Die Frage wie sicher ein Betriebssystem ist, ist nicht zuletzt auch immer eine des Blickwinkels. Während unabhängige Sicherheitsforscher gerne die Bedrohung durch einzelne Bugs oder neue Trojaner-Familien betonen, liefert Google nun eigene Zahlen zur Sicherheit von Android. Und diese zeichnen ein ganz anderes Bild, als gemeinhin über Googles mobiles Betriebssystem vorherrscht.

Zahlenmaterial

Die Chance sich Schadsoftware unter Android einzufangen war auch 2017 wieder äußerst gering – und die Tendenz zeigt dabei weiter nach unten. Während sich 2016 noch 0,04 Prozent aller Android-User eine "potentiell gefährliche App" (PHA) aus dem Play Store installiert haben, waren es 2017 nur mehr 0,02 Prozent. Deutlich höher ist die Bedrohung bei der Installation von Apps aus Quellen jenseits von Googles App Store, hier haben sich 1,22 Prozent aller Nutzer eine PHA eingefangen. Im Vergleich zum Vorjahr ist dies allerdings ebenfalls ein deutlicher Rückgang, damals waren es noch 3,32 Prozent. All dies geht aus dem Android-Sicherheitsbericht für das Jahr 2017 hervor, der auf 56 Seiten auch sonst jede Menge Details zu diesem Thema liefert.

Sicherheitchecks

Google führt dies auf ein Fülle von Faktoren zurück: So habe man etwa mit Google Play Protect die Sicherheitschecks auf Android-Geräten kontinuierlich verschärft. Play Protect läuft auf sämtlichen Android-Geräten mit Google Services, die mindestens Android 4.3 nutzen, und wird laufend unabhängig vom restlichen System auf dem aktuellen Stand gehalten. In Summe werden dadurch 2 Milliarden Smartphones und Tablets täglich überprüft, was auf 50 Milliarden App-Scans pro Tag kommt. Diese Checks führen dazu, dass der allergrößte Teil an potentieller Schadsoftware schon vorab abgefangen wird. So seien im Vorjahr 39 Millionen PHAs bereits vor der Installation blockiert worden. Dabei spielt übrigens Maschinenlernen eine immer wichtigere Rolle, bereits mehr als 60 Prozent aller neuen Schadprogrammen wurden auf diesem Weg identifiziert.

So sicher wie das iPhone?

Zudem habe man aber auch viele strukturelle Verbesserungen an Android vorgenommen, die David Kleidermacher, Chef der Android-Sicherheitsabteilung bei Google, zu einer gewagten Behauptung verleiten. Android sei mittlerweile genau so sicher wie die Konkurrenz, gibt Kleidermacher in recht augenscheinlicher Anspielung auf iOS gegenüber CNET zu Protokoll.

Zur Untermalung dieser These verweist der Sicherheitsexperte darauf, dass die Preise für Sicherheitslücken in Android mittlerweile stark angestiegen sind. Zudem habe es im Jahr 2017 keinen einzigen Tag gegeben, an dem eine Lücke in dem Betriebssystem bekannt war, ohne dass ein Patch dafür verfügbar oder eine andere Schutzmaßnahme ergriffen wurde. Auch sei es bezeichnend, dass es beim Hacker-Wettbewerb Mobile Pwn2Own keinem einzigen Team gelungen sei, ein Google Pixel mit aktueller Softwareausstattung übernehmen.

Pixel: Ja. Android: Nein.

Genau hier liegt allerdings die Crux von Kleidermachers Aussage: Den Vergleich zum iPhone kann eigentlich nur Googles eigene Pixel-Serie antreten, die deutlich schneller mit Updates versorgt wird als die Geräte irgendeines anderen Android-Herstellers. Die breite Masse an Geräten wartet hingegen oft monatelang auf Aktualisierungen – wenn sie sie überhaupt je erhält.

Sicherheits-Updates

Zumindest sieht Google aber auch in dieser Hinsicht eine positive Entwicklung. 2017 hätten 30 Prozent mehr Android-Gerät zumindest ein Sicherheits-Update erhalten als noch im Jahr zuvor. Eine recht vage Ansage, und auch sonst gibt man sich in dem Bericht eher nebulös was die Verbreitung von Sicherheits-Updates anbelangt. An anderer Stelle heißt es etwa, dass auf der Mehrheit aller in Umlauf befindlichen Geräte von mehr als 200 Android-Smartphone-Modellen ein Sicherheits-Update aus den letzten 90 Tagen läuft – eine ohne weitere Details eher krude Statistik.

Prämien

Klar ist bei all dem jedenfalls, dass Google das Aufspüren von Sicherheitslücken einiges kosten lässt: Im Jahr 2017 seien Prämien in der Höhe von 1,28 Millionen Dollar an Forscher ausgezahlt worden, die Lücken entdeckt und an Google gemeldet haben. (Andreas Proschofsky, 15.3.2018)