Da gibt man hunderte Euro für etwas aus und es hat ein integriertes Ablaufdatum… So ist es leider bei vielen Smartphones. Denn die Hersteller halten die Software oft nur zwei oder drei Jahre lang aktuell. Dabei ist eine längere Nutzung das A und O für einen geringeren Klimaschaden - zehn Jahre oder mehr wären für eine akzeptable Klimabilanz notwendig. Warum erklären wir hier.
Die Frage ist: Kann denn so viel Schlimmes passieren, wenn man das Handy noch einige Zeit lang ohne Updates nutzt? Expert*innen sind sich da uneins. Die vorsichtigeren raten davon ab, solche Handys überhaupt zu nutzen. Andere halten die Risiken für minimal. Besonders, wenn man ein paar Grundregeln beachtet, die wir gleich erklären.
Wir finden: Es ist ein bisschen wie mit einer Haustür. Klar wird niemand dazu raten, die Haustür nicht abzuschließen oder behaupten "da kann gar nichts passieren". Aber wie riskant es ist, die Haustüre offen zu lassen, kommt ein bisschen auf die Umgebung an und auf den potentiellen Schaden, der dabei entstehen kann.
Was sind Schadprogramme?
Computer-Viren im klassischen Sinne, die sich selbst vermehren, gibt es auf Smartphones nicht. Schadprogramme aber doch. Sie sind allerdings auf Handys weniger verbreitet. Etwa neun von zehn Schadprogrammen richten sich laut der deutschen IT-Sicherheitsfirma AV Test (Security Report 2019-2020) gegen Windows, kaum drei Prozent gegen Android und auf iOS wird nicht mal eingegangen.
Bei den Schadprogrammen gegen Android handelt es sich bei den allermeisten um Adware. Das geht aus Daten hervor, die der Softwareanbieter Kaspersky dazu regelmäßig veröffentlicht. Mit Adware sind Apps gemeint, die aggressiv Werbung schalten.
Danach folgen verschiedene Schadware-Arten, zum Beispiel solche, die Bankdaten abgreifen, kostenpflichtige SMS versenden oder andere Informationen vom Handy auslesen.
All diese Schadprogramme gelangen nur auf das Handy, wenn man sie selber installiert. Kriminelle nutzen dafür Tricks. Denn freiwillig möchte ja niemand so ein Programm auf dem Handy haben. Typische Methoden sind Links in gefälschten SMS- oder Messenger-Nachrichten. Außerdem kann es sich um eine App handeln, die sich als andere App ausgibt.
Es gibt auch Sicherheitslücken, über die man ein Handy angreifen kann, ohne dass Nutzende selber etwas installieren. Solche Lücken haben einen sehr hohen Marktwert - Anbieter von professionellen Hackingwerkzeugen zahlen dafür oft mehrere Millionen Euro. Die Schadprogramme, die solche Lücken ausnutzen, werden dann teuer verkauft - an Geheimdienste, Polizeibehörden und andere meist staatliche Einrichtungen.
Eingesetzt werden solche Werkzeuge nicht gegen Normalverbraucher*innen, sondern im besten Fall gegen Kriminelle, meistens aber gegen politische Gegner*innen, Aktivist*innen oder Journalist*innen.
Warum das Handy sicherer als der PC ist
Smartphones haben zwei große Sicherheitsvorteile gegenüber Rechnern. Erstens: Sowohl unter Android als auch bei iOS läuft jede App abgekapselt von allen anderen Apps. Eine App kann nicht auf Prozesse oder Daten einer anderen App zugreifen. Diese Konstruktion nennt man "Sandbox". Das schränkt zwar die Möglichkeiten von Apps auf dem Smartphone ein, erhöht aber die Sicherheit.
Zweitens: Android und iOS sind ziemlich geschlossene Systeme. Soll heißen: Apps werden fast immer über den Play-Store von Google oder den Appstore von Apple installiert. Damit können fast alle Apps, die installiert werden, zentral von den großen Store-Anbietern geprüft werden. Kriminelle müssen viel Geschick einsetzen, um diese Kontrollen zu umgehen. Beim Play-Store gelingt das immer wieder mal. Bei Apples Appstore passiert es so gut wie nie. Der alternative Appstore F-Droid für Android ist übrigens auch eine recht eine sichere Quelle. Weil dort nur Open-Source-Apps zu finden sind, kann der Code der Software auf schädliche Absichten geprüft werden.
Einfallstore auf verschiedenen Ebenen: Wer stopft welche Sicherheitslücken?
Sicherheitslücken können durch Software-Updates behoben werden. Je nachdem, in welchem System die Lücke auftritt, sind dafür unterschiedliche Stellen zuständig.
- Apps: Apps können selber Sicherheitslücken enthalten, über die ein Handy angegriffen werden kann. Updates dafür muss der App-Entwickler an den Play- oder Appstore liefern. Von dort kannst du sie dir dann auf dein Gerät holen. Wir empfehlen, diese Updates automatisch durchführen zu lassen.
- Android-Betriebssystem und Google-Dienste: Sicherheitslücken in diesem Bereich werden zum Teil direkt von Google über die "Google Play-Systemupdates" behoben. Sie kommen einmal im Monat, unabhängig vom Hersteller. Erfahrungsgemäß liefert Google diese Updates für jede Android-Version etwa drei Jahre lang ab Veröffentlichung.
- Sicherheits-Updates (auch genannt "Patches"): Manche Sicherheitslücken im Android-System müssen für jedes einzelne Gerätemodell angepasst werden. Das muss dann der Hersteller machen, zum Beispiel Samsung oder Xiaomi. Ob sie das tun und wie schnell, ist ihre Entscheidung.
- Hardware-Treiber-Ebene: Die einzelnen Bauteile des Handys funktionieren durch Programme, die Treiber genannt werden. Auch sie können Fehler enthalten und dadurch können Angreifer Kontrolle über Teile des Handys übernehmen. Updates für die Treibersoftware müssen die Hersteller der Hardwareteile (z.B. Qualcomm für die Chips) an die Smartphone-Hersteller (z.B. Samsung) liefern. Wenn sich die Bauteil-Hersteller hier querstellen, dann können die Smartphone-Hersteller nichts machen, auch wenn sie eigentlich ein Update liefern wollen. An diesem Problem sind zum Beispiel Hersteller wie Fairphone mit ihren Update-Ambitionen in der Vergangenheit gescheitert.
Fallbeispiel: Exynos-Chips 2023
Schauen wir uns mal eine Sicherheitslücke an, die im März 2023 entdeckt wurde und auch in Massenmedien große Beachtung fand. Sie ist ein Beispiel dafür, dass auch solche Fälle nicht gleich Schaden anrichten. Aber sie erleichtern Angriffe eben – wie die nicht abgeschlossene Haustür.
Damals war Forscher*innen von Project Zero, einem Team bei Google, das solche Lücken sucht, ein Problem mit Samsung-Modemchips aufgefallen, wie heise.de berichtet. Der Modem-Chip wickelt die Kommunikation mit dem Mobilfunknetz ab, er ist also für Telefonie, SMS und Mobile Datenübertragung zuständig.
Die Lücken galten als besonders gefährlich. Hacker*innen konnten Code auf dem Handy-Modem ausführen und brauchten dafür nichts als die Telefonnummer. Diese Sicherheitslücke auszunutzen sei außerdem mit etwas Erfahrung nicht kompliziert, teilte Project Zero damals mit.
Häufig ist es so, dass Forschungsteams wie Project Zero vor Sicherheitslücken warnen, die sie im Labor finden. Das bedeutet noch nicht, dass sie tatsächlich von Kriminellen ausgenutzt werden. Dafür ist erst ein passendes Geschäftsmodell, kriminelle Energie und in diesem Fall auch technisches Equipment nötig.
Für Angriffe auf Smartphones müssen in der Regel mehrere solcher Lücken zusammen ausgenutzt werden. Zurück zum Haustür-Beispiel: Angenommen, ihr habt euer Geld in einem Safe, bräuchten die Eindringlinge auch dafür noch mal den Schlüssel.
Unsere Tipps, um die Risiken auf alten Geräten zu verkleinern
Absolute Sicherheit gibt es nicht. Aber ihr könnt aktiv etwas tun, damit ihr weniger in Gefahr seid. Hier sind unsere Empfehlungen:
Stufe 1: Die Schonfrist
Grundsätzlich gilt: Je länger dein Handy keine Updates bekommt, desto mehr Sicherheitslücken bleiben offen.
Wenn dein Handy gerade erst sein letztes Sicherheitsupdate bekommen hat, kannst du es noch eine ganze Weile ohne Bedenken nutzen.
Wenn dein Handy schon mehr als ein Jahr keine Updates mehr bekommt, solltest du die Nutzung einschränken.
Stufe 2: Nutzungsweise anpassen
Sicherheitslücken sind ein Problem, weil sie dein Handy für Schadprogramme anfällig machen. Schadprogramme sind Apps. Apps kommen nur auf dein Handy, wenn du sie selber installierst. Cyberkriminelle nutzen Tricks, um dich dazu zu animieren. Solchen Tricks begegnest du eher, wenn du:
- Häufig unbekannte Apps installierst, vor allem, wenn sie nicht aus dem Play- oder F-Droid-Store kommen.
- Mit dem Handy häufig unbekannte Webseiten aufrufst.
- Du häufig Nachrichten und Mails auf dem Handy empfängst und Links oder Dateien öffnest, die darin enthalten sind.
Unsere Grundregel
Wenn du eine gleichbleibende Auswahl an Apps und bekannten Webseiten nutzt und keine (unbekannten) Links oder Dateien, besonders aus Nachrichten, öffnest, ist die Wahrscheinlichkeit für einen Angriff sehr gering.
Stufe 3: Vorsicht bei wichtigen Apps
Am sichersten ist es, wenn du folgende Apps nicht mehr auf einem veralteten Gerät nutzt:
- Banking-Apps und Apps, in denen du Bezahldaten, Führerschein oder Ausweis hinterlegst, zum Beispiel Shopping-, Mobility- oder Ausweis-Apps.
- Apps, mit denen du auf dienstliche Infrastruktur zugreifst, zum Beispiel auf die Firmen-Cloud, das Teamworking-Tool oder auf dienstliche E-Mails.
- Je nachdem, wie wichtig sie für dich sind: Apps, bei denen du dich mit einem Passwort anmeldest, zum Beispiel E-Mail- und Social-Media-Apps.
Es gibt auch soziale Netzwerke oder Mail-Konten, die weniger Betrugspotenzial haben als andere. Vielleicht hast du einen zusätzlichen Account für nicht so wichtige Mails. Der sollte dann nicht dafür da sein, um andere Zugänge zurücksetzen zu können. Dadurch wäre auch das Risiko geringer, falls dein Handy gehackt wird. Wenn du dieses Risiko einschätzen kannst und in Kauf nehmen willst, kannst du den Account auch auf einem älteren Handy nutzen.
Danke für deinen Besuch. Bevor du uns verlässt…
Folg uns doch auf Mastodon oder auf Instagram! Jede Woche Updates zu Smartphones und Umwelt aus der mobilsicher-Redaktion.Kennst du schon unseren Newsletter? Einmal im Monat schicken wir dir aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.
Weiterlesen: Verlängerte Update-Garantie: Die Top-Geräte von Google und Samsung erhalten nun 7 Jahre lang Updates. Hier erfahrt ihr mehr dazu.