Softwareupdates/Sicherheitsupdates: Wie lange kann (könnte) ich ein Smartphone SICHER nutzen. Umgang mit EOL-Smartphones (end of life, end of support)

[and-ro-ID]

Guten Morgen Forum.

Beim Thema IT-Sicherheit und Datenschutz verwirren mich ein paar Themen, es geht um die Risikobewertung von Geräte auch nach dem Auslaufen Updates, klassisch also um die Frage

"Warum soll ich mir ein neues Smartphone kaufen, das alte geht doch noch!".

Spoiler

Unterscheide ich Updates richtig, wo liegt die Gefahr bei weiterer Nutzung?

Softwareupdate / Sicherheitsupdate
Sicherheitslücken (Security Bulletin) im Betriebssystem werden nicht mehr behoben, d.h. Google/Android schließt diese nicht mehr. Ähnlich wie bei Windows 7 sind ggf. Sicherheitslücken öffentlich gelistet welche nicht mehr geschlossen würden.
Android-Sicherheitsbulletins | Android Open Source Project

Kann ich dies mit z.B. mit LineageOS umgehen, d.h. ich spiele ein anderes Betriebssystem auf (und lebe mit dessen Schwächen)?
LineageOS – LineageOS Android Distribution

Apps
Apps werden (nur noch) in neuester Betriebssystem unterstütz/aktualisiert, d.h. auch die weitere Nutzung stellt eine Sicherheitslücke dar. Auch ist es möglich das die Apps nicht mehr auf dem alten Betriebssystem (weiter) laufen.

Hersteller
Auch der jeweilige Hersteller hat bestimmte Hard-/Software, welche aktuell gehalten werden muss.

Wie bewertet ihr z.B. die weiter Nutzung von "end of life (EOL) Geräten"?

Danke für euer Feedback.

EDIT: Fazit/Zusammenfassung aus allen Beiträgen

Fazit
Wer sicher (IT-Sicherheit und Datenschutz) sein muss, muss ein Gerät mit aktuellen Software- und Sicherheitsupdates nutzen.

persönliche Zusammenfassung EOL-Smartphone (end of life, end of support)
Vorweg, es wird nicht behauptet, ein EOL-Smartphone sei unbrauchbar.
Es geht um Datenschutz und IT-Sicherheit.

Softwareupdate

• Es ist durchaus möglich das neue Features einer neueren Android/IOS Version die Sicherheit/Datenschutz erhöhen können. Beispiel:
  • Android 12: Der Fokus liegt auf Datenschutz und Sicherheit – das erwartet euch mit der nächsten Android-Version (stadt-bremerhaven.de)
  • iOS 15: Ultimativer Datenschutz und Sicherheit | ZDNet.de

Sicherheitsupdate

• Sicherheitslücken können in alten, und natürlich auch in neuen Betriebssystemversionen vorhanden sein und werden durch regelmäßige Sicherheitsupdates behoben.
• Wie schnell die Hersteller diese Lücken stopfen ist unterschiedlich (Google Partner,…).
• Je nach "Herstellerversprechen" werden deren Geräte bis 5 Jahre unterstützt, können (nicht müssen!) aber auch darüber hinaus weitere Sicherheitsupdates bekommen.
  • z.B: Apple iPhone 5s aus 2013 bekam ein September 2021 Sicherheitsupdate.
    • Apple-Sicherheitsupdates - Apple Support (DE)
    • Patchday: Kritische System-Sicherheitslücke bedroht mehrere Android-Versionen | heise online

Stichwörter/Themen zum Googeln

• "NitroPhone - Das sicherste Android auf dem Planeten" NitroPhone 1 | www.nitrokey.com

offene Fragen

1. Ist ein EOL-Smartphone (wie bspw. ein ungeschützter Windows-Client) eine Gefahr für mein Netzwerk/Heim-WLAN (bspw. als Einfallstor für Angriffe)? Gab/gibt es bekannte Sicherheitslücken dazu?

 

[thomaspan]

Das sollte einen Teil deiner Fragen beantworten

https://www.android-hilfe.de/forum/...-upgrade-zeitraum-abgelaufen-sind.947276.html

 

[and-ro-ID]

Eigentlich

Das sollte einen Teil deiner Fragen beantworten

Hatte es überflogen, so richtig schlau macht der Post nicht.

Konkretes Beispiel mit Apple iPhone 5s aus 2013:
Es läuft auf IOS12, aktuell ist IOS15, jedoch gibt es noch immer Sicherheitspatches.
Apple-Sicherheitsupdates - Apple Support (DE)
Es IOS12 nun unsicherer ggü. IOS15?
Und wie muss man es bei Android vergleichen?

 

[and-ro-ID]

Noch ein Beispiel

"Die Android-Versionen 8.1, 9, 10 und 11 sind verwundbar.
" Wer ein Android-Gerät besitzt, sollten in den Einstellungen das Security Patch Level prüfen. Steht dort 2021-10-01 oder 2021-10-05 sind die aktuellen Sicherheitspatches installiert."
Patchday: Kritische System-Sicherheitslücke bedroht mehrere Android-Versionen | heise online

Unter Telefoninfo > Softwareinformationen > Sicherheitssoftware-Version (Samsung) habe ich noch nichts mit "2021-10-01", wohl weil Samsung die S8er nicht mehr unterstützt.

Ich bin mir nicht sicher, ob ich das Gerät "sicher" weiter verwendet kann.

 

[chk142]

Ich persönlich halte LineageOS selbst mit Updates für unsicherer als jedes Hersteller-OS, schlichtweg, weil es viel weniger Nutzer gibt, die viel weniger über Fehler und SIcherheitslücken berichten können, und maximal 2 oder 3 Leuten an den verschiedenen Geräten sitzen, und LineageOS entwickeln und updaten.

Zu allem anderen kann ich wirklich nur mutmaßen. Und aus meiner eigenen Warte sagen, dass ich nicht einer derjenigen bin, die ihr Smartphone gleich einen Tag nach Ablauf der Updates in die Tonne werfen würde. Ich kenne Leute, die haben ein 6 oder 7 Jahre altes Gerät, und keine Probleme mit diesen. Ist das ein Beweis dafür, dass die Geräte nicht kompromittiert sind? Sicher nicht. Aber, wenn es dabei wie mit allem heutzutage ist, dann sind auch diese Sicherheitsdiskussionen zum größten Teil äußerst hysterischer Natur. Wenn ich mir allein schon anschaue, wie hysterisch auf Heise.de immer berichtet wird, und die Leute das auch noch kaufen, OMG.

 

[Chefingenieur]

@and-ro-ID
Zum S8

Wer ein Galaxy S8 oder Galaxy S8 Plus besitzt, muss sein Samsung-Handy aber jetzt nicht sofort entsorgen. Die Erfahrung mit dem noch älteren Galaxy S7 hat gezeigt, dass Updates auch noch verteilt werden, obwohl niemand mehr damit gerechnet hat. Es kommt immer darauf an, wie viele Geräte noch im Umlauf sind und aktiv genutzt werden. Samsung stellt dann meist sicher, dass zumindest ab und zu noch ein Update erscheint, das kritische Sicherheitslücken schließt. Mit dem April-Update ist man jetzt erst einmal einige Monate versorgt, sodass man das Handy ohne Probleme weiter nutzen kann. Sollte nach einem Jahr nichts mehr kommen, wäre die Überlegung zum Umstieg auf eine aktuelle Generation angebracht.

Samsung Galaxy S8 ausgemustert: Was das Update-Ende wirklich bedeutet

Wieso die der Meinung sind dass 1 Jahr lang ohne Updates kein Problem sind weiß ich allerdings nicht.

Im Grunde genommen ist es eine Sache der Wahrscheinlichkeit und des eigenen Sicherheitsgefühls.
Ist wie bei Versicherungen, der eine hat Hausrat-, Rechtsschutz-, Unfall-, Zahn- und Lebensversicherung, der andere nicht.

Wenn du größt mögliche Sicherheit haben willst musst du auf ein Gerät mit monatlichen Sicherheitsupdates umsteigen.
Du kannst aber auch dein S8 noch Jahre verwenden mit dem Stand April 21 und du merkst nichts davon.

 

[and-ro-ID]

Ok anders gefragt:

1. Würde ich aus Sicht IT-Sicherheit und Datenschutz, nennen wir es "Stand der Technik", vielleicht sogar "grob fahrlässig" handeln, wenn sensible Daten von meinem wissentlich "end of life" Smartphone entwendet würden?
2. Wäre es möglich das durch dieses Smartphone in meinem WLAN Sicherheitslücken entstehen können (schwaches Glied in der Kette)? Zum Vergleichen halte ich alle z.B. alle Windows Clients im Netzwerk stets auf den aktuellsten Stand (und wenn auch nur) mit Defender zusätzlich geschützt.

Darf ich bisher festhalten:
Kann sein, muss aber nicht: Samsung oder Apple liefert evtl. noch "ab und zu" Sicherheitsupdates nach.

 

[Chefingenieur]

z.B. alle Windows Clients im Netzwerk stets auf den aktuellsten Stand (und wenn auch nur) mit Defender zusätzlich geschützt.

Und hast du auch alle Geräte mit CPUs vor 2019-20 ausgetauscht?

https://www.kaspersky.de/blog/35c3-spectre-meltdown-2019/18332/

Kann sein, muss aber nicht: Samsung oder Apple liefert evtl. noch "ab und zu" Sicherheitsupdates nach.

Bei Samsung scheint es so zu sein, Apple kenne ich mich nicht aus.

 

[and-ro-ID]

@Chefingenieur
Sind alles 2021er Geräte, war aber Rainer's Zufall.

Oben verlinkt: Apple hatte das kürzlich 2021er September Sicherheitsupdate für dessen 2013er iPhone 5s rausgegeben, allerdings bleibt dieses bei IOS12 - vorher wusste dies aber keiner.

Nun weiß ich nicht wo ich den Cut zwischen Softwareupdate und Sicherheitsupdate machen muss, die Trennung ist mir unklar:

• Ist ein Smartphone also wirklich sicher, wenn es keine "Softwareupdates", aber "Sicherheitsupdates" bekommt?
• Wenn man bei Softwareupdates u.a. von aktuellem Android redet, so könnte das alte ja auch (bekannte) Sicherheitslücken enthalten, oder?

 

[and-ro-ID]

Ich persönlich halte LineageOS selbst mit Updates für unsicherer als jedes Hersteller-OS, schlichtweg, weil es viel weniger Nutzer gibt

OFF TOPIC
Ein Gegenargument wäre in dem Fall auch (ähnlich wie bei Linux), dass Hacker eine größere Zielgruppe erreichen wenn diese auf gängige Systeme losgehen. Ist LineageOS nach 18 Versionen wirklich so schlecht? Ich werde es persönlich testen.

 

[chk142]

Was heißt schlecht? Ich habe nicht gesagt, dass es schlecht ist, sondern, dass es meiner Auffassung nach nach gesundem Menschenverstand gar nicht so sicher und weit sein kann wie andere Systeme, an denen zum Teil über hundert Leute dran sitzen.

Übrigens, wenn du es dir tatsächlich installieren willst, dann bring Geduld mit, gute Englischkenntnisse, und sei dir bitte sicher, was du da tust, sonst könntest du schnell einen Backstein produzieren.

Um welches Gerät geht es überhaupt? Bei einigen ist es leichter, den Bootloader zu entsperren, bei anderen ist es etwas mehr Aufwand.

 

[heinzl]

Spectre & Meltdown: CPU-Schwachstellen im Jahr 2019

Da lande ich auf einer Einkaufsliste von Kaspersky

 

[and-ro-ID]

@chk142
Da ich hier nicht über LineageOS diskutieren möchte, passe ich mit der Frage.
Viel wichtiger scheinen mir die anderen Fragen, welche offensichtlich nicht einfach so direkt beantwortet werden können.

Ich kann hinsichtlich Risiken IT-Sicherheit und Datenschutz Softwareupdate und Sicherheitupdate nicht klar ausgrenzen.
Ich bin mir unsicher mein EOL-Smartphone weiter mit sensiblen Daten zu nutzen.
Ich bin mir unsicher dieses Gerät ins mein WLAN Netz einzubinden.
...

Im Netz finde ich nur Pauschalen, z.B. iPhone oder Goolge Pixel geben 5 Jahre Support, andere Hersteller überraschen im Nachhinein nachträglich mit Sicherheitsupdates. Ich weiß ja heute nicht ob ich morgen noch ein Update bekomme. Ich weiß auch heute nicht ob Android 11 morgen noch sicher ist, trotz Sicherheitsupdate. Worauf bezieht sich letzteres? Ein Update zur Sicherheit gibt es grundsätzlich auf für die Android-Software, welche ugs. als Softwareupdate bezeichnet wird... . ... . ... ...

 

[chk142]

Du bist hier auf der Suche nach einer Antwort, die dir weder hier noch sonst irgendwo im Netz gegeben werden kann. My advice: Denk nicht so viel drüber nach, sondern tu es einfach. Ich weiß ja nicht, was deine "sensiblen Daten" sind, die du so in Gefahr siehst, aber, ein Gerät wird sicher nicht wenige Wochen nach Ablauf des Updatezeitraums sofort unsicher. Selbst mehrere Monate danach nicht. Vielleicht selbst Jahre danach nicht. Eins steht jedenfalls fest: Damit, solche Ängste zu verbreiten, macht die "Fach"presse Geld, und damit macht auch eine riesige Industrie (die Sicherheitssoftwareindustrie) Geld. Von daher haben die auch gar kein Interesse daran, aufzuklären. Es lässt sich viel mehr Geld mit Angst und Schrecken verdienen, als mit harten Informationen.

 

[Chefingenieur]

Da lande ich auf einer Einkaufsliste von Kaspersky

Das Forum macht den Link kaputt.
Hier zum kopieren und einfügen:

https://www.kaspersky.de/blog/35c3-spectre-meltdown-2019/18332/

Beiträge automatisch zusammengeführt: 07.10.2021

Ich bin mir unsicher mein EOL-Smartphone weiter mit sensiblen Daten zu nutzen.
Ich bin mir unsicher dieses Gerät ins mein WLAN Netz einzubinden.

Dann musst du tatsächlich das Gerät wechseln.
Denn niemand kann dir garantieren dass eine bekannte und bei deinem S8 nicht mehr gestopfte Sicherheitslücke ausgenutzt werden könnte. Wie ich schon schrieb kann es passieren, muss aber nicht.

Ich weiß auch heute nicht ob Android 11 morgen noch sicher ist, trotz Sicherheitsupdate. Worauf bezieht sich letzteres?

Auf die in Android 11 bekannten Lücken, Android 12 hat diese vielleicht schon nicht mehr oder andere noch unbekannte.
Also eine neuere Android Version kann sichererer sein, schließlich lernen die Programmierer ja auch aus ihren Fehlern (bzw. sollten sie), muss aber nicht.
Es kann auch sein dass Android 12 eine dicke Lücke hat die erst Monate später entdeckt wird, die es bei 11 gar nicht gibt.
In dem Fall wäre das ältere Android sogar sicherer gewesen.

Mir persönlich wäre das Android 9 vom S8 schon grenzwertig, obwohl das letzte Sicherheitsupdate im April war, also gar nicht so lange her. Erstens würde ich mich nicht darauf verlassen wollen dass es vielleicht noch ein Update für eine kritische Lücke gibt.
Und zweitens bezweifel ich dass noch viel Energie in alte Versionen gesteckt wird.

 

[and-ro-ID]

Du bist hier auf der Suche nach einer Antwort, die dir weder hier noch sonst irgendwo im Netz gegeben werden kann.

Chefingenieur hatte ein Beispiel verlinkt, z.B. ob ich nun, je nach Nutzung (hier der Fokus auf IT-Sicherheit und Datenschutz), mein Smartphone wechseln muss. Aber ja, konkretes gibt es nicht.

Dann musst du tatsächlich das Gerät wechseln.
Denn niemand kann dir garantieren dass eine bekannte und bei deinem S8 nicht mehr gestopfte Sicherheitslücke ausgenutzt werden könnte. Wie ich schon schrieb kann es passieren, muss aber nicht.

Danke, "kann - muss aber nicht" trifft es wohl auf den Punkt.

Zusammenfassung/Lösung: "end of life" Smartphones

• Es ist möglich ("kann, muss aber nicht") das alte Android (oder IOS) Versionen (bekannte) Sicherheitslücken enthalten (natürlich auch neu Versionen).
• Wer kein "Softwareupdate", also eine neue Android/IOS Version mehr bekommt, kann auf das Sicherheitsupdate hoffen, in dem noch die alte Lücke gestopft wird.
• Wie lange aber genau Sicherheitsupdates verfügbar sind, ist eine Glaskugel-Prognose.
  • Pauschal: Apple 5 Jahre, Android - je nach Hersteller 2-5 Jahre Software- und/oder Sicherheitsupdates
    • Beispiel: Apples iPhone 5 aus 2013 bekam auch im September 2021 noch ein Sicherheitsupdate, und basiert auf IOS12 (aktuell ist IOS15). Ich würde aber dennoch nicht behaupten IOS12 ist ebenso sicher wie IOS15.
    • Google Pixel 6 (Release Oktober 2021) soll wohl auch 5 Jahre Software + Sicherheitsupdates bekommen.
    • Der Bund möchte 7 Jahre durchsetzen: Bundesregierung: Smartphones sollen sieben Jahre lang Updates erhalten | heise online

Fazit
Wer sicher (IT-Sicherheit und Datenschutz) sein muss, muss ein Gerät mit aktuellen Software- und Sicherheitsupdates nutzen. Wem IT-Sicherheit und Datenschutz egal sind, kann sein EOL-Smartphone weiter nutzen bis seine Apps nicht mehr darauf laufen.

/closed

 

[chk142]

Fazit
Wer sicher (IT-Sicherheit und Datenschutz) sein muss, muss ein Gerät mit aktuellen Software- und Sicherheitsupdates nutzen. Wem IT-Sicherheit und Datenschutz egal sind, kann sein EOL-Smartphone weiter nutzen bis seine Apps nicht mehr darauf laufen.

/closed

Völliger Quatsch, aber, gut, du musst wissen was du für dich selbst für ein Fazit ziehst.

 

[and-ro-ID]

Völliger Quatsch

Berichtige uns doch gern, danke!
Aber bitte mit "völligem" Sinn.
Vielen Dank für die Teilhabe an deinem Expertenwissen.

 

[chk142]

Du ziehst einfach die völlig falschen Schlüsse. "Wem seine Daten und seine Sicherheit egal sind, der kann Smartphones nach Ablauf des EOL weiter benutzen". Wie wär's mit ein bisschen weniger schwarz-weiß? Wie ich bereits weiter oben erwähnt habe, wird ein Smartphone nicht einen Tag oder eine Woche, oder einen Monat nach Ablauf des EOL völlig unsicher.

Überleg doch einfach mal ein bisschen für dich selbst, und lass dich von deinem gesunden Menschenverstand leiten, anstatt völlig falsche Schlussfolgerungen aus Meinungen aus dem Internet zu ziehen. Wie schon gesagt, hier und auch anderswo wird dir niemand sagen können, was sicher und was unsicher ist. Denk einfach ein wenig selbst darüber nach, ob das so alles sein kann.

 

[and-ro-ID]

schwarz-weiß

Das "Bunte" gibt es zu genüge, ich meine damit das "könnte sein das", "eventuell", "vielleicht",... . Ich suche Konkretes (vergeblich).

Wie ich bereits weiter oben erwähnt habe, wird ein Smartphone nicht einen Tag oder eine Woche, oder einen Monat nach Ablauf des EOL völlig unsicher.

Ich bin "völlig" verwirrt. Was ist der/dein Unterschied zwischen unsicher und "völlig unsicher"?

Überleg doch einfach mal ein bisschen für dich selbst

Lese dir nochmal das Thema durch, es geht ganz konkret um IT-Sicherheit und Datenschutz ("Stand der Technik").

Vielleicht einfacher für dich:
Stell dir vor du musst deiner Geschäftsleitung + IT-Sicherheitsbeauftragtem + Datenschutzbeauftragtem erklären, warum oder warum nicht er nun sein EOL-Smartphone weiter nutzen darf oder nicht darf, hinsichtlich IT-Sicherheit und Datenschutz.
== Was ist deine Antwort? ==

Bitte antworte in "völligem" Sinn (statt wie ich, deine Meinung nach, " völligem Quatsch"), scheinbar liege ich "völlig" daneben.
Vielen Dank für die Teilhabe an deinem Expertenwissen und "deinem gesunden Menschenverstand".