Aufgrund des geringen Kaufpreises der Geräte hat Android zumindest in den Diskussionen einen starken Fuß in der Tür. Diese Diskussion ist immer gerne geführt aber inhaltlich nicht vollständig betrachtet. Die geringeren Anschaffungskosten, welche im übrigen netto, abzüglich Rabatt über drei Jahre abgeschrieben werden, reichen für eine TCO-Betrachtung nicht aus. Auch Themen wie RollOut, Betrieb, Schulung, Support, Verlässlichkeit oder Zusatzleistungen müssen Bedarfs- und Anforderungsgerecht einfließen. Die Kosten zur Absicherung sind ebenfalls zu beachten (Vorsorgekosten und Kosten für den Ernstfall).
Der hohe Marktanteil im Consumerumfeld, vor allem auch mit stellenweise alten Release-Ständen machen Android interessant für viele Cyberkriminelle und vor kurzem wurden mehrere gefährliche Fehler in Androids Sicherheitsvorkehrungen entdeckt.Die Stagefright Lücke erlaubt es Angreifern beispielsweise den Zugriff auf ein Android-Gerät mit einer einzigen bösartigen Multimedia Messaging Service (MMS)-Nachricht zu erhalten. Diese Lücke betrifft dabei 95 Prozent der Geräte - angefangen bei Android 2.2 bis 5.1.
50 Prozent aller Android-Geräte schickt der Angreifer mit einer präparieren Mediendatei nicht nur in ein Dauer-Crash-Verhalten, sondern kann auch einen Overflow erzeugen und einen Code einschleusen, der dann mit den Rechten des Mediaserver-Prozesses ausgeführt wird.
Ein Ende derartiger Meldungen ist nicht in Sicht.
Diese stetig empfundene Zunahme von Malware und die seit längerem bestehenden Sicherheitsbedenken lassen nicht nur Anwender sondern auch Unternehmen die Situation kritisch bewerten. Nun verstehen Sie mich bitte nicht falsch. Jede Plattform hat Schwachstellen. Es ist unmöglich, sie alle zu beseitigen, bevor die Software in der Wildnis verfügbar ist. Die Kunst liegt jedoch darin Angreifer durch eine hohe aufeinander abgestimmte Sicherheit zu entmutigen und auf erkannte Probleme schnell zu reagieren. Es ist also eine Frage der Architektur und Plattformprinzipien.
Es gab und gibt immer wieder auch für andere Systeme Sicherheitslücken. So haben iOS, Windows Mobile und sogar BlackBerry ebenfalls "Löcher". Aber Maleware trifft im Vergleich viel geringer auf die Anwender direk. Viele schädliche Apps verlassen nie ihre Laborumgebung. In freier Wildbahn sind diese oft nicht direkt zugänglich. Unter iOS finden diese beispielsweise ihren Weg meist nur über Cydia, auf die jailbroken Geräte der Anwender. Das Problem hier ist jedoch nicht die Maleware selbst, sondern der ursprünglich vom Anwender aktiv selbstständig durchgeführte Jailbreak.
Um Android steht es jedoch deutlich schlechter. Herstellern und Netz-Providern fehlt jeglicher Anreiz die von Google angebotenen Fehlerbehebungen im Android Ökosystem auszuliefern.Eine Besserung ist dabei aufgrund der nach wie vor vorherrschenden Fragmentierung und schlechten Updatepolitik der OEMs nicht in Sicht, eher das Gegenteil. Das Ganze wird von Dienstanbietern noch weiter verschärft. So unterscheidet beispielsweise Facebook die Android-Geräte nicht mehr nach ihrer Betriebssystemversion, sondern an den tatsächlichen Hardware-Spezifikationen.
Dabei war das schon mal anders. Viele von Ihnen erinnern sich sicherlich noch an die "Google Play edition" (GPe). Endgeräte mit unverändertem Android war, bei diesem Programm, das Zauberwort. Systemupdates und fixes waren hier sofort adaptierterbar. Nach nur sechs Android-Geräten in knapp zwei Jahren ist dieses Programm am Ende gewesen - nach Deutschland hatten es die Geräte gar nicht erst geschafft. Mir der "Android Update Alliance" hat Google einen neuen Versuch gestartet, die OEMs zu Zertifizieren, wenn diese sich zu zeitnahen Updates verpflichten. Meiner persönlichen Meinung nach hat kein OEM wirklich nachhaltig hier mitgemacht.
Google hat keine Kontrolle mehr über Android, wie der Tech-Journalist Ron Amadeo es in einem umfangreichen Bericht beschrieben hat.
Unterschiedliche Sichten auf das Ökosystem.
OEMs wollen Geräte verkaufen und so viel Gewinn wie möglich mit ihrer Hardware machen. Ein stetiger Preiskampf sorgt dabei für gefühlt "viel Hardware fürs Geld", drückt die Margen aber zusätzlich. Updates stellen für bereits verkaufte Endgeräte nicht unerhebliche Aufwände dar. Das blockieren oder verzögern Updates von neuen Softwareversionen wird stellenweise als ein möglicher Weg interpretiert die Anwender zu ermutigen, einen neues Smartphone zu kaufen, um damit Zugriff auf die neueste Funktionen von Android zu erlangen: Mehr Geräte -> Mehr Aufwand zur Produktpflege -> Weniger Geld.
Google auf der anderen Seite hat ein Interesse seine Dienstleistungen auf so vielen Geräten wie möglich anzubieten. Zusätzlich bekommt Google mit dem Android System die Möglichkeit seine Position an der Spitze der Suchmaschinen zu behalten. Die großen Daten der Android Anwender helfen-dabei. Das Geschäftsmodell ist somit einfach: Mehr Geräte -> Mehr Werbung -> Mehr Geld.
Leidtragend ist der Anwender. Nur mit ein bisschen Glück erhält der Anwender, zumindest auf aktuellen Geräten einen passenden Bugfix. Eine Garantie dafür, dass klaffende Sicherheitslücken überhaupt geschlossen werden, gibt es nicht.Sicherlich ist dies nicht für alle Anwender gleichgewichtig in der Wahrnehmung. Die WhatsApp-Generation kann ihre Bedürfnisse mit günstigen Handys auch dann befriedigen, wenn Updates nicht angeboten werden. Den Unternehmen reicht dies nicht.
Aber nicht nur die mangelnde Verteilung von Updates durch OEMs ist ein Problem. Auch Google selbst entscheidet sich manchmal (selten) gegen das beheben von Sicherheitslöchern. So gab Google Anfang 2015 bekannt, keine eigenen Sicherheitsupdates für die WebView-Komponente von Pre-KitKat-Geräten - Android 4.4, eingeführt im Oktober 2013, mehr anzubieten.iOS-Anwender kennen das so nicht. Wenn ein Anwender ein iOS-Gerät kauft, unabhängig davon, ob es sich um ein iPhone oder iPad handelt, hat er die nicht ausgesprochene Garantie, dass das Produkt über die nächsten drei Jahre von Neuigkeiten profitieren wird. Apple bemühte sich auch sehr alte Geräte noch auf eine neue Major Version ihres Betriebssystems mitzuziehen beziehungsweise Fixes bereit zu stellen.
Im Vergleich zu Android ist Apple somit sehr gut mit dem Fokus auf Anwender und Unternehmen aufgestellt, da die Produkte attraktiver sind und die Kundenbindung höher ist. Apple bietet eine sehr robuste Roadmap für seine Produkte und Dienste. Im Gegensatz zu Google sind zwar weniger Dienste wie Google Wave oder Google Reader verfügbar, diese aber langlebiger.
Apples Erfolgsrezept: Hardware + Software aus einer Hand -> Mehr Kundenzufriedenheit -> Mehr Geld.
Schwäche schon in den Plattformprinzipien
Das Hauptproblem basiert auf der Android-Architektur und dem beworbenen Ansatz der Offenheit. Aus diesem resultiert eine riesiges, klaffendes Loch und stellt einen der Hauptgründe dar, warum viele Anwender sich Sorgen machen und Unternehmen weg bleiben werden. Offenheit ist für einige Technik verliebte "Freiheit" aber für viele, wenn sie die Konsequenz verstehen, etwas das mit "günstiger guter Hardware/Plattform" sich nicht "schön" rechnen lässt.
Es kann und darf nicht unter denn Tisch gekehrt werden, dass es so nicht weitergeht. Google muss mehr tun, um die Löcher, die Fehler, die Anfälligkeiten seiner Plattform schneller durch Updates/Fixes seiner Hardware-Partner zu beheben. Dabei müssen alle Kunden bedient werden - nicht nur diejenigen mit einem aktuellen Endgerät.Android wird, mit der heutigen Architektur immer ein Ziel für Schwachstellen und Maleware sein. Neben der starken Verbreitung ist die offene Architekturentscheidung und die Verwendung von Java als Entwicklersprache für Apps das eigentliche Problem. Es ist der gleiche Grund, warum Windows, auf dem PC, schon immer ein größeres Ziel war als OSX.
Java Apps haben den Nachteil, mit einfachsten Mitteln dekompiliert und verändert werden zu können. Das Integrieren von Schadcode ist ebenfalls einfach möglich, da die AppStore Apps nicht einmal einem eigenen DRM unterliegen und das nutzen von "fremden" Appstores oder Webseiten problemfrei möglich ist.Angreifer kann man aber durch eine höhere Sicherheit entmutigen. Wenn die Architektur sich nicht ausreichend gegen Angreifer stellt, sind die OEMs mit schnellen Updates in der Pflicht. Over-the-Air-Updates sind hier perfekt - wenn die OEMs sich vollständig dafür entscheiden, sie zu benutzen. Dies ist aber mit höherem Aufwand verbunden, der sich Android-spezifisch und pro OEM-Hersteller/Netz-Provider verschärfen kann.
Ein neues Update - und dann?
Zuallererst veröffentlicht Google eine neue Android-Version und stellt sie den OEM-Herstellern zur Verfügung. Diese Updates werden hier von den jeweiligen OEM Herstellern für jedes von ihm angestrebte Smartphone-Modell angepasst und getestet. Dazu gehören auch die Android-Modifikationen beziehungsweise die Softwarezugaben die auf den Geräten enthalten sind und kompatibel bleiben müssen. Danach werden diese Realease-Stände den weltweit agierenden Netz-Providern bereit gestellt und gegebenenfalls um deren Bedarf erweitert. Diese Updates enthalten dann individuelle Abstimmungen, die auf den jeweiligen Netzanbieter zugeschnitten werden - das können zum Beispiel Daten für die APN-Schnittstellen, also den Zugangspunkt zum Mobilfunknetz, sein.
Diese Updates unterliegen auf jeder Ebene oft komplexen Prüfungen die auf jedem Smartphone-Modell für welches das Android-Update vorgesehen ist, durchlaufen werden. Kein Wunder also, dass das Interesse der OEMs nicht besonders hoch ist.Wie es besser geht, zeigt Apple bereits seit Jahren und Microsoft mit Windows Mobile seit kurzem. Die Starken Vorgaben bei Windows Mobile und die Kombination von Software & Hardware aus einer Hand bei iOS räumen Dritten kein Mitspracherecht bei Updates ein. Jede Softwareversion kann so beispielsweise von Apple mit eigenen Updates versorgt werden, egal auf welchem Endgerät, bei welchem Netz-Provider es zum Einsatz kommt. Neue Updates stehen so weltweit zeitgleich auch für viele ältere Geräte zur Verfügung.
Fazit
Abschließend möchte ich darauf hinweisen, dass Nutzungstipps wie keine Apps aus nicht vertrauenswürdigen Quellen laden oder kein offenes WLAN verwenden, den Anwender in die "selbst schuld"-Rolle bringen. Das halte ich nicht für zielbringend. Unternehmen können die hier beschriebenen Herausforderungen eingehen oder die Firmen-kritischen Apps in eine Gummizelle stecken und der Anwender ist für das Endgerät selbst verantwortlich.
Android unterliegt einer herausfordernden Entwicklung, was die Nutzung auf Firmengeräten fraglich werden lässt. Man muss nicht darüber streiten, welche der Plattformen iOS, Android oder, WindowsPhone wie sicher ist, sondern wie großflächig und zeitnah Updates ausliefert werden können.Google, Samsung und LG haben bereits angekündigt, dass sie sich bemühen, bald monatliche Sicherheits-Patches für Android auszuliefern. Damit wollen sie zeitnah den Problemen entgegen treten. Es bleibt zu hoffen, dass es keine leeren Versprechungen sind und auch Anwender mit älteren Geräten noch berücksichtigt werden. Nichts desto trotz, es ist Zeit, dass Google die Hersteller wieder an die Leine nimmt und sich von der "Offenheit" in Teilen verabschiedet. (bw