Mehr Sicherheit

2 Jahre Update-Pflicht: Google macht Druck auf Hersteller

Dem halbherzigen Umgang der Hersteller mit den monatlichen Sicherheitspatches will Google nun einen Riegel vorschieben. In neuen Vertragsunterlagen sind exakte Vorgaben für die Security-Updates enthalten.
Von

Unser Androide wartet immer noch auf den Oktober-Sicherheitspatch für das Nokia 7 Plus Unser Androide wartet immer noch auf den Oktober-Sicherheitspatch für das Nokia 7 Plus
Andre Reinhardt
Android-Smartphones ohne Google-Apps wie den Play Store haben eine stark eingeschränkte Funktionalität, diesen Umstand macht sich der Suchmaschinen-Konzern nun als Druckmittel für regelmäßige Sicherheitspatches zunutze. Aus Vertragsunterlagen geht hervor, dass Hersteller, die ihre Mobilgeräte hinsichtlich der Security-Updates vernachlässigen, bei kommenden Modellen keine Genehmigung von Google erhalten. Dies könnte eine Veröffentlichung neuer Smartphones der betroffenen Konzerne verhindern. Sicherheitslücken, die vor mehr als 90 Tagen entdeckt wurden, müssen behoben sein. Die Richtlinien gelten für Smartphones und Tablets, die von über 100 000 Usern aktiviert worden sind.

Google drängt Hersteller zu regelmäßigen Sicherheitspatches

Unser Androide wartet immer noch auf den Oktober-Sicherheitspatch für das Nokia 7 Plus Unser Androide wartet immer noch auf den Oktober-Sicherheitspatch für das Nokia 7 Plus
Andre Reinhardt
Mobilgeräte abseits der Produktreihen Pixel und Android One müssen häufig mit veralteten Betriebssystemen auskommen, eine lückenhafte Absicherung gegen Hacker und Schadsoftware sollte dennoch gegeben sein. Diese Meinung teilt auch Google, wie aus neuen Vertragsunterlagen hervorgeht, welche der Seite TheVerge zugespielt wurden. In den Dokumenten sei haargenau festgehalten, was die Hersteller in puncto Sicherheitspatches beachten müssen. Die Richtlinien gelten für jedes Android-Smartphone oder -Tablet, das nach dem 31. Januar 2018 in den Handel kam und von mehr als 100 000 Anwendern aktiviert wurde. Die Patch-Anforderungen bezogen sich ab dem 31. Juli 2018 auf 75 Prozent der betroffenen Geräte eines Konzerns. Schließlich sollen ab dem 31. Januar 2019 ausnahmslos alle entsprechenden Modelle die Update-Vorgaben erfüllen.

Sicherheitslücken müssen zeitnah geschlossen werden

Zwar ist in den Vertragsunterlagen festgehalten, dass die Unternehmen im ersten Jahr der betroffenen Telefone mindestens viermal jährlich einen Security-Patch bereitstellen müssen, allerdings gibt es ein striktes Zeitfenster. Zum Ende eines jeden Monats sollen alle Schwachstellen geschlossen sein, die vor mehr als 90 Tagen identifiziert wurden. Die Hersteller müssen also alle drei Monate ein Sicherheitsupdate bringen. Für das zweite Jahr seien die Aktualisierungen ebenfalls erforderlich, wenngleich es hier keine Mindestanzahl gibt. Insgesamt sollen sowohl Smartphones als auch Tablets mit Android-Betriebssystem zwei Jahre lang Googles Anforderungen erfüllen. Ansonsten behält sich der Suchmaschinen-Anbieter das Recht vor, Genehmigungen für die Nutzung seiner Apps zu verwehren. Die Vertragsbedingungen wurden speziell in der EU gesichtet, wahrscheinlich gelten die Anforderungen aber weltweit.

Mehr zum Thema Patches und Sicherheitsupdates