Schon seit vielen Jahren veröffentlicht Google einmal im Monat das große Android-Sicherheitsupdate, das seiner Bezeichnung entsprechend viele Sicherheitslücken stopft und Probleme behebt. Jetzt gibt es allerdings eine große Änderung, die sowohl den Umfang als auch die Häufigkeit der Updates massiv reduziert: Künftig wird es nur noch quartalsweise Updates sowie Notfall-Patches geben. Hier findet ihr alle Infos.



Das monatliche Android-Sicherheitsupdate gehört vielleicht nicht zu den Dingen, auf die die Nutzer unbedingt warten, aber dennoch ist es ein sehr wichtiger Bestandteil des Ökosystems und sorgt für eine hohe Sicherheit. Doch nur weil Google das Update veröffentlicht, heißt es noch lange nicht, dass es auch bei den Nutzern ankommt – denn das ist die Sache der Smartphone-Hersteller. Auch Google-intern liegt der Rollout beim Pixel-Team und nicht beim Android-Team.

Um Druck herauszunehmen, hat Google ohne jegliche Ankündigung ein ganz neues System eingeführt, das sich „RBUS“ (Risk-Based Update System) nennt – einfach übersetzt auf risikobasiertes Update-System. Statt wie bisher einen Stichtag zu setzen und alle bis dato fertiggestellten Patches in das monatliche Update zu bringen, wird es jetzt einen deutlich längeren Zeitraum geben. Denn die Updates sollen nur noch alle drei Monate – im März, Juni, September und Dezember – veröffentlicht werden. Eine Ausnahme bilden lediglich die hochriskanten Schwachstellen, die weiterhin einmal pro Monat veröffentlicht und ausgerollt werden sollen.

Das bedeutet, dass es zu Beginn eines jeden Monats nur noch Updates für die „hochriskanten Schwachstellen“ gibt oder diese bei akuter Gefahr auch unter dem Monat veröffentlicht werden können. Gibt es in einem Monat keine hochriskanten Schwachstellen, die bereits aktiv ausgenutzt werden, kann das Update auch einmal leer sein. Das bedeutet, dass auch fertig-entwickelte Patches trotz eines veröffentlichten Updates liegenbleiben.









Googles Intention soll es wohl sein, für die Smartphone-Hersteller etwas Druck herauszunehmen und dafür zu sorgen, dass diese mit ihren Updates hinterherkommen. Auf der anderen Seite sorgt das aber auch für einen Patch-Stau, den man aus Nutzersicht kaum nachvollziehen kann. Wer ein lästiges, aber nicht schwerwiegendes, Problem hat, muss jetzt bis zu drei Monate auf den Fix warten, selbst wenn dieser bereits bei Google in der Android-Schublade liegt. Ist das sinnvoll?

Kritiker bemängeln auch, dass dadurch viel größere Probleme entstehen können. Denn Angreifer haben dadurch sehr viel mehr Zeit, Schwachstellen auszunutzen. Und so wird auch aus einer nicht-kritischen Schwachstelle vielleicht innerhalb kürzester Zeit eine hochriskante Schwachstelle, nur weil Google gewartet hat. Ich denke daher, dass das noch nicht der Weisheit letzter Schluss sein wird.

Eine offizielle Ankündigung gibt es noch nicht. Dass das System bereits aktiv ist bzw. umgesetzt wurde, hat sich aber in den letzten drei Monaten gezeigt: Der Patch von Juli 2025 war der erste in über zehn Jahren, der keine einzige Schwachstelle gefixt hat. Der September-Patch dann hingegen gleich 119 Schwachstellen.

