Google hat das Android Security Bulletin (ASB) still und leise grundlegend umgestellt. Bis vor Kurzem konnte man in jedem Monatsbericht detailliert nachlesen, welche Sicherheitslücken geschlossen wurden. 
Doch im Juli 2024 gab es plötzlich einen Bericht ohne eine einzige Schwachstelle für die Pixel-Smartphones, während der September-Bulletin ganze 119 Lücken auflistete. Das war kein Versehen, sondern der Beginn einer neuen Strategie.
Zwei Bulletins statt nur einem
Die meisten Nutzer kennen nur den öffentlichen ASB, der am ersten Montag eines Monats veröffentlicht wird. Tatsächlich gibt es aber noch eine zweite Version: ein vertrauliches Bulletin, das etwa 30 Tage früher an Hersteller und Chip-Lieferanten verschickt wird. So können diese die Patches intern testen, bevor Details öffentlich werden. Die große Neuerung: Im öffentlichen Bericht erscheinen künftig nur noch Sicherheitslücken mit wirklich hohem Risiko.
Diese Änderung ist Teil des Risk-Based Update System (RBUS). Dabei gilt der Fokus nur noch den sogenannten „High-Risk“-Schwachstellen – also Lücken, die bereits aktiv ausgenutzt werden oder die sich in einer Exploit-Kette kombinieren lassen, um Angreifern umfassenden Zugriff auf ein Gerät zu ermöglichen. Deshalb blieb der Juli-Report leer: Es gab schlicht keine akuten Bedrohungen, die sofortige Behebung erforderten.
Unterschiedliche Auswirkungen je nach Smartphone
Nicht jedes Android-Gerät erhält monatliche Patches. Premium-Modelle wie Googles Pixel oder Samsungs Galaxy-Flaggschiffe werden meist regelmäßig versorgt, während Mittelklasse- und Budget-Geräte oft nur vierteljährlich, halbjährlich oder gar nicht mehr aktualisiert werden. Für deren Besitzer entsteht so ein erhebliches Risiko: gestohlene Zugangsdaten, leere Bankkonten oder komplette Geräteübernahmen sind die Folge fehlender Updates.
Mit RBUS will Google die Dringlichkeit klarer steuern. Hersteller sollen schnell auf akute Gefahren reagieren können, während die breite Masse an Fixes in den vierteljährlichen Updates gebündelt wird. Dadurch werden manche Monatsberichte künftig leer wirken – nicht, weil Google geschlampt hat, sondern weil keine sofortige Gefahr bestand.
Was bedeutet „High Risk“ konkret?
Der neue Begriff unterscheidet sich von den bisherigen Kategorien „kritisch“ oder „hoch“. Entscheidend ist die Wahrscheinlichkeit eines Angriffs im realen Einsatz. Wird eine Schwachstelle bereits aktiv missbraucht oder kann sie Teil einer Exploit-Kette werden, landet sie im Monatsbulletin. Alles andere wandert in das nächste große Quartalsupdate.
Vorteile für die Hersteller
Für die Smartphone-Hersteller bedeutet das weniger Dauerstress. Statt jeden Monat Dutzende Patches liefern zu müssen, können sie ihre Ressourcen gezielt auf die wirklich gefährlichen Probleme konzentrieren. Das dürfte die Qualität der Updates verbessern und die Prozesse effizienter machen.
Ein Beispiel: Im Juli gab es für Pixel-Nutzer keine Sicherheits-Patches, dafür zwei funktionale Bugfixes. Samsung hingegen meldete im selben Monat 17 eigene Sicherheitslücken (SVEs) und zusätzliche Fixes aus der Halbleitersparte. Jedes Unternehmen setzt die neue Logik auf seine Weise um.
Und was bringt das den Nutzern?
Viele Smartphone-Besitzer schenken den Security Bulletins ohnehin wenig Beachtung. Pixel-Fans freuen sich mehr auf das vierteljährliche Pixel Feature Drop mit sichtbaren Neuerungen. Auch funktionale Patches, die lästige Fehler beseitigen, stoßen auf mehr Interesse. Sicherheitsupdates dagegen wirken unsichtbar: Man merkt keine Veränderungen – außer, dass Angriffe im Hintergrund blockiert werden.
Experten betonen dennoch: Installieren Sie jedes Update sofort, egal ob monatlich, vierteljährlich oder halbjährlich. Je schneller Sie aktualisieren, desto geringer die Angriffsfläche. Mit RBUS gilt das umso mehr: Erscheint ein Monats-Patch, ist er besonders dringend.
Unterm Strich entwickelt sich das Android-Sicherheitsmodell weiter. Google stellt Qualität und Reaktionsgeschwindigkeit über reine Quantität. Auch wenn leere Bulletins ungewohnt sind, heißt das nicht, dass nichts getan wird. Für Nutzer bleibt die wichtigste Regel bestehen: Updates nicht aufschieben – sie sind der unsichtbare Schutzschild gegen Cyberangriffe.
1 kommentar
hauptsache mein handy wird schnell gepatcht