Es ist ein bekanntes Phänomen: Mit der Update-Versorgung haben es die Hersteller von Android-Geräten nicht sonderlich. Das führt dazu, dass Google mit dem – an sich eher mageren – Versprechen, seine Smartphones drei Jahre lange mit großen Versionssprüngen und Sicherheitsaktualisierungen zu versorgen, noch am besten dasteht. Vor allem aber heißt das nicht nur, dass ein großer Teil aller derzeit im Umlauf befindlichen Android-Geräte mit veralteten Android-Versionen läuft, sie weisen zum Teil auch gravierende Sicherheitslücken auf.

So weit, so unumstritten. Gleichzeitig taucht in den Diskussionen aber immer wieder die berechtigte Frage auf, wie relevant das Support-Ende überhaupt für die Nutzer ist. Die Antworten darauf variieren irgendwo zwischen "Ist komplett egal" bis "Am besten das Smartphone nicht mehr verwenden". Vorab: Eine endgültige Klärung dieser Frage kann auch dieser Artikel nicht liefern, dazu hängt die Antwort zu sehr von den individuellen Bedürfnissen ab. Stattdessen soll versucht werden, ein möglichst vollständiges Bild über den Status quo der Android-Update-Situation zu liefern. Und um das vorab zu verraten: Es ist alles natürlich nicht ganz so einfach, wie es manchmal scheint.

Wer ist überhaupt für die Auslieferung von Android-Updates zuständig?

Die Verantwortung für System-Updates obliegt dem jeweiligen Geräteanbieter. Dieser übernimmt den von Google gelieferten Android-Code und passt ihn an die eigenen Bedürfnisse an. Wie stark diese Modifikationen sind, variiert sehr zwischen einzelnen Herstellern. Während sich manche mit stilistischen Anpassungen der Oberfläche zufriedengeben, greifen andere wesentlich tiefer ins System ein. Daraus ergibt sich eine große Vielfalt in der Android-Welt, gleichzeitig bedeutet dies aber natürlich auch, dass der Aufwand für die Erstellung von Updates erheblich größer wird. Immerhin muss dann der Code des Geräteherstellers wieder frisch an jede neue Android-Generation angepasst werden.

Doch damit ist es noch nicht getan: Parallel dazu arbeiten die Hersteller der diversen Hardwarekomponenten – von Grafikchip über WLAN bis zu Bluetooth und Modem – an der Aktualisierung ihrer Treiber. Bis zu Android 7 war dieser Schritt eng mit dem Update für das restliche Android-System verzahnt, mit dem "Project Treble" hat Google diese Bereiche aber mittlerweile strikt getrennt. Dieser Schritt hat die Entwicklung von Updates massiv vereinfacht, da so die verschiedenen beteiligten Entwicklerteams gleichzeitig an ihren Bereichen arbeiten können, anstatt sich wie zuvor dauernd abgleichen zu müssen. Auch die Netzanbieter spielen im Update-Prozess noch eine Rolle: Sie testen die neue Softwaregeneration oft schon vorab und geben Feedback, was üblicherweise aber zu keiner Verzögerung mehr führt – und übrigens auch bei Apple-Geräten der Fall ist. Problematisch wird es erst, wenn die Provider selbst Änderungen an der Software vornehmen, was zwar in den vergangenen Jahren gerade in Europa seltener geworden ist, aber zum Teil noch immer praktiziert wird. Bleibt zum Abschluss noch die offizielle Zertifizierung durch Google, für die die neue Version zahlreiche Kompatibilitätstests durchlaufen muss. Hat der Hersteller in der Entwicklung nicht gepatzt, stellt dies aber nur eine Formalität dar.

Google ist am Update-Prozess also jenseits der Zertifizierung gar nicht beteiligt?

Das ist korrekt. Es gibt allerdings auch Ausnahmen. Bei den eigenen Geräten der Pixel-Reihe liefert Google – wenig überraschend – natürlich selbst die Updates aus, schließlich ist man ja auch der Hersteller. Und dann gibt es da noch das "Android One"-Programm, in dessen Rahmen diverse Firmen ein weitgehend unmodifiziertes Android von Google übernehmen und nur minimal anpassen. Hier ist Google direkt in den Update-Prozess involviert – auch wenn die endgültige Auslieferung erst recht wieder durch den Gerätehersteller erfolgt.

Trotzdem ist es wichtig festzuhalten: Eine zentrale Update-Auslieferung durch Google, wie es etwa Microsoft bei Windows pflegt, gibt es unter Android nicht.

Warum ist das so?

Das hat nicht zuletzt historische Gründe: Google wollte den Herstellern und Netzanbietern von Anfang an viel Freiheit geben, damit sie Android nach Belieben anpassen können. Das war zweifellos ein wichtiger Faktor für den Erfolg von Android, gleichzeitig haben sich aber bald die Schattenseiten dieses System gezeigt. Wie lange es Updates gibt, wie schnell neue Betriebssystemversionen übernommen werden oder auch mit welcher Regelmäßigkeit Sicherheitsaktualisierungen ausgeliefert werden – all das unterliegt (fast) zur Gänze dem Willen und dem technischen Vermögen der jeweiligen Gerätehersteller. Und beides ist leider oft enden wollend.

Und wenn der Support einmal aus ist, gibt es natürlich gar keine Updates mehr ...

Das kann man so auch wieder nicht sagen. Schließlich darf nicht vergessen werden, dass das Kern-Betriebssystem nur einen Teil jener Software bildet, die sich auf einem Smartphone befindet. Das Android-System ist über die Jahre stark modularisiert worden, viele Komponenten werden unabhängig von diesen großen System-Updates gepflegt. Und das bedeutet auch: wesentlich länger. Der Wichtigste dieser Bestandteile sind die Play Services, die direkt von Google auf sämtlichen offiziell lizenzierten Android-Geräten auf dem Laufenden gehalten werden. Der Infrastrukturdienst beinhaltet viele zentrale Funktionen für App-Entwickler – etwa Schnittstellen zur Abwicklung von Standortabfragen oder auch für Push-Benachrichtigungen. Derzeit reicht der Support der Play Services bis Android 4.1 zurück. Das bedeutet, dass all diese Komponenten selbst auf Geräten mit einer sieben Jahre alten Version von Googles Betriebssystem noch immer auf dem aktuellsten Stand sind.

Dazu kommt, dass unter Android auch vorinstallierte Apps üblicherweise jenseits von großen System-Updates gepflegt werden. Wie lange deren Support reicht, hängt natürlich vom jeweiligen Hersteller ab. Aber um nur ein Beispiel zu nennen: Wer heute ein Smartphone mit dem rund fünf Jahre alten Android 5.0 hat, bekommt noch immer praktisch alle Google-Apps in aktueller Version. Das ist auch deswegen besonders relevant, da einige dieser Google-Apps auf sämtlichen Android-Geräten zur Vorinstallation vorgeschrieben sind. Und Googles Play Store selbst wird ohnehin – wie die bereits erwähnten Play Services – bis Android 4.1 zurück unterstützt. Das heißt natürlich nicht, dass es bei so alten Versionen noch alle Apps gibt – gibt es natürlich nicht. Trotzdem ist es wichtig zu betonen, dass auch einige Jahre nachdem der Update-Support für ein Gerät ausläuft, weiter zentrale Komponenten auf dem aktuellen Stand gehalten werden.

System-Updates sind also eigentlich gar nicht so wichtig?

Das wäre dann wiederum eine ziemlich gewagte Behauptung. Das Ausbleiben von System-Updates hat sehr wohl konkrete – negative – Auswirkungen. Entgehen den Nutzern damit doch viele strukturelle Verbesserungen. So haben etwa die vergangenen Android-Ausgaben allesamt wichtige Fortschritte in Fragen der Privatsphäre gebracht. Nicht minder unerfreulich ist diese Situation zudem für App-Entwickler, die sich mit einer Fülle veralteter Softwareversionen und deren Support herumschlagen müssen.

Am schlimmsten ist das Ausbleiben von Updates aber aus einer Sicherheitsperspektive. Ein nicht mehr gewartetes Gerät wird mit der Zeit zu einem immer leichteren Ziel für Schadsoftware. Jeden Monat werden neue Sicherheitslücken in Android bekannt. Werden diese nicht geschlossen, wird das Spiel für Angreifer kontinuierlich leichter. Google hat zwar in den vergangenen Jahren einige strukturelle Verbesserungen an Android vorgenommen, die das Ausnutzen von Sicherheitslücken erheblich erschweren, und dank des auf allen halbwegs aktuellen Geräten befindlichen Play Protect wird auch jede App regelmäßig auf Schadcode untersucht. Perfekt kann so ein System aber nie sein. Klar könnte man nun – mit gewissem Recht – argumentieren, dass die ganz großen Malware-Kampagnen gegen Android bisher ausgeblieben sind. Gleichzeitig ist das Argument "Bisher ist auch nichts passiert" generell kein sonderlich empfehlenswerter Ansatz in Sicherheitsfragen. Schon gar nicht auf einem Gerät, das für viele Nutzer eine dermaßen zentrale Rolle in ihrem Leben einnimmt und entsprechend viele private Informationen wenn nicht sogar den Zugang zu den eigenen Finanzen beinhaltet.

Angemerkt sei, dass Sicherheits-Updates nicht notwendigerweise an große Android-Versionssprünge gebunden sind, auch ein Android 8 kann derzeit noch sicher sein, so der Hersteller nur brav die monatlichen Fixes von Google übernimmt. Trotzdem ist eine Aktualisierung auf neuere Plattformversionen generell vorzuziehen, da diese oft auch strukturelle Sicherheitsverbesserungen enthalten.

Was für Alternativen gibt es, wenn der Support durch den Hersteller ausläuft?

Android hat den Vorteil, dass weite Teile des Systems im Quellcode erhältlich sind. Dies ermöglicht es Dritten, eine eigene Firmware für die betreffenden Geräte anzubieten. Über die Jahre ist dabei eine äußerst umtriebige Community entstanden. Projekte wie Lineage OS versorgen Smartphones zum Teil noch Jahre nach dem offiziellen Support-Ende mit neuen Betriebssystemversionen. Die Installation von alternativer Firmware setzt zwar ein gewisses technisches Grundwissen voraus, wer sich davon nicht abschrecken lässt, für den stellt das Ganze aber eine durchaus interessante Option dar.

Und doch muss hier die Erwartungshaltung etwas gebremst werden, eine perfekte Lösung ist das nämlich nicht. Alternative Firmware kann schließlich nur jene Dinge aktualisieren, die im Quellcode verfügbar sind – also all das, was von Google im Rahmen des Android Open Source Projects (AOSP) veröffentlicht wird. Die zahlreichen proprietären Softwarekomponenten, die in so einem Smartphone zu finden sind – allen voran die bereits erwähnten Treiber für Grafik-, Bluetooth- oder WLAN-Chips – kann hingegen nur der Gerätehersteller selbst auf dem Laufenden halten. Selbes gilt für das sogenannte Baseband, das für sämtliche Mobilfunkaufgaben zuständig ist. Das hat zur Folge, dass alle nach dem Supportende gefundenen Lücken in diesen Komponenten offen bleiben – und daran können auch Community-Projekte wie Lineage OS nichts ändern.

Um hier keinen falschen Eindruck entstehen zu lassen: Aus einer Sicherheitsperspektive ist es natürlich trotzdem besser, nach dem Support-Ende auf alternative Firmware zu wechseln, anstatt einfach das bestehende System weiterzuverwenden. Immerhin werden hier zumindest noch die Lücken aus dem öffentlich verfügbaren Android-Code geschlossen. Ein wirklich sicheres System ist das aber eben nicht mehr. Ein Blick auf die Android Security Bulletins der vergangenen Monate zeigt rasch, dass diese proprietären Bestandteile mittlerweile für einen Großteil aller kritischen Lücken bei Android-Smartphones verantwortlich zeichnen. Angreifer finden hier also noch mehr als genug Hebel für ihre Aktivitäten.

Was ist derzeit der größte Problembereich in der gesamten Android-Update-Kette?

Das ist fraglos der Treiber-Support. Ist er doch – neben dem Desinteresse vieler Geräteanbieter – maßgeblich dafür verantwortlich, dass es keine längeren Supportzeiten gibt. Wenn ein einzelner Chipanbieter den Support für seine Hardware einstellt, steht damit der gesamte Update-Apparat. Dabei wäre die Lösung eigentlich ganz einfach: Würden die jeweiligen Komponentenhersteller ihre Treiber und Firmware als Open Source freigeben, könnten Smartphones und Tablets erheblich einfacher und schneller gewartet werden. So bedeutet aber jedes zusätzliche Gerät auch zusätzlichen Wartungsaufwand für den jeweiligen Chiphersteller, da dieser den Treiber selbst schnüren muss. Dass die Chiphersteller ihre Treiber freigeben, ist allerdings reichlich unwahrscheinlich. Sind sie doch davon überzeugt, dass ihre Software so gut ist, dass sie damit einen entscheidenden Vorteil gegenüber der Konkurrenz haben.

Angesichts dieser betrüblichen Realität hat Google über die Jahre einige Anstrengungen unternommen, um den Aufwand für alle Beteiligten zumindest zu minimieren. Mit dem Project Treble wurden – wie erwähnt – Linux Kernel und Treiber sauber vom restlichen Android-System getrennt. Zudem wurden die für Android zugelassenen Kernel-Versionen auf einige wenige beschränkt – üblicherweise jene, die Langzeit-Support durch die Linux-Entwickler erhalten. Alles Maßnahmen, die die Anpassung von Treibern erheblich vereinfacht. Ehrlicherweise muss man aber auch sagen, dass dies in Hinblick auf die Update-Realität bisher wenig gebracht hat. Zwar liefern die Hersteller mittlerweile mehr Sicherheitsaktualisierungen als früher, spätestens nach drei Jahren ist aber üblicherweise Schluss damit – mit nur vereinzelten Ausnahmen. Viele Hersteller liefern aber nicht einmal das.

Könnte Google nicht einfach die Hersteller zu Updates verpflichten?

Theoretisch würde das natürlich gehen, immerhin schreibt Google schon jetzt in seinen Lizenzbedingungen alle möglichen Regeln für Gerätehersteller vor. Gleichzeitig ist das aber eine heikle Angelegenheit. Schließlich bürdet man den Hardwarepartnern einen erheblichen Mehraufwand auf, und das könnte gerade für kleinere Anbieter zu einem echten Problem werden. Angesichts dessen konzentriert sich Google derzeit lieber auf strukturelle Verbesserungen am System, während Vorschriften nur behutsam verschärft werden. Der Weg geht trotzdem klar in diese Richtung, seit dem Vorjahr schreibt Google erstmals konkrete Update-Verpflichtungen vor: Mindestens zwei Jahre lang muss jedes seitdem neu auf den Markt gekommene Android-Gerät Sicherheitsaktualisierungen erhalten. Und zwar relativ zeitgerecht: Am Ende jedes Monats müssen auf sämtlichen Devices in diesem Zeitraum jene Sicherheitslücken, die seit 90 Tagen oder länger öffentlich bekannt sind, geschlossen sein.

Was bringt die Zukunft?

Weitere strukturelle Verbesserungen. Mit Android 10 nimmt man dabei die wohl wichtigste Verbesserung der letzten Jahre vor. Im Rahmen des Project Mainline werden gewisse Systembestandteile standardisiert und künftig direkt von Google geliefert – also unabhängig von den Updates der jeweiligen Geräteanbieter. Verpflichtend ist das zwar erst für jene Geräte, die von Haus aus mit Android 10 ausgeliefert werden, langfristig stellt dies aber einen regelrechten Umbruch in der Android-Welt dar. Wie bedeutsam dieser Schritt ist, lässt sich am besten an einem konkreten Beispiel zeigen: Eine der ersten Mainline-Komponenten ist das Media Framework. In diesem fanden sich in den vergangenen Jahren rund 40 Prozent aller in Android aufgespürten Lücken, noch dazu oft welche, die sich von außen ausnutzen lassen. Künftig kann Google all diese zentral auf sämtlichen Android-Geräten gleichzeitig ausräumen. Zudem zeichnet sich ab, dass in künftigen Versionen immer mehr Systembestandteile Teil von "Project Mainline" werden, womit Google den Herstellern die Update-Verantwortung Schritt für Schritt weiter aus der Hand nimmt.

An der erwähnten Treiber-Problematik ändert dies aber noch nichts. Da diese stark vom einzelnen Gerät abhängig sind, können diese nicht so einfach in ein Mainline-Modul verwandelt werden. Das liegt nicht zuletzt auch am Modell des Linux-Kernels, der keine fixen Schnittstellen für externe Treiber anbietet. Dadurch müssen Treiber und Kernel bei jeder Aktualisierung neu erstellt werden. Dies dürfte einer der Gründe sein, dass Google derzeit über einen Wechsel zu Fuchsia OS – oder genauer dessen Kernel Zircon – nachdenkt. Immerhin verfolgt dieser ein Microkernel-Konzept, bei dem es leichter wäre zu garantieren, dass derselbe Treiber bei einer Vielzahl von Geräten und Softwareversionen funktioniert. Ob es dazu wirklich kommt, muss sich natürlich erst zeigen, offiziell bestätigen will man das momentan noch nicht. (Andreas Proschofsky, 28.7.2019)