Sicherheitspatches: Wie Android-Hersteller Sicherheit vortäuschen
Das deutsche IT-Sicherheitsunternehmen Security Research Labs hat in einer Untersuchung bei einigen Android-Herstellern falsch datierte Sicherheitspatches gefunden. So garantiert das aktuellste Patch-Level nicht unbedingt die Schließung von alten Sicherheitslücken.
Wer ein Smartphone mit einem aktuellen Patch-Level hat, wägt sich eigentlich auf der sicheren Seite. Doch wie die Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs zeigte, fehlen trotz der angeblichen Aktualität alte Patches oder das Sicherheitsupdate behebt keine der eigentlichen Lücken, sondern aktualisiert nur das Datum des Updates. Zu dem Ärgernis, dass Hersteller die Sicherheitspatches oftmals stark verzögert anbieten, kommt nun auch die Schummelei bezüglich der Patches hinzu.
1.200 Android-Samrtphones getestet
Der Untersuchung nach ist die vollkommende Sicherheit von Android-Geräten nicht automatisch an dem aktuellstem Patch festzumachen. Oft werden die Lücken nicht mit dem jeweiligem Patch geschlossen. „Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht“, sagte Karsten Nohl von Security Research Labs. Für die Untersuchung haben die Sicherheitsforscher die Firmware von 1.200 Smartphones von verschiedenen Anbietern getestet. Oft wurden einfach Sicherheitspatches übersprungen oder Fehler nicht korrigiert. Trotzdem wird den Nutzern durch die vorgegaukelten Patches ein Gefühl von Sicherheit vermittelt. Zwar bedeutet das Ergebnis der Untersuchung nicht zwangsläufig, dass die Android-Geräte besonders anfällig für Angriffe sind, allerdings wird durch die fehlenden Patches das Sicherheitsniveau entsprechend verringert.
Android dennoch geschützt
Trotz fehlender Patches sind moderne Betriebssysteme durch weitere Sicherheitsbarrieren wie etwa ASLR oder Sandboxing ausreichend geschützt. Bei einem Hacking-Angriff müssen diese Barrieren erst einmal überwunden werden, um ein Smartphone erfolgreich zu hacken. Ein paar fehlende Patches sind bei solchen komplexen Angriffen in der Regel nicht ausreichend, um ein Smartphone aus der Ferne zu hacken. Dafür müssten zahlreiche Fehler miteinander verzahnt sein, um eine für einen Hacking-Angriff ausreichende Sicherheitslücke zu schaffen.
Smartphones mit billigen Prozessoren eher betroffen
Oft sind fehlende Patches auch abhängig vom Prozessorhersteller. Besonders betroffen von übersprungenen Patchupdates sind Smartphones mit Mediatek-Prozessoren. Diese werden vor allem in preisgünstigen Geräten verbaut, welche weniger häufig aktualisiert werden. Auch stecken die Sicherheitslücken in den Prozessoren selber. Die Gerätehersteller sind darauf angewiesen, dass der Prozessorhersteller neue Patches anbietet, um eventuelle Sicherheitslücken zu schließen. Bei Mediatheken werden diese Sicherheitupdates oft nicht bereitgestellt, was dann auf Kosten der Gerätehersteller geht.
Dieser Beitrag basiert auf einem Artikel von gorem.de
Das Wichtigste in Kürze
- 1.200 Android-Samrtphones getestet Der Untersuchung nach ist die vollkommende Sicherheit von Android-Geräten nicht automatisch an dem aktuellstem Patch festzumachen.
- Für die Untersuchung haben die Sicherheitsforscher die Firmware von 1.200 Smartphones von verschiedenen Anbietern getestet.
- Das deutsche IT-Sicherheitsunternehmen Security Research Labs hat in einer Untersuchung bei einigen Android-Herstellern falsch datierte Sicherheitspatches gefunden.
- Doch wie die Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs zeigte, fehlen trotz der angeblichen Aktualität alte Patches oder das Sicherheitsupdate behebt keine der ei…
Quelle: Titelbild: iStock/PeopleImages
Fakt: 95 Prozent aller Cybersecurity-Vorfälle sind laut IBM auf menschliche Fehler zurückzuführen.
Fakt: 95 Prozent aller Cybersecurity-Vorfälle sind laut IBM auf menschliche Fehler zurückzuführen.
Key Facts
Angriffsdauer: Im Durchschnitt bleiben Angreifer 204 Tage unentdeckt im Unternehmensnetzwerk.
Mittelstand im Visier: 43 Prozent aller Cyberangriffe richten sich gegen kleine und mittlere Unternehmen.
Häufige Fragen
Was sind die häufigsten Cyberbedrohungen für Unternehmen?
Laut BSI-Lagebericht sind Ransomware, Phishing, DDoS-Angriffe und Supply-Chain-Kompromittierungen die häufigsten Bedrohungen. Für deutsche Unternehmen kommen regulatorische Risiken (DSGVO, NIS2) hinzu.
Wie viel sollte ein Unternehmen in Cybersicherheit investieren?
Branchenexperten empfehlen 10 bis 15 Prozent des IT-Budgets für Cybersicherheit. Deutsche Unternehmen liegen laut Bitkom im Durchschnitt bei 14 Prozent. Entscheidend ist nicht nur die Höhe, sondern die strategische Verteilung auf Prävention, Erkennung und Reaktion.
Braucht jedes Unternehmen einen CISO?
Nicht jedes Unternehmen braucht einen Vollzeit-CISO, aber jedes braucht eine klare Verantwortlichkeit für IT-Sicherheit auf Geschäftsführungsebene. KMU können auf einen externen CISO (Virtual CISO) zurückgreifen. Mit NIS2 wird die Management-Verantwortung gesetzlich verankert.
Verwandte Artikel
- secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
- DsiN-Jahreskongress 2026: Digitale Sicherheit in der vernetzten Gesellschaft
- Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung
Mehr aus dem MBF Media Netzwerk
- IT-Strategien für Entscheider auf digital-chiefs.de
- Mehr IT-Sicherheits-Trends auf mybusinessfuture.com
Quelle Titelbild: Pexels
