Softwareupdates/Sicherheitsupdates: Wie lange kann (könnte) ich ein Smartphone SICHER nutzen. Umgang mit EOL-Smartphones (end of life, end of support)

  • 39 Antworten
  • Neuester Beitrag
Diskutiere Softwareupdates/Sicherheitsupdates: Wie lange kann (könnte) ich ein Smartphone SICHER nutzen. Umgang mit EOL-Smartphones (end of life, end of support) im Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung im Bereich Tools.
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
Guten Morgen Forum.

Beim Thema IT-Sicherheit und Datenschutz verwirren mich ein paar Themen, es geht um die Risikobewertung von Geräte auch nach dem Auslaufen Updates, klassisch also um die Frage

"Warum soll ich mir ein neues Smartphone kaufen, das alte geht doch noch!".

Unterscheide ich Updates richtig, wo liegt die Gefahr bei weiterer Nutzung?

Softwareupdate / Sicherheitsupdate
Sicherheitslücken (Security Bulletin) im Betriebssystem werden nicht mehr behoben, d.h. Google/Android schließt diese nicht mehr. Ähnlich wie bei Windows 7 sind ggf. Sicherheitslücken öffentlich gelistet welche nicht mehr geschlossen würden.
Android-Sicherheitsbulletins | Android Open Source Project

Kann ich dies mit z.B. mit LineageOS umgehen, d.h. ich spiele ein anderes Betriebssystem auf (und lebe mit dessen Schwächen)?
LineageOS – LineageOS Android Distribution

Apps
Apps werden (nur noch) in neuester Betriebssystem unterstütz/aktualisiert, d.h. auch die weitere Nutzung stellt eine Sicherheitslücke dar. Auch ist es möglich das die Apps nicht mehr auf dem alten Betriebssystem (weiter) laufen.

Hersteller
Auch der jeweilige Hersteller hat bestimmte Hard-/Software, welche aktuell gehalten werden muss.

Wie bewertet ihr z.B. die weiter Nutzung von "end of life (EOL) Geräten"?

Danke für euer Feedback.

EDIT: Fazit/Zusammenfassung aus allen Beiträgen

and-ro-ID schrieb:
Fazit
Wer sicher (IT-Sicherheit und Datenschutz) sein muss, muss ein Gerät mit aktuellen Software- und Sicherheitsupdates nutzen.
persönliche Zusammenfassung EOL-Smartphone (end of life, end of support)
Vorweg, es wird nicht behauptet, ein EOL-Smartphone sei unbrauchbar.
Es geht um Datenschutz und IT-Sicherheit.

Softwareupdate
Sicherheitsupdate
Stichwörter/Themen zum Googeln
offene Fragen
  1. Ist ein EOL-Smartphone (wie bspw. ein ungeschützter Windows-Client) eine Gefahr für mein Netzwerk/Heim-WLAN (bspw. als Einfallstor für Angriffe)? Gab/gibt es bekannte Sicherheitslücken dazu?
 
Zuletzt bearbeitet:
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
Eigentlich
thomaspan schrieb:
Das sollte einen Teil deiner Fragen beantworten
Hatte es überflogen, so richtig schlau macht der Post nicht.

Konkretes Beispiel mit Apple iPhone 5s aus 2013:
Es läuft auf IOS12, aktuell ist IOS15, jedoch gibt es noch immer Sicherheitspatches.
Apple-Sicherheitsupdates - Apple Support (DE)
Es IOS12 nun unsicherer ggü. IOS15?
Und wie muss man es bei Android vergleichen?
 
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
Noch ein Beispiel

"Die Android-Versionen 8.1, 9, 10 und 11 sind verwundbar.
" Wer ein Android-Gerät besitzt, sollten in den Einstellungen das Security Patch Level prüfen. Steht dort 2021-10-01 oder 2021-10-05 sind die aktuellen Sicherheitspatches installiert."
Patchday: Kritische System-Sicherheitslücke bedroht mehrere Android-Versionen | heise online

Unter Telefoninfo > Softwareinformationen > Sicherheitssoftware-Version (Samsung) habe ich noch nichts mit "2021-10-01", wohl weil Samsung die S8er nicht mehr unterstützt.

Ich bin mir nicht sicher, ob ich das Gerät "sicher" weiter verwendet kann.
 
C

chk142

Lexikon
Ich persönlich halte LineageOS selbst mit Updates für unsicherer als jedes Hersteller-OS, schlichtweg, weil es viel weniger Nutzer gibt, die viel weniger über Fehler und SIcherheitslücken berichten können, und maximal 2 oder 3 Leuten an den verschiedenen Geräten sitzen, und LineageOS entwickeln und updaten.

Zu allem anderen kann ich wirklich nur mutmaßen. Und aus meiner eigenen Warte sagen, dass ich nicht einer derjenigen bin, die ihr Smartphone gleich einen Tag nach Ablauf der Updates in die Tonne werfen würde. Ich kenne Leute, die haben ein 6 oder 7 Jahre altes Gerät, und keine Probleme mit diesen. Ist das ein Beweis dafür, dass die Geräte nicht kompromittiert sind? Sicher nicht. Aber, wenn es dabei wie mit allem heutzutage ist, dann sind auch diese Sicherheitsdiskussionen zum größten Teil äußerst hysterischer Natur. Wenn ich mir allein schon anschaue, wie hysterisch auf Heise.de immer berichtet wird, und die Leute das auch noch kaufen, OMG.
 
Zuletzt bearbeitet:
Chefingenieur

Chefingenieur

Senior-Moderator
Teammitglied
@and-ro-ID
Zum S8
Wer ein Galaxy S8 oder Galaxy S8 Plus besitzt, muss sein Samsung-Handy aber jetzt nicht sofort entsorgen. Die Erfahrung mit dem noch älteren Galaxy S7 hat gezeigt, dass Updates auch noch verteilt werden, obwohl niemand mehr damit gerechnet hat. Es kommt immer darauf an, wie viele Geräte noch im Umlauf sind und aktiv genutzt werden. Samsung stellt dann meist sicher, dass zumindest ab und zu noch ein Update erscheint, das kritische Sicherheitslücken schließt. Mit dem April-Update ist man jetzt erst einmal einige Monate versorgt, sodass man das Handy ohne Probleme weiter nutzen kann. Sollte nach einem Jahr nichts mehr kommen, wäre die Überlegung zum Umstieg auf eine aktuelle Generation angebracht.
Samsung Galaxy S8 ausgemustert: Was das Update-Ende wirklich bedeutet

Wieso die der Meinung sind dass 1 Jahr lang ohne Updates kein Problem sind weiß ich allerdings nicht.

Im Grunde genommen ist es eine Sache der Wahrscheinlichkeit und des eigenen Sicherheitsgefühls.
Ist wie bei Versicherungen, der eine hat Hausrat-, Rechtsschutz-, Unfall-, Zahn- und Lebensversicherung, der andere nicht.

Wenn du größt mögliche Sicherheit haben willst musst du auf ein Gerät mit monatlichen Sicherheitsupdates umsteigen.
Du kannst aber auch dein S8 noch Jahre verwenden mit dem Stand April 21 und du merkst nichts davon.
 
Zuletzt bearbeitet:
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
Ok anders gefragt:
  1. Würde ich aus Sicht IT-Sicherheit und Datenschutz, nennen wir es "Stand der Technik", vielleicht sogar "grob fahrlässig" handeln, wenn sensible Daten von meinem wissentlich "end of life" Smartphone entwendet würden?
  2. Wäre es möglich das durch dieses Smartphone in meinem WLAN Sicherheitslücken entstehen können (schwaches Glied in der Kette)? Zum Vergleichen halte ich alle z.B. alle Windows Clients im Netzwerk stets auf den aktuellsten Stand (und wenn auch nur) mit Defender zusätzlich geschützt.
Darf ich bisher festhalten:
Kann sein, muss aber nicht: Samsung oder Apple liefert evtl. noch "ab und zu" Sicherheitsupdates nach.
 
Zuletzt bearbeitet:
Chefingenieur

Chefingenieur

Senior-Moderator
Teammitglied
and-ro-ID schrieb:
z.B. alle Windows Clients im Netzwerk stets auf den aktuellsten Stand (und wenn auch nur) mit Defender zusätzlich geschützt.
Und hast du auch alle Geräte mit CPUs vor 2019-20 ausgetauscht?
Code:
https://www.kaspersky.de/blog/35c3-spectre-meltdown-2019/18332/
and-ro-ID schrieb:
Kann sein, muss aber nicht: Samsung oder Apple liefert evtl. noch "ab und zu" Sicherheitsupdates nach.
Bei Samsung scheint es so zu sein, Apple kenne ich mich nicht aus.
 
Zuletzt bearbeitet:
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
@Chefingenieur
Sind alles 2021er Geräte, war aber Rainer's Zufall.

Oben verlinkt: Apple hatte das kürzlich 2021er September Sicherheitsupdate für dessen 2013er iPhone 5s rausgegeben, allerdings bleibt dieses bei IOS12 - vorher wusste dies aber keiner.

Nun weiß ich nicht wo ich den Cut zwischen Softwareupdate und Sicherheitsupdate machen muss, die Trennung ist mir unklar:
  • Ist ein Smartphone also wirklich sicher, wenn es keine "Softwareupdates", aber "Sicherheitsupdates" bekommt?
  • Wenn man bei Softwareupdates u.a. von aktuellem Android redet, so könnte das alte ja auch (bekannte) Sicherheitslücken enthalten, oder?
 
Zuletzt bearbeitet:
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
chk142 schrieb:
Ich persönlich halte LineageOS selbst mit Updates für unsicherer als jedes Hersteller-OS, schlichtweg, weil es viel weniger Nutzer gibt
OFF TOPIC
Ein Gegenargument wäre in dem Fall auch (ähnlich wie bei Linux), dass Hacker eine größere Zielgruppe erreichen wenn diese auf gängige Systeme losgehen. Ist LineageOS nach 18 Versionen wirklich so schlecht? Ich werde es persönlich testen.
 
C

chk142

Lexikon
Was heißt schlecht? Ich habe nicht gesagt, dass es schlecht ist, sondern, dass es meiner Auffassung nach nach gesundem Menschenverstand gar nicht so sicher und weit sein kann wie andere Systeme, an denen zum Teil über hundert Leute dran sitzen.

Übrigens, wenn du es dir tatsächlich installieren willst, dann bring Geduld mit, gute Englischkenntnisse, und sei dir bitte sicher, was du da tust, sonst könntest du schnell einen Backstein produzieren.

Um welches Gerät geht es überhaupt? Bei einigen ist es leichter, den Bootloader zu entsperren, bei anderen ist es etwas mehr Aufwand.
 
Zuletzt bearbeitet:
H

heinzl

Experte
Chefingenieur schrieb:
Spectre & Meltdown: CPU-Schwachstellen im Jahr 2019
Da lande ich auf einer Einkaufsliste von Kaspersky 😎
 
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
@chk142
Da ich hier nicht über LineageOS diskutieren möchte, passe ich mit der Frage.
Viel wichtiger scheinen mir die anderen Fragen, welche offensichtlich nicht einfach so direkt beantwortet werden können.

Ich kann hinsichtlich Risiken IT-Sicherheit und Datenschutz Softwareupdate und Sicherheitupdate nicht klar ausgrenzen.
Ich bin mir unsicher mein EOL-Smartphone weiter mit sensiblen Daten zu nutzen.
Ich bin mir unsicher dieses Gerät ins mein WLAN Netz einzubinden.
...

Im Netz finde ich nur Pauschalen, z.B. iPhone oder Goolge Pixel geben 5 Jahre Support, andere Hersteller überraschen im Nachhinein nachträglich mit Sicherheitsupdates. Ich weiß ja heute nicht ob ich morgen noch ein Update bekomme. Ich weiß auch heute nicht ob Android 11 morgen noch sicher ist, trotz Sicherheitsupdate. Worauf bezieht sich letzteres? Ein Update zur Sicherheit gibt es grundsätzlich auf für die Android-Software, welche ugs. als Softwareupdate bezeichnet wird... . ... . ... ...
 
C

chk142

Lexikon
Du bist hier auf der Suche nach einer Antwort, die dir weder hier noch sonst irgendwo im Netz gegeben werden kann. My advice: Denk nicht so viel drüber nach, sondern tu es einfach. Ich weiß ja nicht, was deine "sensiblen Daten" sind, die du so in Gefahr siehst, aber, ein Gerät wird sicher nicht wenige Wochen nach Ablauf des Updatezeitraums sofort unsicher. Selbst mehrere Monate danach nicht. Vielleicht selbst Jahre danach nicht. Eins steht jedenfalls fest: Damit, solche Ängste zu verbreiten, macht die "Fach"presse Geld, und damit macht auch eine riesige Industrie (die Sicherheitssoftwareindustrie) Geld. Von daher haben die auch gar kein Interesse daran, aufzuklären. Es lässt sich viel mehr Geld mit Angst und Schrecken verdienen, als mit harten Informationen.
 
Chefingenieur

Chefingenieur

Senior-Moderator
Teammitglied
heinzl schrieb:
Da lande ich auf einer Einkaufsliste von Kaspersky 😎
Das Forum macht den Link kaputt.
Hier zum kopieren und einfügen:
Code:
https://www.kaspersky.de/blog/35c3-spectre-meltdown-2019/18332/
Beitrag automatisch zusammengefügt:

and-ro-ID schrieb:
Ich bin mir unsicher mein EOL-Smartphone weiter mit sensiblen Daten zu nutzen.
Ich bin mir unsicher dieses Gerät ins mein WLAN Netz einzubinden.
Dann musst du tatsächlich das Gerät wechseln.
Denn niemand kann dir garantieren dass eine bekannte und bei deinem S8 nicht mehr gestopfte Sicherheitslücke ausgenutzt werden könnte. Wie ich schon schrieb kann es passieren, muss aber nicht.
and-ro-ID schrieb:
Ich weiß auch heute nicht ob Android 11 morgen noch sicher ist, trotz Sicherheitsupdate. Worauf bezieht sich letzteres?
Auf die in Android 11 bekannten Lücken, Android 12 hat diese vielleicht schon nicht mehr oder andere noch unbekannte.
Also eine neuere Android Version kann sichererer sein, schließlich lernen die Programmierer ja auch aus ihren Fehlern (bzw. sollten sie), muss aber nicht.
Es kann auch sein dass Android 12 eine dicke Lücke hat die erst Monate später entdeckt wird, die es bei 11 gar nicht gibt.
In dem Fall wäre das ältere Android sogar sicherer gewesen.

Mir persönlich wäre das Android 9 vom S8 schon grenzwertig, obwohl das letzte Sicherheitsupdate im April war, also gar nicht so lange her. Erstens würde ich mich nicht darauf verlassen wollen dass es vielleicht noch ein Update für eine kritische Lücke gibt.
Und zweitens bezweifel ich dass noch viel Energie in alte Versionen gesteckt wird.
 
Zuletzt bearbeitet:
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
chk142 schrieb:
Du bist hier auf der Suche nach einer Antwort, die dir weder hier noch sonst irgendwo im Netz gegeben werden kann.
Chefingenieur hatte ein Beispiel verlinkt, z.B. ob ich nun, je nach Nutzung (hier der Fokus auf IT-Sicherheit und Datenschutz), mein Smartphone wechseln muss. Aber ja, konkretes gibt es nicht.
Chefingenieur schrieb:
Dann musst du tatsächlich das Gerät wechseln.
Denn niemand kann dir garantieren dass eine bekannte und bei deinem S8 nicht mehr gestopfte Sicherheitslücke ausgenutzt werden könnte. Wie ich schon schrieb kann es passieren, muss aber nicht.
Danke, "kann - muss aber nicht" trifft es wohl auf den Punkt.

Zusammenfassung/Lösung: "end of life" Smartphones
  • Es ist möglich ("kann, muss aber nicht") das alte Android (oder IOS) Versionen (bekannte) Sicherheitslücken enthalten (natürlich auch neu Versionen).
  • Wer kein "Softwareupdate", also eine neue Android/IOS Version mehr bekommt, kann auf das Sicherheitsupdate hoffen, in dem noch die alte Lücke gestopft wird.
  • Wie lange aber genau Sicherheitsupdates verfügbar sind, ist eine Glaskugel-Prognose.
    • Pauschal: Apple 5 Jahre, Android - je nach Hersteller 2-5 Jahre Software- und/oder Sicherheitsupdates
      • Beispiel: Apples iPhone 5 aus 2013 bekam auch im September 2021 noch ein Sicherheitsupdate, und basiert auf IOS12 (aktuell ist IOS15). Ich würde aber dennoch nicht behaupten IOS12 ist ebenso sicher wie IOS15.
      • Google Pixel 6 (Release Oktober 2021) soll wohl auch 5 Jahre Software + Sicherheitsupdates bekommen.
      • Der Bund möchte 7 Jahre durchsetzen: Bundesregierung: Smartphones sollen sieben Jahre lang Updates erhalten | heise online
Fazit
Wer sicher (IT-Sicherheit und Datenschutz) sein muss, muss ein Gerät mit aktuellen Software- und Sicherheitsupdates nutzen. Wem IT-Sicherheit und Datenschutz egal sind, kann sein EOL-Smartphone weiter nutzen bis seine Apps nicht mehr darauf laufen.

/closed
 
Zuletzt bearbeitet:
C

chk142

Lexikon
and-ro-ID schrieb:
Fazit
Wer sicher (IT-Sicherheit und Datenschutz) sein muss, muss ein Gerät mit aktuellen Software- und Sicherheitsupdates nutzen. Wem IT-Sicherheit und Datenschutz egal sind, kann sein EOL-Smartphone weiter nutzen bis seine Apps nicht mehr darauf laufen.

/closed
Völliger Quatsch, aber, gut, du musst wissen was du für dich selbst für ein Fazit ziehst.
 
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
chk142 schrieb:
Völliger Quatsch
Berichtige uns doch gern, danke!
Aber bitte mit "völligem" Sinn.
Vielen Dank für die Teilhabe an deinem Expertenwissen.
 
Zuletzt bearbeitet:
C

chk142

Lexikon
Du ziehst einfach die völlig falschen Schlüsse. "Wem seine Daten und seine Sicherheit egal sind, der kann Smartphones nach Ablauf des EOL weiter benutzen". Wie wär's mit ein bisschen weniger schwarz-weiß? Wie ich bereits weiter oben erwähnt habe, wird ein Smartphone nicht einen Tag oder eine Woche, oder einen Monat nach Ablauf des EOL völlig unsicher.

Überleg doch einfach mal ein bisschen für dich selbst, und lass dich von deinem gesunden Menschenverstand leiten, anstatt völlig falsche Schlussfolgerungen aus Meinungen aus dem Internet zu ziehen. Wie schon gesagt, hier und auch anderswo wird dir niemand sagen können, was sicher und was unsicher ist. Denk einfach ein wenig selbst darüber nach, ob das so alles sein kann.
 
Zuletzt bearbeitet:
and-ro-ID

and-ro-ID

Ambitioniertes Mitglied
chk142 schrieb:
Das "Bunte" gibt es zu genüge, ich meine damit das "könnte sein das", "eventuell", "vielleicht",... . Ich suche Konkretes (vergeblich).
chk142 schrieb:
Wie ich bereits weiter oben erwähnt habe, wird ein Smartphone nicht einen Tag oder eine Woche, oder einen Monat nach Ablauf des EOL völlig unsicher.
Ich bin "völlig" verwirrt. Was ist der/dein Unterschied zwischen unsicher und "völlig unsicher"?
chk142 schrieb:
Überleg doch einfach mal ein bisschen für dich selbst
Lese dir nochmal das Thema durch, es geht ganz konkret um IT-Sicherheit und Datenschutz ("Stand der Technik").

Vielleicht einfacher für dich:
Stell dir vor du musst deiner Geschäftsleitung + IT-Sicherheitsbeauftragtem + Datenschutzbeauftragtem erklären, warum oder warum nicht er nun sein EOL-Smartphone weiter nutzen darf oder nicht darf, hinsichtlich IT-Sicherheit und Datenschutz.

== Was ist deine Antwort? ==

Bitte antworte in "völligem" Sinn (statt wie ich, deine Meinung nach, " völligem Quatsch"), scheinbar liege ich "völlig" daneben.
Vielen Dank für die Teilhabe an deinem Expertenwissen und "deinem gesunden Menschenverstand".
 
Zuletzt bearbeitet: