3 months ago
5
Ein Monat ohne eine einzige gemeldete Sicherheitslücke, der nächste mit über hundert. Was bei den Android-Sicherheitsupdates im Sommer 2025 passierte, war kein Zufall, sondern die sichtbare Konsequenz eines tiefgreifenden Umdenkens bei Google. Das Unternehmen hat die Art und Weise, wie Sicherheitspatches an Hersteller verteilt werden, reformiert.
Bisher war der Prozess wohl starr und vorhersehbar: Jeden ersten Montag im Monat veröffentlichte Google ein Android Security Bulletin, das Dutzende von geschlossenen Sicherheitslücken auflistete. Die Hersteller bekamen die Informationen und Patches rund einen Monat im Voraus, um die Updates für ihre unzähligen Geräte anzupassen und vorzubereiten. Kennt man so alles.
Während einige Hersteller es schafften, ihre Flaggschiff-Modelle monatlich zu versorgen, blieben viele andere Geräte, insbesondere im günstigeren Preissegment, auf der Strecke. Die Realität waren oft verspätete oder nur vierteljährliche Updates, was die Sicherheit der Nutzer beeinträchtigte.
Mit dem neuen „Risk-Based Update System“ (RBUS) bricht Google mit der alten Routine. Der neue Plan: Nur das, was wirklich akut und gefährlich ist, wird sofort behandelt. Die monatlichen Bulletins listen daher nur noch Schwachstellen auf, die als „hochriskant“ eingestuft werden, also solche, für die bereits aktive Angriffe existieren. Alle anderen, weniger zeitkritischen Patches werden gesammelt. Diese gesammelten Korrekturen fließen dann in umfangreiche Quartals-Updates ein, die jeweils im März, Juni, September und Dezember erscheinen.
Das Ziel dieser Maßnahme: Der Druck auf die Gerätehersteller wird massiv reduziert. Ein kleineres monatliches Paket für Notfälle und ein planbares, großes Quartals-Update machen es für die Hersteller deutlich einfacher, eine zuverlässige Update-Versorgung für ihr gesamtes Portfolio zu gewährleisten. Davon profitieren am Ende vor allem Nutzer von Nicht-Premium-Geräten.
Experten, wie die des GrapheneOS-Projekts, warnen allerdings, dass der deutlich längere Vorlauf für die Quartals-Patches (mehrere Monate statt nur einem) die Gefahr von Informationslecks vergrößern könnte. Sollten Details zu einer Lücke vorzeitig durchsickern, hätten Angreifer entsprechend mehr Zeit für die Entwicklung von Schadsoftware.
Da der Quellcode der Patches nun nicht mehr monatlich, sondern nur noch quartalsweise veröffentlicht wird, können zudem alternative Android-Systeme nicht mehr zeitnah mit den offiziellen Sicherheitspatches versorgt werden. Für den durchschnittlichen Anwender ist die Umstellung von Google eher ein logischer Schritt. Im besten Fall führt sie dazu, dass mehr Geräte verlässlicher mit Updates versorgt werden, auch wenn der Rhythmus für die meisten Patches nun quartalsweise ist.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
