Android-Mobilfunkmesse in Barcelona : Der Elektroschrott von morgen

Am Montag startet die weltgrößte Mobilfunkmesse in Barcelona. Doch wegen mangelnder Updates sind selbst die neuen Android-Geräte alt.

Das Problem kommt in Form einer Süßigkeitenkiste daher. Ziemlich viel Nougat ist darin, knapp ein Drittel der Kiste ist damit gefüllt. Marshmallows und Oreo-Kekse, Lollipops, Kitkats, und Kleinkram, den am besten niemand mehr essen sollte. Denn ein großer Teil der Süßigkeiten ist bereits jenseits des Mindesthaltbarkeitsdatums, einige sind erst seit ein paar Monaten abgelaufen, andere bereits seit Jahren.

Ginge es hier tatsächlich um Zuckerzeug, wäre das Problem ein überschaubares. Doch „Nougat“, „Marshmallow“ und „Lollipop“ sind Namen von Versionen von Googles Android, dem am meisten verbreiteten Smartphone-Betriebssystem. Und der Süßwarenkorb zeigt: Ein großer Teil dessen, was die Nutzer so auf ihren Telefonen installiert haben, ist ziemlich veraltet.

Wenn auf dem Mobile World Congress, der weltweit größten Mobilfunkmesse, die am heutigen Montag in Barcelona startet, die Hersteller ihre neuesten Modelle präsentieren, liegt dort vor allem eines in den Vi­trinen aus: ziemlich viel Elektronikschrott. Und weil weder die Hersteller der Geräte noch Google bislang großes Engagement zeigen, das zu ändern, gehen Verbraucherschützer und die EU nun andere Wege.

Android ist das Betriebssystem von immerhin drei Vierteln der weltweit genutzten Smartphones. Google bezifferte die Zahl der genutzten Android-Geräte bereits vor einem Jahr auf 2 Milliarden.

Saures statt Süßes

Dass bei diesen Geräten ein Update eher die Ausnahme als die Regel ist, liegt an den Smartphone-Herstellern. Denn die wollen meist nicht einfach das von Google bereitgestellte Betriebssystem nutzen. Sie ändern Teile des Systems, ­fügen eigene Apps hinzu und brauchen gegebenenfalls neue Treiber für bestimmte Hardwarekomponenten.

Für die Hersteller gibt es keinen Anreiz, diesen Aufwand nach der Markteinführung eines Gerätes noch weiterzubetreiben. Die Telefone sind dann bereits verkauft, noch einmal zahlen die Kund:innen nicht für ein aktuelles Betriebssystem. Im Gegenteil: Veraltete Software könnte Verbraucher:innen eher dazu bringen, sich ein neues Gerät zu kaufen.

Um zu begreifen, wie desaströs die Update-Politik der Hersteller ist, reicht eine einzige Zahl: 2,4 Prozent. Das ist der Anteil der weltweit genutzten Android-Smartphones, auf dem im Januar die aktuellste Version des Betriebssystems, Pie – Kuchen –, lief.

Die Zahl stammt von dem Onlinedienst Statcounter, der bei weltweit etwa 2 Millionen Webseiten untersucht, mit welchen Geräten und Systemen die Nutzer:innen darauf zugreifen, und ist daher vor allem ein Näherungswert. In der offiziellen Entwicklerstatistik für Android, die noch von Oktober datiert, taucht Pie noch nicht einmal auf.

Sicherheitsrisiko: hoch!

Doch: Je älter die Version, desto höher die Wahrscheinlichkeit, dass sie Sicherheitslücken enthält. Laut Cert-Bund, einem Team beim Bundesamt für Sicherheit in der Informationstechnik (BSI), das unter anderem aktuelle Sicherheitslücken in Software auflistet, datiert der letzte und aktuellste Fund für Android auf Anfang Februar, das Risiko stuft die Stelle als „hoch“ ein.

Noch läuft Android nur auf Smartphones und ein paar Tablets. Doch im Kommen sind Smartuhren, TV-Geräte und Autos

„Wer ein Gerät mit einem veralteten Betriebssystem kauft, geht ein enormes Risiko ein“, sagt Michelle Jahn, Juristin bei der Verbraucherzentrale Nordrhein-Westfalen. Angreifer:innen können Sicherheitslücken beispielsweise ausnutzen, um Passwörter abzugreifen, Chats und persönliche Informationen mitzulesen – und die Daten später etwa für einen Identitätsdiebstahl oder eine Erpressung verwenden.

Und die Relevanz des Themas wird künftig zunehmen. Noch läuft Android primär auf Smart­phones und ein paar Tablets. Doch im Kommen: Android auf Smartuhren, TV-Geräten und Autos. Gelingt es Angreifer:innen da, über eine Lücke auf das Steuerungssystem zu kommen, könnte das weitaus problematischer werden als ein ausgespähtes E-Mail-Passwort.

Mit dem Android-One-Programm versucht Google seit einiger Zeit, gegenzusteuern. Das verspricht: Die Smartphones bekommen drei Jahre lang Sicherheitsupdates und für zwei Jahre Updates auf neue Versionen. Ursprünglich sollte das im Jahr 2014 gestartete Programm dazu dienen, schlanke Android-Versionen auf günstige Geräte in Länder mit bislang geringer Smartphone-Dichte zu bringen.

Hersteller lehnen Programm ab

Mittlerweile scheint Google verstanden zu haben, dass regelmäßige Sicherheitsupdates auch für Nutzer:innen in Industrieländern interessant sind. Doch das Angebot ist überschaubar: Aktuell sind nicht einmal zwei Dutzend Geräte gelistet.

Warum die Hersteller kein Inte­resse daran haben, dabei zu sein? Gegenüber der taz geben sich die Unternehmen verschlossen. Marktführer Samsung zum Beispiel hat gar kein Android-One-Gerät im Programm – warum, will das Unternehmen nicht verraten. Auch HTC, das das erste Android-One-Smartphone auf den deutschen Markt brachte, erklärt bis Redaktionsschluss nicht, warum das Nachfolgemodell ohne Android One erscheint.

Dazu kommt: Wie schnell die Updates tatsächlich bei den Nutzer:innen landen, das bleibt offen. Ob es diesbezüglich Vorgaben gibt, beantwortete Google nicht. Ein weiteres Problem: Der Zeitraum der Updategarantie. Der beginnt nämlich, wie Google bestätigt, nicht mit dem Kauf des Geräts, wie eigentlich bei einer Garantie üblich. Sondern mit dem Zeitpunkt, zu dem das Gerät auf den Markt kommt.

Wer also beispielsweise im Mai 2019 ein Telefon kauft, das im August 2018 auf den Markt kam, der bekommt nur noch für gut zwei Jahre Sicherheitsupdates statt drei.

Kleine Klage, große Wirkung?

Verbraucherschützer wollen sich nicht damit abfinden, dass Updates häufig Glückssache sind. Und versuchen es auf einem alternativen Weg. So verklagte die Verbraucherzentrale Nordrhein-Westfalen eine Media-Markt-Filiale, weil diese ein Smartphone mit veraltetem Android verkaufte, ohne auf die Sicherheitslücken hinzuweisen. Am 19. März wird weiterverhandelt.

Verbraucherschützerin Jahn hofft auf eine Hebelwirkung. Darauf, dass mit einer Kennzeichnungspflicht die Kunden zu Geräten ohne Sicherheitslücken greifen. Und die Händler den Herstellern Druck machen, Updates nachzuliefern.

„Natürlich wäre es das Beste, wenn die Hersteller in die Pflicht genommen werden“, sagt Jahn. Sie müssten mindestens kennzeichnen, für wie lange sie Updates für ein bestimmtes Gerät bereitstellen werden. Besser aber noch: Sie sollten verpflichtet sein, Sicherheitsupdates für einen bestimmten Zeitraum bereitzu­stellen.

Auch das EU-Parlament hat das Problem erkannt. Parlament und Rat haben sich Ende Januar auf den Entwurf einer entsprechenden Richtlinie geeinigt. Darin soll unter anderem geregelt werden, dass die Hersteller von vernetzten Geräten – seien es Telefone, Fernseher oder Kühlschränke – für einen bestimmten Zeitraum Updates bereitstellen müssen.

Hoffnung auf die Gerichte

Was jedoch fehlt: eine genaue Vorgabe. Hersteller müssten Updates „über den Zeitraum, den Verbraucher, je nach Art und Zweck des Produkts, vernünftigerweise erwarten dürfen“ bereitstellen. Also: Das vernetzte Auto wohl länger als das Smartphone. Aber wie lange genau? Zwei Jahre für das Smartphone, drei oder fünfeinhalb? Das dürfen wohl letztlich Gerichte klären.

Wenn nicht noch die Bundesregierung in der nationalen Ausgestaltung der Richtlinie Vorgaben macht. Die stellvertretende Vorsitzende der Unionsfraktion, Nadine Schön, erklärt gegenüber der taz, eine ­Updatepflicht zu befürworten. Auch die SPD-Fraktion antwortet, man sei für eine Verpflichtung.

Doch wie lange? Da sehen beide Regierungsfraktionen noch Diskus­sionsbedarf. Bis also auf der Mobilfunkmesse statt Elektronikschrott von morgen Geräte mit einigermaßen akzeptabler Lebensdauer gezeigt werden, wird es wohl noch eine Weile dauern.