Google hat auf seinem Android-Blog eine umfangreiche Übersicht neuer Sicherheits- und Datenschutzfunktionen für 2026 veröffentlicht. Für IT-Verantwortliche in Unternehmen sind dabei vor allem die Neuerungen rund um Android Enterprise, forensische Protokollierung und den Schutz vor Gerätediebstahl relevant, da sie Firmen-Smartphones direkt absichern und die Aufarbeitung von Sicherheitsvorfällen erleichtern.

Android Advanced Protection jetzt steuerbar

Eines der wichtigsten Signale für den Enterprise-Bereich steckt eher unauffällig in der Ankündigung: Mit Android 17 plant Google, Android Advanced Protection über Android Enterprise auch per Richtlinie für verwaltete Geräte aktivierbar zu machen. Bisher ließ sich der Modus nur manuell durch einzelne Nutzer einschalten. Für IT-Admins bedeutet das künftig die Möglichkeit, die stärksten verfügbaren Schutzmechanismen zentral auszurollen, ohne auf das Zutun jedes einzelnen Mitarbeiters angewiesen zu sein.

Advanced Protection deaktiviert unter anderem den Zugriff auf Accessibility Services für nicht als solche klassifizierte Apps, schaltet Device-to-Device-Entsperrung ab und integriert eine Betrugserkennung für Chat-Benachrichtigungen. USB-Schutz ist ab Android 16 bereits auf allen Pixel-Geräten im Advanced-Protection-Modus verfügbar und soll zeitnah auf weitere Android-Geräte ausgerollt werden.

Intrusion Logging für Incident Response

Für die Analyse von Sicherheitsvorfällen führt Google das sogenannte Intrusion Logging ein, das in Zusammenarbeit mit Amnesty International und Reporter ohne Grenzen entwickelt wurde. Das Feature erstellt eine persistente, datenschutzfreundliche forensische Protokollierung auf dem Gerät selbst und soll die Untersuchung ermöglichen, wenn ein Kompromittierungsverdacht besteht.

Das ist für IT-Security-Teams relevant: Statt im Nachgang auf lückenhafte Logs oder externe MDM-Daten angewiesen zu sein, liefert das Gerät selbst auswertbare Spuren – auch dann, wenn ein Angreifer bereits aktiv war. Intrusion Logging rollt aktuell auf allen Geräten aus, die das Android-16-Dezember-Update oder neuere Versionen verwenden. Die Funktion ist Teil des Advanced-Protection-Modus und damit künftig auch für verwaltete Geräteflotten über Unternehmensrichtlinien aktivierbar.

Live Threat Detection gegen Schadsoftware

Die Live Threat Detection – Googles KI-gestützte Echtzeitanalyse von App-Verhalten auf dem Gerät selbst – erhält mit Android 17 einen deutlichen Ausbau. Neu ist das sogenannte Dynamic Signal Monitoring, das Systemprozesse in Echtzeit auf bekannte Missbrauchsmuster überwacht. Konkret erkennt das System etwa Apps, die ihr Icon verstecken und dann aus dem Hintergrund starten, oder solche, die Accessibility-Berechtigungen missbrauchen.

Zusätzlich kann Google Erkennungsregeln dynamisch auf die Geräte einspielen. Dadurch müssen neue Bedrohungsmuster nicht erst auf ein vollständiges OS-Update warten, bevor Nutzer geschützt sind. Für Unternehmen, die Android-Geräte einsetzen, reduziert das die Angriffsfläche gerade in der Lücke zwischen Patches. Im Chrome-Browser auf Android kommt außerdem eine APK-Prüfung vor dem Download hinzu: Aktiviertes Safe Browsing vorausgesetzt, prüft Chrome heruntergeladene App-Pakete auf bekannte Schadsoftware, bevor der Download abgeschlossen wird.

Gerätediebstahl, OTP-Schutz und Post-Quanten-Kryptografie

Auch bei den Diebstahlschutzfunktionen dreht Google weiter. Neu ist, dass ein als verloren gemeldetes Gerät künftig zusätzlich zur PIN auch eine biometrische Authentifizierung erfordert – selbst wenn ein Angreifer die PIN kennt, kommt er nicht rein. Remote Lock und Theft Detection Lock werden auf allen neuen Android-17-Geräten standardmäßig aktiviert; in Märkten mit hoher Diebstahlrate wie Argentinien, Chile, Kolumbien, Mexiko und dem Vereinigten Königreich gilt das rückwirkend auch für Geräte ab Android 10.

Für Unternehmen mit Beschäftigten in diesen Regionen oder mit häufig mobil eingesetzten Geräteflotten ist das eine sinnvolle passive Absicherung ohne zusätzlichen Konfigurationsaufwand. Daneben blendet Android eingehende Einmalpasswörter in SMS-Nachrichten für die Dauer von drei Stunden vor den meisten Apps aus – ein direkter Schutz gegen Credential-Phishing über manipulierte Anwendungen. Und mit der Einführung von Post-Quanten-Kryptografie setzt Google einen langfristigen Anker gegen zukünftige Entschlüsselungsangriffe durch Quantencomputer, was besonders für Branchen mit langen Datenhaltungsfristen relevant ist.

Schutz vor manipulierten Firmware-Versionen

Ein weiteres Feature, das im Unternehmensumfeld an Bedeutung gewinnen dürfte, ist Android OS Verification. Damit lässt sich prüfen, ob ein Gerät tatsächlich einen offiziell von Google freigegebenen Build läuft oder eine manipulierte Version, die nach außen hin seriös wirkt. Das Verfahren nutzt ein öffentliches, nur-append-fähiges Ledger als kryptografischen Nachweis dafür, dass System und Apps authentisch sind. Gerade in Supply-Chain-Szenarien, etwa wenn Geräte über Drittanbieter beschafft werden, liefert das eine zusätzliche Vertrauensebene.

Zunächst startet das Feature auf Pixel-Geräten; ein Rollout auf weitere Android-Hardware ist angekündigt, aber noch ohne konkreten Zeitplan. Die Kombination aus hardwaregestützter Isolierung für KI-Verarbeitung (AISeal mit pKVM) und dieser Verifizierungsfunktion zeigt, in welche Richtung Google die Plattform für sensible Anwendungsfälle positioniert: weg vom reinen Vertrauen, hin zu überprüfbaren Garantien.