Datenschutzexperten empfehlen gerne Android als sicheres Mobilbetriebssystem. Dahinter steht eine grundlegende Affinität zu Open Source-Software und die Tatsache, dass Android bzw. das AOSP (Android Open Source Project) das einzige ernst zu nehmende quelloffene Betriebssystem in diesem Bereich ist. Dabei ist Android hinsichtlich der Sicherheit und des Datenschutzes keine gute Wahl – auch dutzende Tutorien zu der vermeintlichen Absicherung von Android ändern das nicht
Googleabhängigkeit
Android wird offiziell durch die Open Handset Alliance entwickelt und der Quellcode im Rahmen des AOSP veröffentlicht. Dies verschleiert ein wenig den dominanten Einfluss von Google auf das Projekt – ist aber nur Fassade. Ohne Google gibt es keine Fortschritte bei Android, Google entscheidet in welche Richtung sich das Projekt entwickelt und Google bestimmt den Zeitpunkt der Quellcodefreigabe. Die Community baut darum ein paar kleinere Projekte auf, aber hat auf den Kern keinen Einfluss. Transparenz sieht anders aus!
Google verdient sein Geld immer noch mit Werbung1 und wertet dazu massiv Nutzerdaten aus. Die meisten Google-Dienste sollen vor allem das Wissen über die Anwender vergrößern um ihnen noch passgenauere Angebote machen zu können. Android-Smartphones setzen dem quasi die Krone auf, weil sie mit zahlreichen Sensoren ausgestattet sind und vom Anwender permanent mit sich geführt werden.
Android, wie man es auf Smartphones vorfindet, ist zudem durchsetzt mit proprietären Apps – auch bei Herstellern die vermeintlich nahe am „nackten“ Android bleiben. Eine ganze Reihe der obligatorisch vorinstallierten Google Apps sind schließlich ebenfalls proprietär.
Besonders problematisch ist jedoch der Play Store und die Play Services von Google, die sich wie ein trojanisches Pferd in das System einnisten und Aktualisierungen am eigentlichen System vorbei vornehmen können. Der Anwender büßt hier massiv an Kontrolle über das von ihm verwende Smartphone-Betriebssystem ein.2
Updateproblematik
Das Thema Updates ist nicht neu, hat aber trotz vollmundiger Versprechungen bisher nichts von seiner Brisanz verloren. Android ist wie jedes andere Betriebssystem nicht perfekt. Bedingt durch seine dominante Stellung im Markt müssen die Entwickler mit dutzenden Sicherheitsproblemen jeden Monat kämpfen. Google gibt deshalb einen monatlichen Sicherheitsbulletin heraus.
Das Problem ist nur: Die Sicherheitsaktualisierungen erreichen den Anwender kaum. Die breite Masse der Anwender nutzt hoffnungslos veraltete Versionen mit zahlreichen bekannten Sicherheitslücken. Die Hersteller haben kaum ein Interesse daran Smartphones zu pflegen, die bereits aus dem Verkauf raus sind. Die meisten Smartphones erhalten nicht mal die 2 Jahre Updates, die ein durchschnittlicher Vertragskunde in Deutschlands sein Smartphone nutzt.3
Custom Roms
Experten preisen deshalb gerne Custom Roms als Lösung aller Probleme an. Diese würden schließlich transparent von der Community entwickelt und lange mit Updates für zahllose Geräte versorgt werden. Proprietäre Bestandteile sind in Roms wie LineageOS auch bereits eliminiert – abgesehen von Treibern und Firmware. Soweit richtig!
Wenn der Anwender aber Apps nutzen möchte bleibt ihm fast nur der Play Store. Natürlich gibt es F-Droid und Open Source Apps aber man muss schon OSS-Enthusiast sein um mit dem Angebot zufrieden zu sein. Ein Android mit F-Droid hat den Funktionsumfang eines besseren Featurephones.
Die meisten Nutzer von Custom Rom installieren daher auch das GApps-Paket, das selbst in seiner Minimalvariante natürlich Play Store und Play Services mit sich bringt. Hier schließt sich dann der Kreis zum trojanischen Pferd und der Googlebindung.
Zusammengefasst
Android ist unsicher, vor allem wenn man es nutzt wie es auf den meisten Smartphones ausgeliefert wird. Voll von proprietärer Apps, Google Diensten und mit Sicherheitslücken in allen Bereichen.
Custom Roms bieten nur eine scheinbare Lösung. Sie vermitteln dem versierten Anwender ein Gefühl von Kontrolle, das aber – sobald die GApps auf dem System sind – zu einer Illusion von Kontrolle mutiert.
Den Königsweg gibt es in dem Bereich jedoch nicht. Sailfish OS & Konsorten sind Nischensysteme mit fraglicher Zukunft. Ubuntu hat gerade das Handtuch geschmissen. Windows Mobile und iOS sind geschlossene Systeme – wenngleich vermutlich im Sicherheitsbereich deutlich besser aufgestellt als Android.
Mobile bleibt ein ganz prekärer Bereich. Die problematischsten Geräte mit dem höchsten Trackingspotenzial sind ausgestattet mit den undurchsichtigen und unsicheren Betriebssystemen.
1: Siehe Bericht von 2016: boerse.ARD – Alphabet: Die Werbung macht’s
2: Mobilsicher – Google Services – die geheime Kommandozentrale
3: netzpolitik.org – Android: Hälfte aller Geräte erhielt 2016 kein einziges Sicherheitsupdate