Veraltete Android-Versionen und Custom-ROMs

Android hat nicht nur das Problem, dass es besonders häufig angegriffen wird, sondern auch, dass sich die Hersteller von Android-Geräten offenbar besonders schwertun, die jeweils aktuellste Version des Betriebssystems zeitnah bereitzustellen.

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) moniert in seinem Bericht zur Sicherheitslage 2015 das „schleppende, teilweise nachlässige Update-Verhalten der Gerätehersteller“. Demnach müssen Nutzer von Android-Systemen manchmal bis zu zehn Monate warten, bis neue Android-Versionen zur Verfügung stehen, die Sicherheitslücken schließen. Hinzu kommt, dass selbst für hochwertige Smartphones und Tablets nach etwa 18 bis 24 Monaten keine neuen Betriebssystem-Upgrades mehr angeboten werden.

Hier kommt auch das Steuerrecht mit ins Spiel: Laut der AfA-Tabelle des Bundesfinanzministeriums sind Smartphones, deren Anschaffungspreis 410 Euro übersteigt, erst nach fünf Jahren abgeschrieben. Hochwertige Systeme wie ein Galaxy S6 von Samsung oder ein Nexus 6P von Google überschreiten in der Regel diese Schwelle. In diesem Fall muss man sich entscheiden, ob man ein aktuelles Android-System haben möchte oder Sicherheitsmängel in Kauf nimmt, dafür aber die Abschreibungsfrist einhalten kann.

Folge der Update-Problematik bei Android ist: Nach Angaben von G-Data lief im dritten Quartal 2015 auf mehr als 20 Prozent der An­droid-Systeme die Version 4.4.x (Kitkat). Sie kam bereits im Oktober 2013 auf den Markt. Rund 40 Prozent der Endgeräte nutzten noch die Android-Version Jelly Bean (4.1 bis 4.3), die seit Ende Juni 2012 verfügbar ist. Insgesamt, so G-Data, war im dritten Quartal 2015 auf 80 Prozent der An­droid-Endgeräte eine überholte Systemsoftware im Einsatz, die Sicherheitslücken aufwies.

Dass es mit Updates auch anders gehen kann, zeigt Apple. So läuft die aktuelle iOS-Version 9.3 etwa auch auf einem iPhone 4s, das im Oktober 2011 auf den Markt gekommen ist.

Um Android-Smartphones weiterhin nutzen zu können, für die der Hersteller kein Upgrade der Systemsoftware bereitstellt, kommt das Aufspielen eines Custom-ROMs in Betracht. Das sind aktuelle Android-Versionen, die unabhängige Entwickler und Communitys für ältere Endgeräte bereitstellen. Zu den bekanntesten Anbietern solcher Community-Editionen von Android zählt CyanogenMod.

Für das Samsung Galaxy S2 GT-i9100, das in Deutschland im Mai 2011 auf den Markt gekommen ist, steht beispielsweise mit CyanogenMod 12.1 ein Custom-ROM auf Basis von Android 5.1.1 zur Verfügung. Samsung selbst brachte im Frühjahr 2013 das letzte Upgrade auf Android 4.1.2 heraus.

Unter dem Sicherheitsaspekt sind Custom-ROMs allerdings nicht unumstritten. Das erhöht das Risiko, wenn Angreifer Zugang zum System erhalten. Sie können sich dann zum Systemverwalter ernennen und Konfigurationseinstellungen ändern.