Android-Sicherheit: Warum Google jetzt auf Risiko-basiertes Patchen setzt
Seit 2015 veröffentlicht Google monatlich ein Android-Sicherheitsbulletin. Darin listet das Unternehmen üblicherweise zahlreiche Schwachstellen auf, die von „niedrig“ bis „kritisch“ eingestuft sind. Über Jahre hinweg war es selbstverständlich, dass jede Ausgabe mindestens einige Lücken enthielt – bis Juli 2025. Zum ersten Mal in zehn Jahren verzeichnete das Bulletin keine einzige Sicherheitslücke. Zwei Monate später kam der Gegenschlag: Im September-Bulletin tauchten ganze 119 Einträge auf.
Dieser extreme Unterschied bedeutet nicht, dass Android im Juli frei von Fehlern war. Stattdessen spiegelt er eine grundlegende Veränderung in Googles Update-Strategie wider. Ziel des neuen Ansatzes ist es, Gerätehersteller zu entlasten und gleichzeitig Nutzer schneller vor akuten Angriffen zu schützen.
Google spricht von einem „Risk-Based Update System“ (RBUS). Statt wie bisher sämtliche bekannten Schwachstellen monatlich offenzulegen, konzentriert sich das Unternehmen nun auf solche, die in der Praxis sofortige Gefahr darstellen – etwa aktiv ausgenutzte Lücken oder Bausteine von bekannten Exploit-Ketten. Alle anderen Korrekturen wandern in vierteljährliche Sammelveröffentlichungen. Dadurch schrumpfen die monatlichen Bulletins, während die Ausgaben im März, Juni, September und Dezember besonders umfangreich ausfallen.
Der klassische Ablauf bleibt im Kern bestehen: Forscher oder Partner melden Sicherheitsprobleme, Google prüft und bewertet sie, vergibt eine CVE-Kennung und entwickelt gemeinsam mit den Entdeckern Patches. Unterschiede gibt es erst beim Rollout. Während Mainline-Module über Google Play direkt aktualisiert werden können, müssen andere Komponenten weiterhin über die Hersteller ausgerollt werden. Die neuen Bulletins sollen diesen Prozess vereinfachen, da OEMs monatlich weniger Fixes testen und freigeben müssen.
Für Nutzer bedeutet der Strategiewechsel meist kaum Veränderung. Wer bereits monatliche Updates erhält, wird weiterhin versorgt – allerdings mit Fokus auf besonders kritische Lücken. Hersteller, die bisher nur vierteljährlich oder seltener aktualisierten, profitieren nun von einer klareren Struktur und können Updates effizienter bereitstellen.
Kritiker wie das Team hinter GrapheneOS sehen dennoch Risiken. Durch die verlängerte Vorlaufzeit bei den großen Quartalsupdates könnte es Angreifern theoretisch leichter fallen, vertrauliche Details frühzeitig abzufangen und Exploits zu entwickeln. Außerdem stellt Google den Quellcode für Patches nur noch vierteljährlich bereit. Das erschwert es Entwicklern von Custom-ROMs, eigene monatliche Sicherheitsupdates anzubieten.
Unterm Strich signalisiert die Umstellung, dass Google die Balance zwischen Nutzerschutz und Herstellerfreundlichkeit neu austariert. Die neue Strategie verspricht mehr Geschwindigkeit bei akuten Bedrohungen und eine bessere Verteilung der Ressourcen.
Schmidtis Blog zu Deiner bevorzugten Quelle bei Google hinzufügen
Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!
