browser-Lücken erfolgen. Eine laufende Aktualisierung dieser Komponenten über den Play Store sorgt nun dafür, dass Android-Geräte auch viele Jahre nach dem Auslaufen der System-Updates vor entsprechenden Attacken geschützt werden.

Alles eine Frage des Blickwinkels

Am Rande sei erwähnt, dass Google beim Ausräumen von Sicherheitslücken im Browser / Webview erheblich flotter als Apple agiert, wie Statistiken zeigen. Das führt dann zu der zunächst etwas paradox klingenden Situation, dass ein seit Jahren vom Hersteller nicht mehr offiziell gewartetes Android-System schon mal besser gegen drängende Browser-Lücken geschützt sein kann als ein aktuelles iPhone.

Nun ist das natürlich nur ein Teil aller Lücken, insofern sei gar nicht behauptet, dass Android dadurch generell im Vorteil wäre, es soll damit nur verdeutlicht werden, dass eine Sicherheitsbeurteilung immer eine Vielzahl unterschiedlicher Facetten hat – und es selten binäre Antworten auf die Frage nach der Sicherheit gibt.

Wie alt darf das Android sein?

Aber was heißt jetzt "jahrelang" eigentlich konkret in Bezug auf den App-Support? Google selbst unterstützt seine Apps derzeit meist zurück bis zu Android 7 oder 8. Alle Geräte, die mindestens auf einer dieser Versionen laufen, bekommen also weiterhin die neuesten App-Versionen. Generell ist Googles Support für alte Betriebssystemgenerationen immer ein ganz guter Anhaltspunkt, wie alt die eigene Android-Version sein darf, ohne substanzielle Nachteile bei der App-Versorgung zu haben. Wer derzeit ein Gerät mit Android 8 hat, hat also immer noch Zugriff auf den allergrößten Teil sämtlicher Apps aus dem Play Store.

Einzelne Hersteller gehen hier sogar noch viel weiter zurück: Whatsapp setzt derzeit etwa Android 4.1 als Minimum voraus. Damit ist der Whatsapp-Support unter Android interessanterweise sogar länger als beim iPhone: Dort wird iOS 12 vorausgesetzt, und damit eine Version, bei der das im September 2013 veröffentlichte iPhone 5S das älteste noch unterstützte Gerät ist. Bei Android ist eines der ältesten Geräte, auf den Whatsapp derzeit noch läuft, das Nexus S aus dem Jahr 2010.

Play Store und Play Services

Kommen wir weiter zu Teil 2 der Android-Modularisierungen – und damit zum Play Store selbst sowie zu den sogenannten Play Services. Während die Aufgaben eines App Stores weitgehend bekannt sein dürften, bedarf der zweite Punkt einer näheren Erklärung. Bei den Play Services handelt es sich um Schnittstellen für Google-spezifische Dienste. Dabei geht es um solche Dinge wie Standortdienste oder auch Push-Benachrichtigungen, Werbung sowie Analyse-Tools. Schnittstellen, die von einem großen Teil sämtlicher Android-Apps verwendet werden und denen insofern große Bedeutung zukommt.

Sowohl der Play Store als auch die Play Services werden derzeit bis zum mittlerweile reichlich alten Android 4.4 zurück unterstützt. Heißt mit einem Blick auf aktuelle Verbreitungszahlen einzelner Android-Generationen, dass so gut wie alle derzeit aktiv genutzten Android-Geräte weiterhin laufend Updates für diese beiden Komponenten bekommen.

Ein großer Fortschritt namens "Project Mainline"

Mit dem Project Mainline hat Google viele Systemkomponenten zentral in die Hand genommen. Foto: Google

Weiter geht es mit dem "Project Mainline". Unter diesem Namen hat Google vor einigen Jahren damit begonnen, zentrale Android-Komponenten zu vereinheitlichen und deren Wartung selbst zu übernehmen. Von der Runtime ART, die für die Ausführung aller Anwendungen zuständig ist, über Multimedia-Bibliotheken und die zugehörigen Codecs bis zum Berechtigungssystem – all das wird heutzutage auf halbwegs aktuellen Geräten von Google selbst gewartet, also unabhängig vom eigentlichen Gerätehersteller. Mittlerweile gibt es dutzende solcher Module, viele davon in besonders sicherheitsrelevanten Bereichen.

Und auch diese werden eben weiter gepflegt, wenn der Hersteller keine Systemaktualisierungen mehr liefert. Das erste Gerät, bei dem dieser Ansatz voll zum Tragen kommt, ist Googles eigenes Pixel 3. Dessen eigentlicher Betriebssystem-Support wurde wie erwähnt vor rund einem Jahr eingestellt. Die Mainline-Module, in den Systemeinstellungen "Google Play System Updates" genannt, sind aber weiterhin auf dem aktuellsten Stand.

Perspektivenwechsel: Die Apple-Realität

Nachdem also geklärt wurde, dass bei einem Android-Smartphone auch lange nach dem offiziellen Support-Ende eine Fülle von Sicherheitsfixes und sogar neue Funktionen nachgereicht werden, lohnt sich der Blick in die andere Richtung – und dabei vor allem die Klärung der Frage: Wie vollständig sind eigentlich Apples Updates für ältere Geräte?

Sicherheitsforscher kritisieren dabei seit Jahren, dass der iPhone-Hersteller keine offizielle Update-Policy hat und auch sonst unklar bleibt, was eigentlich wirklich wie lange pflegt wird. Das hat sich allerdings vor einigen Wochen – wenn auch nur minimal – geändert, und damit wird klar, was einige der Sicherheitsexperten seit Jahren befürchtet hatten: Stellt Apple in seiner offiziellen Policy doch klar, dass nur die aktuelle iOS-Generation auch wirklich sämtliche Sicherheitsaktualisierungen erhält.

Das ist eigentlich kein echter Support

Anders gesagt: Einen umfassenden Schutz gibt es derzeit nur noch bei jenen iPhones, die unter iOS 16 laufen. Alles darunter ist Flickwerk und somit aus einer Sicherheitsperspektive kaum anders zu qualifizieren als Android-Smartphones nach dem Ende des Supports – eben weil dort ja auch noch vieles weiter gepflegt wird, wie obenstehend erläutert wurde. Besser als nichts, keine Frage. Aber wer Wert auf ein wirklich sicheres Gerät legt, sollte so etwas eigentlich nicht mehr nutzen.

Das iPhone 7 und ältere Apple-Smartphones erhalten mittlerweile nur mehr einen eingeschränkten Support, der auch nicht alle Bereinigungen von Sicherheitslücken enthält. Foto: Pichler / STANDARD

Alternative Firmware als Ausweg? Na ja

Nur der Vollständigkeit halber sei noch auf eine weitere Android-Besonderheit verwiesen: Alternative Firmware. Da es sich bei Android um ein Open-Source-System handelt, gibt es bekanntermaßen eine Fülle von Community-Projekten, die Smartphones auch über ihr Support-Ende hinaus noch mit neueren Android-Generationen versorgen.

Dabei müssen allerdings zwei Dinge angemerkt werden: Einerseits ist so etwas natürlich nichts für die breitere Masse, immerhin braucht es dafür ein auch ein gewisses technisches Grundwissen. Vor allem aber ist es im Android-Modell so, dass viele Komponenten – etwa Firmware oder Treiber – nur vom ursprünglichen Gerätehersteller in Kooperation mit dem jeweiligen Chipsatzhersteller aktualisiert werden können. Auch das bleibt also aus einer Sicherheitsperspektive Flickwerk.

Eine echte Bilanz

Mit all diesem Wissen lässt sich nun endlich eine etwas realistischer Bilanz ziehen. Und die fällt dann doch etwas nuancierter als der oberflächliche Vergleich am Anfang aus: Während es bei Android derzeit maximal vier große Versionssprünge gibt, sind es bei Apple zwischen fünf und sechs. In Hinblick auf die Sicherheit gilt: Einen umfassenden Schutz gibt es bei den besten Android-Herstellern für fünf Jahre, bei Apple über einen Zeitraum von sechs bis sieben Jahren. Danach gibt es bei beiden Systemen zwar noch weiterhin Updates, aber diese sind sowohl in Hinblick auf Sicherheit als auch Funktionalität nur mehr unvollständig. Irgendeine Form von Minimal-Support gibt es bei Android aufgrund des zunehmend modularen Aufbaus gar noch länger.

Anders gesagt: Ja, Apple ist besser bei Updates – daran gibt es keinen Zweifel. Aber im Vergleich zu den besten Android-Herstellern dann auch gar nicht mehr so viel, wie es bei oberflächlicher Betrachtung zunächst den Anschein macht. Bei manchen Punkten hat die Google-Welt mittlerweile sogar die Nase vorne, etwa was die schnellere Pflege besonders sensibler Komponenten wie Browser und Webview betrifft.

Einschränkungen

Gleichzeitig muss noch einmal betont werden, dass es bei Android weiterhin entscheidend ist, welchen Hersteller man wählt. Der Support-Rahmen variiert zwischen einzelnen Anbietern massiv, der Vorsprung von Google und Samsung ist über die letzten Jahre sogar noch größer geworden – sowohl was Support-Länge als auch Zuverlässigkeit und Frequenz anbelangt.

Bleibt zum Schluss noch eine einfache Erkenntnis, nämlich dass alle Hersteller in Fragen Updates noch vieles besser machen könnte. Die Android-Hersteller fraglos mehr, aber selbst bei Apple gibt es derzeit noch einiges an Luft nach oben. (Andreas Proschofsky, 26.11.2022)