Android: Google revolutioniert Sicherheitsstrategie
Google stellt sein Android-Sicherheitsmodell grundlegend um: Künftig erhalten nur noch akute Bedrohungen sofortige Patches, während weniger kritische Fixes in Quartalsupdates gebündelt werden.
Google stellt sein Sicherheitsmodell für Android komplett um. Statt monatlicher Updates gibt es künftig nur noch gezielt Patches für akute Bedrohungen – ein radikaler Kurswechsel nach einem Jahrzehnt regelmäßiger Bulletins.
Das neue „Risk-Based Update System“ (RBUS) beendet die Ära pauschaler monatlicher Sicherheitsbulletins. Hochriskante Schwachstellen werden sofort gepatcht, während weniger kritische Fixes in größere Quartals-Updates zusammengefasst werden. Das Ziel dahinter? Milliarden von Android-Nutzern besser schützen, indem der Update-Prozess für Gerätehersteller drastisch vereinfacht wird.
Der Strategiewechsel wurde im Juli 2025 erstmals sichtbar: Das Android Security Bulletin (ASB) listete nach 120 Publikationen erstmals null neue Schwachstellen auf. Nach bescheidenen sechs Fixes im August folgte der große Schlag im September – 119 gepatchte Sicherheitslücken auf einen Streich.
Schluss mit dem monatlichen Flickwerk
Diese drastische Ungleichverteilung ist kein Zufall, sondern System. Künftig konzentrieren sich monatliche Updates ausschließlich auf „Hochrisiko-Bedrohungen“ – Schwachstellen, die aktiv ausgenutzt werden oder Teil bekannter Angriffsketten sind. Alle anderen Patches wandern in die großen Quartals-Updates im März, Juni, September und Dezember.
„Android und Pixel beheben kontinuierlich bekannte Sicherheitslücken und priorisieren dabei die risikoreichsten zuerst“, erklärt ein Google-Sprecher die neue Philosophie.
Kein Wunder also, dass Google diesen Schritt gewagt hat. Jahrelang kämpften viele Hersteller – besonders die mit großen Geräte-Portfolios – damit, das monatliche Update-Tempo zu halten. Die Folge: Viele Nutzer erhielten Updates verspätet oder gar nicht, während ihre Geräte längst gepatchte Schwachstellen weiter aufwiesen.
Neue Dringlichkeits-Definition
Unter dem risikobasierten System unterscheidet Google strikt zwischen der formalen Schwere einer Sicherheitslücke und ihrer tatsächlichen Bedrohung. Entscheidend ist nicht mehr die theoretische Einstufung als „kritisch“ oder „hoch“, sondern die Frage: Wird diese Lücke gerade aktiv ausgenutzt?
Diese datengetriebene Herangehensweise erlaubt es Google, dynamischer auf die sich wandelnde Bedrohungslandschaft zu reagieren. Der Kern des Schwachstellenmanagements bleibt unverändert: Forscher melden Fehler, Googles Sicherheitsteam validiert sie, vergibt CVE-Kennungen und entwickelt Patches. Neu ist nur der Zeitplan für Veröffentlichung und Verteilung.
Für Nutzer bedeutet das: Ihr Gerät zeigt vielleicht nicht mehr jeden Monat ein neues Sicherheitsupdate an, dafür sind die erhaltenen Fixes wirkungsvoller. Google versichert, dass Geräte mit monatlichem Update-Rhythmus diesen behalten. Alle anderen – besonders Budget- und Mittelklasse-Modelle – sollen von regelmäßigeren und vorhersagbareren Sicherheitsupdates profitieren.
Anzeige: Apropos Android-Sicherheit: Nicht jede Bedrohung wartet auf das nächste Hersteller-Update. Mit ein paar gezielten Einstellungen und Routinen reduzieren Sie die Angriffsfläche bei WhatsApp, Online-Banking und Shopping – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen Schritt für Schritt. Jetzt das Android‑Sicherheitspaket gratis anfordern
Branchenwandel mit Schattenseiten
Der Wechsel zu einem risikobasierten Modell könnte einen neuen Industriestandard für mobile Betriebssysteme setzen. Google erkennt damit die praktischen Herausforderungen an, ein vielfältiges, globales Ökosystem mit unzähligen Hardware- und Software-Varianten zu sichern.
Doch die neue Strategie bringt auch Nachteile mit sich. Der Quellcode für Sicherheitspatches wird künftig nur noch vierteljährlich veröffentlicht. Das erschwert der Custom-ROM-Community die Arbeit, die auf diesen Code angewiesen ist, um alternative Android-Versionen zu entwickeln und zu pflegen.
Kritiker befürchten zudem, dass die verlängerte Vorlaufzeit für nicht-kritische Patches – jetzt potenziell mehrere Monate – Angreifern theoretisch mehr Zeit gibt, Exploits für bereits behobene, aber noch nicht öffentlich detaillierte Schwachstellen zu entwickeln. Google begegnet diesem Risiko mit privaten Vorab-Bulletins für Partner, die Zeit zum Testen und Integrieren vor der öffentlichen Bekanntgabe bieten.
Anzeige: Während Google das Update-Modell umbaut, bleibt Ihr Eigenschutz entscheidend. Welche App-Berechtigungen wirklich kritisch sind, wie Sie Phishing erkennen und automatische Prüfungen aktivieren, zeigt ein kompakter Gratis-Guide – praxistauglich und auch für Einsteiger. So machen Sie Ihr Smartphone in Minuten spürbar sicherer. Kostenlosen Ratgeber „5 Schutzmaßnahmen für Android“ herunterladen
Erfolg hängt von den Herstellern ab
Ob das Risk-Based Update System funktioniert, entscheidet sich bei den Geräteherstellern. Das neue Modell soll ihre Arbeit vereinfachen – doch sie müssen mindestens die umfassenden Quartals-Updates zuverlässig ausliefern.
Android-Nutzer können sich auf deutlich umfangreichere Sicherheitsbulletins in den Quartalsmonaten einstellen. Die monatlichen Updates dazwischen werden schlanker, fokussiert auf die Abwehr akuter und unmittelbarer Bedrohungen. Dieser pragmatische Wandel spiegelt Googles gereifte Sicherheitsphilosophie wider: In einer Welt permanenter Bedrohungen haben die Gefahren höchste Priorität, die bereits vor der Tür stehen.
