Google Die faule Ausrede des Internet-Giganten

Die Stagefright-Sicherheitslücke offenbart Googles sonderbares Sicherheitsverständnis beim Android-Betriebssystem. Der Internet-Gigant muss die Sicherheit der Kunden endlich so ernst nehmen wie seine Geschäftsinteressen, fordert WirtschaftsWoche-Technik-Experte Thomas Kuhn.

Das ist Googles neues Hauptquartier
Google plant ein futuristisches Hauptquartier in Kalifornien unter gigantischen Glasdächern. Die zentrale Idee des Projekts sei Büroraum, den man frei umgestalten könne, erklärte der Internet-Konzern in einem Blogeintrag. Quelle: REUTERS
Innerhalb der langgezogenen Glaskuppeln sollen mehrstöckige Büroflächen nach Belieben umgebaut werden können – etwa wenn Teams für neue Produkte gebildet werden. Die Federführung bei dem Projekt haben der dänische Architekt Bjarke Ingels und der Brite Thomas Heatherwick. Quelle: REUTERS
Google wurde von den Gründern Larry Page und Sergey Brin einst in einer kalifornischen Garage gestartet. Aktuell sind die Google-Büros auf mehrere Gebäude-Komplexe in Mountain View verteilt, die früher von anderen Technologiefirmen genutzt wurden. Quelle: dpa
Wenn die nötigen Genehmigungen erteilt werden, sollen die ersten neuen Gebäude von Google am heutigen Sitz in Mountain View voraussichtlich zum Jahr 2020 fertig sein. Allerdings gibt es im Stadtrat von Mountain View einige Vorbehalte. So sagte ein Mitglied dem US-Sender ABC, man müsse die Folgen für den bereits starken Verkehr berücksichtigen und etwas gegen den Wohnraum-Mangel tun. Quelle: REUTERS
Google ist damit das nächste Schwergewicht der Online-Wirtschaft, das sich ein ambitioniertes neues Hauptquartier geben will. Apple baut bereits an einem riesigen kreisförmigen Gebäude in Cupertino, das Ende 2016 bezugsfertig sein soll. Quelle: REUTERS
Der Online-Händler Amazon plant in Seattle eine Zentrale in großen Glassphären, für das Entwürfe von dem renommierten Architekturbüro NBBJ stammen. Für Facebook entwarf der Stararchitekt Frank Gehry ein Haus mit bepflanztem Dach. (Foto: NBBJ) Quelle: dpa

Seit vergangener Woche ist klar: In Googles Android-Betriebssystem klafft eine Sicherheitslücke immenser Brisanz. Denn bei der vom amerikanischen IT-Sicherheitsdienstleister Zimperium publik gemachten Schwachstelle „Stagefright“ können Angreifer die Kontrolle übers Handy übernehmen, ohne dass der Nutzer das bemerkt oder etwas dagegen tun könnte. Um Android-Smartphones mit dem Schadcode zu infizieren, reicht es, eine entsprechend präparierte Multimedia-Nachricht (MMS) an das Handy zu schicken, die das Gerät dann selbstständig ausführt – und sich dabei mit dem digitalen Schädling infiziert. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt inzwischen mit Hinweis auf den hohen Gefährdungsgrad vor der Schwachstelle.

 In seinem Firmen-Blog spricht Zimperium daher von einem „Einhorn“, einer in ihrer Tragweite geradezu einzigartigen Schwachstelle, die man in Android gefunden habe. Und tatsächlich ist das kaum untertrieben. Denn die meisten bisher entdeckten Schwachstellen erforderten aktives Zutun des (unbedachten) Anwenders, um den Schädling aufs Telefon zu laden (à la „Klicken Sie hier um den Video-Player zu installieren“). Bei Stagefright dagegen reicht – neben der Empfang einer mit Schadcode geimpften MMS – wohl auch der Besuch von entsprechend präparierten Web-Seiten, wie der Antiviren-Spezialist TrendMicro demonstriert hat. Die Schwachstelle betrifft laut ihrem Entdecker Joshua Drake alle Android-Varianten ab Version 2.3 – nach vorläufigen Hochrechnungen sind damit rund 950 Millionen Android-Handys weltweit mehr oder minder stark gefährdet. Auf der IT-Sicherheits-Konferenz Black Hat hat Drake demonstriert, wie sich die Geräte infizieren lassen.

Vom Sicherheits-Problem zum Sicherheits-Skandal

 Die Sicherheitslücke alleine wäre schon dramatisch genug. Doch wie Android-Mutterschiff Google mit dem Problem umgeht, lässt das Sicherheits-Problem zum Sicherheits-Skandal werden. Zwar hat das Unternehmen am 5. August angekündigt, die Softwarelücke auf seinen eigenen Smartphones Nexus 5 und Nexus 6 kurzfristig zu stopfen, die übrigen Nexus Modelle kurz darauf ebenfalls zu aktualisieren und künftig monatlich Sicherheits-Updates für seine eigenen Geräte zu publizieren und diese auch für die lizenzfrei nutzbare Betriebssystemversion des sogenannten Android Open Source Projects (ASOP) bereitzustellen. Zusätzlich hat Google, das von Zimperium bereits Mitte April über das Problem informiert wurde, die Reparatursoftware auch seinen Hardwarepartnern angeboten, die Android-Smartphones vertreiben. So weit – so gut.

Google in Zahlen

 Denn damit hat es sich nach Google-Vorstellung offenbar. Ob und wann welcher Hersteller den Sicherheits-Patch an seine eigenen Kunden weiter gibt, darauf habe man keinen Einfluss, heißt es bei Google.

 Das ist richtig und falsch zugleich. Richtig, weil einerseits die Android-Welt geradezu erschreckend fragmentiert ist. Das zeigt ein Blick auf die Auswertung des OpenSignal-Projektes, das im laufenden Jahr bereits mehr als 24.000 unterschiedliche Android-Geräte identifiziert hat. Einen direkten Durchgriff auf die Software aller Modelle ist da tatsächlich kaum drin.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%