«Update verfügbar» – das Pop-up auf dem Smartphone, dem Laptop, dem Smart-TV, dem Saug-Roboter. «Später erinnern» ist die meistgewählte Antwort. Das ist verständlich – Updates dauern, brechen manchmal Funktionen, und das Bedienen wird kurz unterbrochen. Trotzdem ist konsequente Update-Hygiene eine der wichtigsten Sicherheits-Massnahmen für Endanwender.
Die nüchterne Wahrheit: über 80% der erfolgreichen Cyber-Angriffe auf Endanwender und KMU nutzen Sicherheitslücken aus, für die längst Updates existieren. Wer aktuell hält, verhindert sie automatisch.
Warum Updates wirken
Sicherheitslücken werden ständig gefunden. Wenn ein Hersteller eine Lücke entdeckt (oder von Sicherheitsforschern darauf aufmerksam gemacht wird), schreibt er einen Patch. Das Update kommt raus, wird auf Geräte verteilt. Der Patch schliesst die Lücke.
Das Problem: zwischen «Lücke wird öffentlich» und «Patch ist auf jedem Gerät installiert» liegen Tage bis Wochen. Genau in diesem Fenster sind Geräte, die nicht aktualisiert wurden, leicht angreifbar – weil die Lücke öffentlich bekannt ist und Angreifer-Skripte schnell verfügbar sind.
Wer also später als andere updatet, ist überproportional gefährdet. Wer gar nicht updatet, ist langfristig auf alle Lücken anfällig, die seit Auslieferung des Geräts gefunden wurden.
Was Du wo updaten solltest
Smartphone (höchste Priorität). iOS und Android bekommen Sicherheits-Updates oft monatlich. Auto-Update aktivieren – bei iOS in den Einstellungen unter «Allgemein → Softwareupdate → Automatische Updates», bei Android unter «Einstellungen → System → Software-Update». Geräte, die seit über 2-3 Jahren keine Updates mehr bekommen, sind nicht mehr sicher zu nutzen – das betrifft viele günstige Android-Smartphones nach 18-24 Monaten.
Computer-Betriebssystem. Windows-Update, macOS-Software-Update, Linux-Update-Manager. Auto-Update aktivieren, akzeptieren dass Reboot manchmal nötig ist. Bei Windows: nicht «Updates pausieren» verwenden ausser in begründeten Fällen.
Browser. Chrome, Firefox, Safari, Edge bekommen alle 4-6 Wochen Sicherheits-Updates. In den Einstellungen prüfen, ob Auto-Update aktiv ist. Beim Starten des Browsers gelegentlich Aktualisierungs-Hinweise wahrnehmen – nicht ignorieren, sondern Browser nach Beenden neu starten.
Apps auf Smartphone und Computer. Bei iOS und Android im App Store auf Auto-Update setzen. Bei Computer-Apps: alle paar Wochen prüfen, manche Programme melden sich, manche nicht. Insbesondere: Office-Programme, PDF-Reader (Adobe Acrobat, Foxit), Antivirus-Software, VPN-Clients, Browser-Erweiterungen.
Router. Im Router-Menü (oft 192.168.1.1) gibt es eine Update-Funktion. Auto-Update aktivieren wenn vorhanden. Sonst: alle 3 Monate manuell prüfen. Router, die seit 5+ Jahren keine Updates mehr bekommen, gehören ersetzt.
Smart-Home-Geräte. In der jeweiligen Hersteller-App nach Update-Möglichkeit suchen. Bei vielen Geräten unter «Geräte-Einstellungen → Firmware». Wenn ein Hersteller seit Jahren keine Updates mehr liefert: Gerät durch ein moderneres ersetzen.
NAS / Heimserver. Synology, QNAP und andere Hersteller liefern regelmässig Updates für ihre Geräte. Im Admin-Panel aktivieren, automatische Updates für Sicherheits-Patches einschalten. NAS-Geräte sind ein häufiges Ziel, weil sie 24/7 erreichbar sind und Daten enthalten.
Was viele falsch machen
«Funktioniert doch noch.» Update-Müdigkeit. Wenn das Gerät tut, was es soll, fühlt sich Updaten nach unnötigem Aufwand. Das stimmt im Bedienungs-Sinn, im Sicherheits-Sinn ist es genau falsch. Updates schliessen Lücken, die Du selbst nicht siehst, die aber für Angreifer sichtbar sind.
Updates wegklicken. Das «später erinnern» wird zur Routine. Tipp: einmal pro Monat ein Kalender-Eintrag, «Update-Check für alle Geräte». 20 Minuten, dann fertig. Wer sich darauf einstellt, bekommt es zur Gewohnheit.
Veraltete Geräte weiternutzen. Wenn ein Hersteller die Update-Lieferung einstellt (oft 3-5 Jahre nach Markteinführung), ist das Gerät End-of-Life. Es funktioniert weiter – aber jede neu gefundene Lücke bleibt offen. Bei Smartphones, Routern, Smart-Home-Geräten ist Austausch dann wirtschaftlicher als alle Workarounds.
Apps von ausserhalb des offiziellen Store laden. Bei Android lassen sich APK-Dateien aus dem Internet installieren. Diese Apps bekommen oft keine Updates und sind häufig schon kompromittiert. Bei sehr seltenen Ausnahmen (F-Droid für Open-Source-Apps) okay – sonst lieber nicht.
Was bringt das konkret
Eine Statistik aus den letzten Jahren: bei Schweizer KMU-Vorfällen mit Ransomware war in über 60% der Fälle eine bekannte Sicherheitslücke der Eintrittspunkt – für die der Hersteller einen Patch angeboten hatte, oft Monate vorher. Wer aktuell gehalten hätte, hätte den Vorfall nicht gehabt.
Bei Endanwendern ist das Bild ähnlich. Konto-Übernahmen, Banking-Trojaner, Phishing-Schaden – die meisten Vorfälle sind nicht raffinierte Angriffe, sondern Ausnutzung längst bekannter und gepatchter Schwachstellen.
Tipp für die Umsetzung
Statt jedes Update einzeln zu betrachten: einmal pro Monat einen Update-Tag einlegen. Smartphone, Computer, Browser, Router – durchklicken. Während der Update-Phase einen Kaffee. Geht meist in unter 30 Minuten, manchmal mit einem Reboot zwischendurch.
Auto-Update wo immer möglich aktivieren – das nimmt Dir die meisten Entscheidungen ab. Was bleibt, sind die Geräte, die zwingend manuell upgedatet werden müssen (Router, manche Smart-Home-Geräte). Für die genügt der monatliche Termin.
Drei Sätze zum Mitnehmen
Updates sind die wirksamste Sicherheits-Massnahme, die meistens kostenlos kommt. Auto-Update wo möglich, monatlicher Check für den Rest. Geräte, die seit Jahren keine Updates mehr bekommen, sind nicht mehr sicher – auch wenn sie noch funktionieren.
Quellen: NCSC – Bundesamt für Cybersicherheit, Empfehlungen zur Update-Hygiene; BSI Verbraucherempfehlungen.