Android vs. iOS: Wer wirklich sicherer ist
Android vs. iOS: Wer wirklich sicherer ist
Die Frage ist so alt wie die Smartphones selbst: Ist Android oder iOS sicherer? Proton, die Schweizer Firma hinter dem gleichnamigen Mail- und VPN-Dienst, hat in einer umfassenden Analyse beide Betriebssysteme technisch verglichen. Das Ergebnis ist vielschichtiger als die meisten erwarten.
Das Grundproblem: Offenheit gegen Kontrolle
Android läuft auf 69 Prozent aller Smartphones weltweit, iOS auf knapp 30 Prozent (in den USA allerdings auf 61 Prozent). Das allein sagt noch nichts über Sicherheit aus, aber es zeigt die Ausgangslage: Android ist ein offenes System, das von Dutzenden Herstellern verbaut wird. iOS ist ein geschlossenes System, das nur auf Apple-Hardware läuft.
Für die Sicherheit bedeutet das: Apple kontrolliert Hardware, Betriebssystem und App-Store aus einer Hand. Der Angriffsvektor ist kleiner, weil jedes Teil unter den gleichen Vorgaben läuft. Android dagegen ist fragmentiert. Updates kommen je nach Hersteller früher, später oder gar nicht.
Wo Apple vorne liegt
Boot-Kette: iOS erzwingt eine komplett gesicherte Boot-Sequenz, verankert im unwiderruflichen Boot-ROM. Firmware, die nicht von Apple signiert ist, läuft schlicht nicht. Android unterstützt ähnliche Mechanismen, aber viele Hersteller erlauben das Entsperren des Bootloaders, was die Vertrauenskette bricht.
Hardware-Sicherheit: Apples Secure Enclave ist ein dedizierter Chip für Verschlüsselungskeys und biometrische Daten, getrennt vom Hauptprozessor. Android-Geräte verwenden je nach Hersteller unterschiedliche Lösungen (Samsung Knox, Googles Titan M), bei Billiggeräten teilweise reine Software-Speicherung.
Kernel: iOS läuft mit Apples XNU-Kernel und strikter Code-Signatur. Android nutzt den Linux-Kernel, erweitert um proprietäre Treiber von Qualcomm oder MediaTek, die die Angriffsfläche vergrößern.
Updates: Apple verteilt Sicherheitsupdates sofort an alle unterstützten Geräte. Bei Android hängt die Geschwindigkeit vom Hersteller ab. Samsung und Google sind gut, viele andere nicht.
Wo Android vorne liegt
Transparenz: Der Android Open Source Project (AOSP) Kern ist öffentlich einsehbar. Sicherheitsforscher können den Code prüfen. Apples Closed-Source-Ansatz vertraut darauf, dass Apple interne Audits macht.
Flexibilität: Android erlaubt alternative App-Stores, eigene ROMs und tiefere Systemzugriffe. Für Nutzer, die ihr Gerät bewusst kontrollieren wollen, ist das ein echter Vorteil. Für alle anderen ein Risiko.
Samsung als Sonderfall: Samsung macht fast ein Drittel aller Android-Geräte und liefert Updates, die oft mit Apples Zeittabelle mithalten. Für Galaxy-S-Geräte der letzten drei Jahre gilt die pauschale Aussage, Android sei unsicherer, so nicht. Wer ein älteres oder billigeres Samsung-Gerät nutzt, sieht allerdings ein anderes Bild.
Die vergessene Alternative: GrapheneOS
Wer Sicherheit ernst nimmt und kein Apple-Ökosystem will, sollte sich GrapheneOS anschauen. Das auf Pixel-Geräten laufende Open-Source-Betriebssystem bietet härtere Sandbox-Mechanismen als Standard-Android, kompiliert mit memory-safe Sprachen und verzichtet auf Google-Dienste. Für Datenschutz-orientierte Nutzer ist das derzeit die technisch sauberste Lösung auf Android-Basis.
Der Haken: Ohne Google-Dienste funktioniert Banking in vielen Fällen nicht, und der Einrichtungsaufwand ist erheblich. Wer das scheut, ist mit einem iPhone in der Standardeinstellung besser bedient.
Das Cloud-Problem, das beide ignorieren
Protons Analyse erwähnt es am Rande, aber es ist eigentlich der Elefant im Raum: Google und Apple haben theoretisch Zugriff auf unverschlüsselte Backups ihrer Nutzer. Wer sein iPhone oder Android-Handy über die Standard-Einstellungen einrichtet, landet automatisch in iCloud oder Google Drive, ohne Verschlüsselung.
Apple bietet mit „Advanced Data Protection" Ende-zu-Ende-Verschlüsselung an, Google mit „One-Backup-Verschlüsselung". Aber beides ist standardmäßig aus. Die meisten Nutzer wissen das nicht. Für sie sind die Backups „sicher", weil sie bei Apple oder Google liegen. Das Gegenteil ist der Fall.
Was heißt das für deutsche Nutzer konkret?
Neues Handy kaufen? Nimm entweder ein iPhone oder ein aktuelles Google Pixel beziehungsweise Samsung Galaxy der S-Serie. Billiggeräte von No-Name-Herstellern bekommen selten bis nie Updates und sind die größte Sicherheitslücke.
2FA aktivieren. Jetzt. Überall. Banking, E-Mail, Cloud-Speicher, Soziale Medien. Hardware-Keys wie ein YubiKey sind am besten, eine Authenticator-App wie Aegis oder Raivo reicht. SMS-basierte 2FA ist immer noch besser als gar keine.
Cloud-Backups verschlüsseln. Bei Apple: „Advanced Data Protection" in den iCloud-Einstellungen aktivieren. Bei Google: „One-Backup-Verschlüsselung" einschalten. Beides dauert zwei Minuten und schützt vor Datenzugriff durch den Anbieter. Oder: Backup lokal auf dem PC machen und die Cloud ganz weglassen.
Freiheit mit Sicherheit verwechseln. Offenes Android, alternative App-Stores und Custom-ROMs klingen nach Kontrolle. Das bringt aber nur etwas, wenn man weiß, was man tut. Wer keine Custom-ROM flashen kann, sollte bei der Standard-Konfiguration von Apple, Google oder Samsung bleiben und die Sicherheitseinstellungen nutzen, die da sind.
Baseband: Der Funkmodem-Prozessor läuft eigenständige Firmware mit erhöhten Rechten und ist von außen erreichbar. Bei kompromittiertem Baseband nützt die beste Kernel-Sicherung nichts. Dieses Problem betrifft beide Systeme gleichermaßen.
Phishing und Social Engineering: Die meisten Angriffe auf Smartphones passieren nicht auf Betriebssystemebene. Phishing-Nachrichten, betrügerische Apps und Social Engineering funktionieren auf beiden Plattformen gleich gut.
Die ehrliche Antwort
Protons Fazit lässt sich in einem Satz zusammenfassen: iOS ist standardmäßig sicherer, Android kann bei der richtigen Wahl des Herstellers gleichziehen. Das stimmt technisch. Es ist aber nur die halbe Wahrheit.
Die andere Hälfte: Sicherheit ist kein Feature, das man kaufen kann. Wer ein iPhone kauft, aber jede App mit vollen Rechten installiert, Cloud-Backups unverschlüsselt lässt und auf Phishing-Mails klickt, ist unsicherer als jemand mit einem 200-Euro-Android, der Updates installiert und nachdenkt, bevor er tippt.
Ich betreue IT-Infrastruktur beruflich. In der Praxis sehe ich selten Kompromittierungen durch Sicherheitslücken im Betriebssystem. Die meisten Vorfälle beginnen mit einem Menschen, der auf einen Link geklickt hat, der nicht hätte sein sollen. Das passiert auf iPhone und Android gleichermaßen.
Was mir bei Protons Analyse fehlt: Der Fokus auf das, was die meisten Nutzer wirklich tun. Die technischen Unterschiede zwischen Secure Enclave und Titan M sind relevant für Sicherheitsforscher. Für meine Mutter ist relevant, ob sie die automatischen Updates an oder aus hat. Und ob sie ihr Google-Konto mit Passwort alleine oder mit 2FA gesichert hat.
Mein Rat, und den gebe ich seit Jahren: Nimm das Gerät, das du konfigurieren kannst und willst. Wenn du dich nicht kümmern willst, nimm ein iPhone und mach 2FA an. Wenn du dich kümmern willst, nimm ein Google Pixel mit GrapheneOS und spare dir die Cloud-Backups. Wenn du Samsung nimmst, bleib bei der S-Serie und halte die Geräte konsequent aktuell.
Und aktiviere überall Zwei-Faktor-Authentifizierung. Überall. Das ist der einzige Tipp, der auf beiden Plattformen mehr bringt als jeder technische Vergleich.
Quellen: Proton: Android vs. iOS Security