Softwareupdates/Sicherheitsupdates: Wie lange kann (könnte) ich ein Smartphone SICHER nutzen. Umgang mit EOL-Smartphones (end of life, end of support)

[chk142]

Ich bin "völlig" verwirrt. Was ist der/dein Unterschied zwischen unsicher und "völlig unsicher"?

Nun... du kannst über einen Bürgersteig gehen, du kannst einen Fahrradweg überqueren, du kannst eine Landstraße überqueren, und du kannst eine Autobahn überqueren. Was ist deiner Meinung nach von diesen Beispielen am unsichersten?

Deine Frage zeigt aber ziemlich deutlich auf, warum das hier alles relativ sinnlos ist. Du hältst dich an solchen Dingen auf wie, dass der eine schreibt etwas wäre "unsicher", und der nächste schreibt "total unsicher". Wie gesagt, es wird dir hier niemand sagen können, was sicher ist und was nicht. Und auch vieles, was so in der Klatschpresse rumblubbert ist nur darauf ausgelegt, eine Sensationsstory mit viel Tam-Tam zu generieren. Benutze einfach deinen gesunden Menschenverstand. Wie wahrscheinlich ist es, dass ein Smartphone einen Monat nach EOL total unsicher ist?

Und, was eigentlich noch viel, viel wichtiger ist: Mach die Gedanken über den Einfluss des Nutzers auf die Sicherheit des Geräts. Denn, immerhin ist der Einfallstor Nummer eins. Immer gewesen, und wird es immer sein.

 

[and-ro-ID]

Nun... du kannst

Damit wären wir wieder bei "könnte sein das", "eventuell", "vielleicht",... . Ich muss annehmen wir reden aneinander "völlig" vorbei, @Chefingenieur scheint aber zu wissen was ich meine.

Nochmal für dich @chk142
Es sei klar gestellt: Ich behaupte nicht ein EOL Smartphone sei "völlig" nutzlos oder "völlig" unbrauchbar oder "völlig" wertlos oder...

Mir geht es konkret um das Thema IT-Sicherheit und Datenschutz im Sinne von Nicht/Gebrauch von EOL Smartphones, jedoch ist es offensichtlich anhand deiner Antworten, dass es deine Kompetenzen übersteigt. Vielleicht möchtest du dich hier ausklinken und unsere wertvolle Zeit nicht weiter mit deinen quantitativen statt qualitativen Antworten verschwenden, in beiderseitigem Interesse.

Nichts für Ungut, aber ich bin leider nicht talentiert genug dir mein Anliegen zu vermitteln.

 

[chk142]

Na, dann lasse ich dich mal allein mit der geballten Kompetenz zu dem Thema, die hier sonst so rum läuft. Anscheinend hast du nicht ein Wort von dem verstanden, was ich dir mitteilen wollte.

 

[and-ro-ID]

Na, dann lasse ich dich mal allein

Das war leider offensichtlich das du meinen "völligen Quatsch" nicht mit "völligem Sinn" widerlegen kannst. Verschwende daher nicht unsere Zeit, "könnte sein das", "eventuell", "vielleicht",... Aussagen gibt es schon genug, ich suche konkretes. 100%ig hast du nicht ein Wort von dem verstanden, um was es hier geht.

Reib dich nicht daran auf, die Mehrheit kann mit IT-Sicherheit und Datenschutz auch nichts anfangen bzw. ist es ziemlich egal

Falls jemand im Gegensatz etwas sinnvolles beitragen kann: Ich freu mich!

 

[and-ro-ID]

Fazit
Wer sicher (IT-Sicherheit und Datenschutz) sein muss, muss ein Gerät mit aktuellen Software- und Sicherheitsupdates nutzen.

persönliche Zusammenfassung EOL-Smartphone (end of life, end of support)
Vorweg, es wird nicht behauptet, ein EOL-Smartphone sei unbrauchbar.
Es geht um Datenschutz und IT-Sicherheit.

Softwareupdate

• Es ist durchaus möglich das neue Features einer neueren Android/IOS Version die Sicherheit/Datenschutz erhöhen können. Beispiel:
  • Android 12: Der Fokus liegt auf Datenschutz und Sicherheit – das erwartet euch mit der nächsten Android-Version (stadt-bremerhaven.de)
  • iOS 15: Ultimativer Datenschutz und Sicherheit | ZDNet.de

Sicherheitsupdate

• Sicherheitslücken können in alten, und natürlich auch in neuen Betriebssystemversionen vorhanden sein und werden durch regelmäßige Sicherheitsupdates behoben.
• Wie schnell die Hersteller diese Lücken stopfen ist unterschiedlich (Google Partner,…).
• Je nach "Herstellerversprechen" werden deren Geräte bis 5 Jahre unterstützt, können (nicht müssen!) aber auch darüber hinaus weitere Sicherheitsupdates bekommen.
  • z.B: Apple iPhone 5s aus 2013 bekam ein September 2021 Sicherheitsupdate.
    • Apple-Sicherheitsupdates - Apple Support (DE)
    • Patchday: Kritische System-Sicherheitslücke bedroht mehrere Android-Versionen | heise online

Stichwörter/Themen zum Googeln

• "NitroPhone - Das sicherste Android auf dem Planeten" NitroPhone 1 | www.nitrokey.com

offene Fragen

1. Ist ein EOL-Smartphone (wie bspw. ein ungeschützter Windows-Client) eine Gefahr für mein Netzwerk/Heim-WLAN (bspw. als Einfallstor für Angriffe)? Gab/gibt es bekannte Sicherheitslücken dazu?

 

[Booth]

• Ist ein Smartphone also wirklich sicher, wenn es keine "Softwareupdates", aber "Sicherheitsupdates" bekommt?

Nichts ist sicher ausser dem Tod und der Steuer.

Kein IT Gerät ist vollständig sicher. Die grösste Unsicherheitsquelle ist der Anwender. Je wilder der rumsurft, insbesondere auch "graue" Seiten besucht und sogar Fremdsoftware aus unsicherer Quelle installiert, desto wahrscheinlicher ist ein Security-Vorfall. Auch anklicken von Links in EMails oder SMS/Messenger ist natürlich ein wichtiger Faktor. Wer nix anklickt... dem passiert auch nix (da muss man sagen dass die Mobilgeräte eh Scheisse bzgl Sicherheit sind, weil man keinw MouseOver Möglichkeit hat, also die eigentliche Ziel-URL hinter einem Link nicht sicher direkt auf dem ersten Blick erkennen kann - oder gibt's da inzwischen Lösungen?)

Die Sicherheit durch aktuelle Updates, die erhöht wird, ist bei "harmlosen" Surfverhalten eher gering. Die Wahrscheinlichkeit dass "grosse" Seiten oder Apps von bekannten Anbietern aus dem AppStore Malware enthalten ist sehr sehr sehr gering.

Aber welcher Benutzer verrät Dir schon freiwillig auf wieviel Porno- oder Kino-Seiten er rumsurft? Auch das mehrfache Anklicken von Werbelinks kann schon in einer Kaskade dazu führen, dass man auf sehr zweifelhaften Seiten landet.

Bei sehr "wilder" Nutzung kann auch ein Smartphone mit aktuellem Sicherheitspatches Malware einfangen.

Es hängt leider mind. so sehr am Nutzerverhalten wie am Patchlevel. Aus meiner Sicht sogar noch mehr.

 

[chk142]

Dein (sehr guter) Post wird hier nicht viel bringen, denn, and-ro-ID hat sich hier ein paar Sachen in den Kopf gesetzt, von denen er nicht abzubringen ist, siehe oben. Von daher kann ich nur sagen: Netter Versuch, aber, es wird nicht fruchten.

 

[and-ro-ID]

Die grösste Unsicherheitsquelle ist der Anwender.

Vielen Dank,
da gebe ich dir recht, es ist ein ganz anderes Thema und sprengt dem Rahmen, "die grösste Unsicherheitsquelle ist der Anwender" gilt auch für alle aktuellen Geräte, hier geht es aber speziell um EOL Smartphones, hinsichtlich IT-Sicherheit und Datenschutz, u.a. sind Begriffe wie z.B. DSVGO "Stand der Technik" gefallen, auch BSI ("Basisschutz") kann dazukommen.

Das checkt leider so mancher Mitleser-/schreiber auch dem dem 142. Mal nicht.

@Booth
Welcher pauschalen These könntest du dich eher anschließen:
a) Ein EOL Smartphone ist genauso sicher wie ein aktuell gepatchtes Smartphone, bei gleichem Nutzerverhalten.
b) Ein Smartphone mit aktuellem Patchlevel ist sicherer als ein EOL Smartphone, bei gleichem Nutzerverhalten.
Das Nutzerverhalten hier zu spezifizieren sprengt den Rahmen, daher bitte einfach pauschal nehmen.

PS: Vielleicht kannst ja du mit dem BSI etwas anfangen, daher mal zitiert:
"Viele Angriffe zielen auf Sicherheitslücken in der Software, die erst durch ein Update der Hersteller geschlossen werden – dazu zählen vor allem Fehler im Betriebssystem und in den Anwendungen. Aktivieren Sie die automatische Update-Funktion oder kontrollieren Sie regelmäßig, ob Aktualisierungen verfügbar sind. So sorgen Sie dafür, dass Ihr Gerät immer auf dem neuesten Stand bleibt."
Quelle: BSI - Schutz für Mobilgeräte (bund.de)

FYI: DSGVO & Datensicherheit: Was ist der Stand der Technik? (datenschutz-praxis.de)

 

[Booth]

Welcher pauschalen These könntest du dich eher anschließen:

Eine Kaufberatung ist keine wissenschaftliche Studie. Akademisch gesehen ist natürlich die Wahrscheinlichkeit, Malware einzufangen mit Sicherheitsupdates kleiner.

Aber wieviel? Das ist schlicht nicht messbar (im Sinne von unbekannt).

Kaufberatung ist immer auch subjektiv. Wenn es DIR subjektiv ganz wichtig ist, aktuelle Sicherheitsupdates zu kriegen... dann kann man Dir eigentlich nur ein iPhone empfehlen. Oh - das ist Dir zu teuer? Dann scheint Sicherheit ja doch gar nicht so wichtig zu sein.

Und da kommen wir dann zu den Abwägungen und der Prioliste die eben auch immer subjektiv ist.

Ich empfehle jedem, der sich mit Sicherheit nicht so auskennt eher, nichts geldkritisches am Smartphone zu machen (erst Recht nicht sowas wie gleichzeitig Tan-App und Bank-App auf demselben Endgerät nutzen), als dass ich ihm erzähle dass er mit aktuellen Patchlevels ein sichereres Gerät hat.

Das blöde an Psychologie ist dass unsere Hirne teilweise ganz schön bescheuert sind. Je sicherer wir uns FÜHLEN, desto unachtsamer sind wir.

Von daher... halte ich die Intensität mit der Du hier den Sicherheitsaspekt akademisieren möchtest schlicht für Übertrieben.

Zu meinem Nutzerverhalten - ich hatte vor meinem Pixel 4a mehrere Jahre ein Moto G5 plus welches im letzten Jahr (oder noch länger?) keine Updates mehr erhalten hat. Als Tablet nutze ich das uralte Galaxy Tab S2 welches noch mit Android 7 läuft und in den letzten 2 Jahren auch kaum noch Sicherheitsupdates erhält. Ich weiss aber auch ziemlich gut, was ich mit meinem Geräten alles NICHT machen sollte.

 

[and-ro-ID]

Akademisch gesehen ist natürlich die Wahrscheinlichkeit, Malware einzufangen mit Sicherheitsupdates kleiner.

Ok

Aber wieviel? Das ist schlicht nicht messbar (im Sinne von unbekannt).

Korrekt, wir wissen ja nicht welche Sicherheitslücken in Zukunft entwickelt werden. Dann ist es doch weniger Wahrscheinlich Opfer davon zu werden, wenn man aktuelle Updates beziehen darf, wie du selbst auch erkannt hast.

Kaufberatung ist immer auch subjektiv.

Um das geht es ja hier in gar nicht, also hier im Bereich "Android Sicherheit" des Forums.

Sicherheitsaspekt akademisieren

Es ist genau das Thema um das es mir geht, es zu diskutieren.
Es gibt Leitfäden der Datenschutzgrundverordnung oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI), man muss kein Akademiker sein um diese Artikel zu verstehen. Dem Mainstreamuser mag das zu "übertrieben" oder zu "hoch" sein, jedoch möchte hier hier meine Ansätze zur konstruktiven Kritik stellen.

kann man Dir eigentlich nur ein iPhone empfehlen

Warum genau?
Apple liefert wichtiges Sicherheitsupdate für iOS und iPadOS 14 nach | heise online
2021: Apples Jahr der Zero-Days | heise online
iOS 15.0.2 und watchOS 8.0.1: Viele Bugfixes – und wieder ein Exploit im Umlauf | heise online
Apple-Pay-Funktion erlaubt angeblich Geldklau von gesperrten iPhones | heise online
...

 

[Booth]

Um das geht es ja hier in gar nicht, also hier im Bereich "Android Sicherheit" des Forums.

Am Ende geht es darum ein Gerät zu benutzen, also es zu kaufen. Immer.

Wenn Du wirklich akademisch diskutieren wollen würdest, dann würdest Du direkt empirisch werden - das ist die einzige brauchbare Herangehensweise.

Wieviel Malware-Vorfälle gibt es? Wieviele davon wären durch aktuelleren Patchlevel zu verhindern gewesen? Wieviel Vorfälle wurden durch das Verhalten des Anwenders hervorgerufen und es war egel, mit welchem Patchlevel ein System ausgestattet war?

Wir haben nicht den Hauch eines Schimmers wie die Zahlen aussehen. Daher sind Deine Aussagen schlicht Vermutungen, die logisch klingen... die aber nicht mit der Realität gegengeprüft sind.

Und da Du diese Empirie nichtmal angesprochen hast, bezweifel ich ernsthaft dass es Dir darum geht, die Realität besser einschätzen zu können... sondern einfach nur ein gutes Gefühl zu haben, weil Deine Vermutung schon stimmen wird. Muss doch so sein. Sagt doch sogar das BSI. Also... irgendwie sowas.... in diese Richtung.

Erinnert sich noch jemand an die Zeiten als es für richtig angesehen wurde, Passwörter möglichst oft zu ändern? Klingt auch logisch. Rein faktisch... verringert es die Sicherheit weil die Anwender dann schlechtere Passwörter nehmen. Menschliches Verhalten ist nicht immer logisch.

 

[and-ro-ID]

Am Ende geht es darum ein Gerät zu benutzen, also es zu kaufen. Immer.

Leider falsch, im Gegenteil. Es geht mir hier weder konkret um den Kauf, vielmehr sogar um die "nicht-Nutzung" von EOL Smartphones.

verringert es die Sicherheit weil die Anwender dann schlechtere Passwörter nehmen. Menschliches Verhalten ist nicht immer logisch.

Hatten wir das schon? "Die grösste Unsicherheitsquelle ist der Anwender." Alter Hut.
Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel | heise online
Zudem ist dies eher eine organisatorischem Maßnahme.... .

 

[85950]

@and-ro-ID in deinem Einstiegsbeitrag hattest du von nitrokey geschrieben und wie sicher dies sei ....auf eine simple Aussage eines zweifelhaften whistleblowers der von Smartphones und deren Netztechnik nachweislich nicht wirklich viel Ahnung hat baut eine Firma ein Telefon (nitrokey) nach. Vergisst dabei aber mitzuteilen das auch für das genutzte Pixel 4a 2023 der Support von graphene ausläuft. Mit offiziellen eol von Google wird es sehr schwierig weiterhin Updates auszuliefern. Dann wissen die Leute von nitrokey scheinbar nicht das calyx OS auf Graphene aufsetzt und nicht zu vergleichen ist mit /e/OS oder Lineage OS. Also von nitrokey halte ich nicht viel die bauen einfach nur und haben sich etwas wissen angelesen.

Eol bedeutet nicht automatisch das es unsicher ist aber..... Es gibt eben keine Sicherheitsupdates mehr und somit ist die Wahrscheinlichkeit hoch das die installierte Software irgendwann Lücken aufweist die dann eben nicht mehr gepatcht werden. Privat mag man ein solches Gerät eventuell vielleicht noch benutzen können aber in Firmen auf keinen Fall ... Das ist der Grund warum heute die meisten Firmen iPhones nutzen bzw Samsung. Das sind die einzigen Hersteller die in den meisten Firmen zertifiziert sind.

Auch haben wir hier immer wieder User die von sogenannten Antivirenprogrammen abraten... Bei allen Firmen in denen ich unterwegs bin sind diese auf den Firmengeräten Vorschrift eben weil sie vor Phishing Versuchen schützen bzw gefährliche Webseiten und oder gefährliche WLAN melden usw usw. Würde ich immer empfehlen auch wenn die "Experten" hier wieder lachen mögen und von brain.exe anfangen.

Passwörter wechseln .... Ja kann man machen ich würde allerdings immer 2fa empfehlen doppelt hält besser

Weiter weiß ich gerade nicht was ich dazu schreiben soll

 

[and-ro-ID]

nitrokey

Vielen Dank.
Ich wollte es nur zum Thema Sicherheit erwähnt haben, da diese mit "Das sicherste Android auf dem Planeten" werben. Details dazu können gern in dem eigenen Beitrag diskutiert werden.
NitroPhone1: das sicherste Smartphone der Welt – Android-Hilfe.de

Das sind die einzigen Hersteller die in den meisten Firmen zertifiziert sind.

Wie genau sieht diese Zertifizierung von Apple und Samsung aus?
Für mich interessant warum kein Google Pixel,... .
Schlimmer als Google: Welche Daten alternative Android-Hersteller sammeln | heise online

 

[nik]

Wie genau sieht diese Zertifizierung von Apple und Samsung aus?

Apple und Samsung (mit Knox) bieten einige Features, die die Verwaltung von Smartphones vereinfachen, weswegen sie bei vielen Firmen gegenüber anderen Herstellern bevorzugt werden.

 

[and-ro-ID]

Vielen Dank,
Samsung Knox, Android Enterprise, Container Apps/Features, mobile Device Management,... sind mir u.a. aus BYOD ein Begriff, aber nicht das "Apple/Samsung in den Firmen dafür zertifiziert sind"; wie sieht diese Zertifizierung aus? Bekannt sind mir aber Vorgaben der GL/DSVGO/IT ist ein MDM zu nutzen, oder bei BYOD Container zu bilden.

Sind Samsung EOL Geräte damit sicher?
Meine Notizen dazu:

• Samsung listet hier auch EOL Geräte: Geräte secured by Knox | Samsung Knox
  • Die Knox Version (Beispiel S8 Knox V3.2.1) wird für alte Geräte nicht weiterentwickelt (Beispiel S21 Knox 3.7), welche Einschränkungen das hat könnten sicherlich ein erfahrender Knox-Administrator beantworten.
• Da diese alten Geräte aber keine Google Sicherheitsupdates mehr bekommen, würden bekannte Lücken auch nicht mehr gestopft.
  • Damit sind die Geräte theoretisch angreifbar.
  • Beispiel Samsung Knox Container: Den müsste man dann natürlich auch knacken, hier ist dann auch schon Knox 3.4 genannt, also kein weiterführender Knox Support für Samsung EOL Geräte: Knox Container (samsungknox.com)

Auch Samsung (Knox) spricht von einem


Knox for Enterprise Mobility | Samsung Knox

 

[Booth]

Er meint wohl einfach eine firmeninterne "Zertifizierung", die halt in manchen Konzernen einfach so heisst.

Übrigens bist Du wieder absolutistisch unterwegs und sorgst dadurch selber dafür dass hier kaum einer mitdiskutieren will.

Die stumpfe Frage ob "Samsung... damit sicher sind" ist ohne Relation Bullshit. Wie schon gesagt - nichts ist sicher (ohne Relativierung).
Später dann der Satz mit "theoretisch angreifbar" ist auch absolutistischer Murks. Absolut alles ist theoretisch angreifbar. Sogar der Todesstern.

 

[and-ro-ID]

absolutistisch

Die Formulierung kannst du natürlich eigens interpretieren, aus dem Kontext des Beitrags reißen,... wie du möchtest. Wenn du den Kern des Themas erst einmal verstanden hast (keine Kaufberatung, keine Analyse zum Nutzerverhalten,...) und dann sogar Sinnvolles beitragen kannst, konstruktiv, wäre ich positiv überrascht.

Beiträge automatisch zusammengeführt: 01.11.2021

mitdiskutieren will.

Ich bin mir sicher das dieses Thema, wenn überhaupt interessant, mehrheitlich nur durch Mitlesen verfolgt wird. Vielleicht auch weil es den Ottonormalverbraucher nicht wirklich interessiert. So gibt auch nicht jeder seinen destruktiven Senf ("Bullshit") dazu, zum Glück.

 

[Observer]

Mich interessiert es schon, aber mir fehlt von gewisser Seite eine gewisse . . . .Offenheit.

BSI als Beispiel anzuführen, kann man machen - wenn man allerdings weiß, wie mit deren Sicherheitsempfehlungen alleine im Bundestag (also von den "Dienern des Volkes", die wir . . . . . gewählt haben) umgegangen wird, dann braucht man sich um "Sicherheit" nicht wirklich Gedanken zu machen.

 

[and-ro-ID]

Zusammenfassung EOL-Smartphone (end of life, end of support)
Es wird nicht behauptet ein EOL-Smartphone sei unbrauchbar wenn es keine Sicherheitsupdates mehr bekommt.
Thema ist Datenschutz, Datensicherheit, IT-Sicherheit, (DSVGO), (BSI)

Softwareupdate
Softwareupdates (z.B. neue Features einer neuen Android/IOS Version) können die Sicherheit erhöhen, Beispiel:

• Android 12: Der Fokus liegt auf Datenschutz und Sicherheit – das erwartet euch mit der nächsten Android-Version (stadt-bremerhaven.de)
• iOS 15: Ultimativer Datenschutz und Sicherheit | ZDNet.de

Sicherheitsupdate

• Sicherheitslücken können in alten, und natürlich auch in neuen Betriebssystemversionen vorhanden sein und werden durch regelmäßige Sicherheitsupdates behoben.
• Wie schnell die Hersteller diese Lücken stopfen ist unterschiedlich (Google Partner,… monatlich, pro Quartal,...).
• Je nach "Herstellerversprechen" werden deren Geräte bis 5 Jahre unterstützt, können (nicht müssen!) aber auch darüber hinaus weitere Sicherheitsupdates bekommen.
  • z.B: Apple iPhone 5s aus 2013 bekam ein September 2021 Sicherheitsupdate.
    • Apple-Sicherheitsupdates - Apple Support (DE)
    • Patchday: Kritische System-Sicherheitslücke bedroht mehrere Android-Versionen | heise online

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Viele Angriffe zielen auf Sicherheitslücken in der Software, die erst durch ein Update der Hersteller geschlossen werden – dazu zählen vor allem Fehler im Betriebssystem und in den Anwendungen.
Quelle: BSI - Schutz für Mobilgeräte (bund.de)

Stichwörter zum Googeln
Android Enterprise, NitroPhone, Samsung Knox, Mobile Device Management,...

Beispiel 03.11.2021
Wer ein Android-Gerät besitzt, sollte in den Einstellungen sicherstellen, dass das Betriebssystem mit aktuellen Sicherheitsupdates ausgestattet ist. Durch das erfolgreiche Ausnutzen einer Kernel-Lücke verschaffen sich Angreifer zurzeit höhere Nutzerrechte auf verwundbaren Geräten.
...
Wenn in den System-Einstellungen von Android die Security Patch Levels 2021-11-01, 2021-11-05 oder 2021-11-06 verzeichnet sind, ist das Gerät mit den aktuellen Sicherheitsupdates ausgestattet.
Quelle: Patchday: Angreifer attackieren gezielt Android-Geräte | heise online