Wer sich ein Smartphone kaufen will, hat derzeit eigentlich nur zwei Optionen: Entweder man wirft sich in die Arme von Apple oder in jene von Google. Die Dominanz von iOS und Android führt dazu, dass man um die Dienste der beiden Firmen eigentlich kaum herumkommt, die "Wahl" insofern eine sehr beschränkte ist.

Doch das muss nicht so sein, immerhin ist Android zu weiten Teilen Open Source, was auch bedeutet, dass Dritte alternative Firmware anbieten können. Und zwar auch welche, die auf Wunsch ganz ohne Google auskommt oder alternativ der Datensammelwut des Android-Herstellers zumindest deutliche Grenzen setzt.

Auftritt: GrapheneOS

GrapheneOS ist dafür geradezu ein Paradebeispiel: Das seit einigen Jahren aktive Projekt hat sich voll und ganz auf die Themen Sicherheit und Privatsphäre eingeschworen. Eine minimale – aber immer topaktuelle – Softwareausstattung trifft dabei auf zahlreiche Anpassungen sowohl an der Oberfläche als auch der Basis des Betriebssystems. All das aber immer mit dem Ziel, für durchschnittliche User benutzbar zu bleiben.

Der Homescreen von GrapheneOS auf einem Pixel 6 Pro, daneben steht eine Android-Figur
Der Start der alternativen Android-Show: GrapheneOS auf einem Pixel 6 Pro.
Proschofsky / STANDARD

Für den Test wurde GrapheneOS auf einem Pixel 6 Pro installiert. Warum gerade dieses Gerät? Das hat einen simplen Grund: GrapheneOS ist derzeit ausschließlich für aktuelle Smartphones und Tablets von Google selbst verfügbar. Konkret bedeutet das alles ab dem Pixel 5a, da es dieses Modell in Europa aber nie gab, reden wir realistisch vom Pixel 6 als Minimum.

Es ist eine Pixel-Welt, aus Gründen

Diese Beschränkung mag zunächst seltsam klingen, hat aber zwei sehr gute Gründe. Der wichtigste: Google macht es sehr einfach, auf Pixel-Geräten alternative Firmware zu installieren und im Fall des Falles wieder zur Originalsoftware zurückzukehren. Das ist auch der Grund, warum schon länger der leicht widersinnig klingende und doch richtige Tipp gilt: Wer ein Android-Smartphone ohne Google-Dienste betreiben will, kauft sich am besten eines von Google.

Doch der zweite Grund ist nicht minder wichtig: Google wartet seine Geräte erheblich besser als andere Android-Hersteller, legt vor allem auf das Thema Sicherheit mehr wert. Das betonen auch die Entwicklerinnen und Entwickler von GrapheneOS, für die ist die Arbeit des jeweiligen Herstellers nämlich essenziell für ihre eigene Software.

Das liegt wiederum daran, dass zwar viele, aber eben nicht alle Teile so einer Android-Firmware im Quellcode verfügbar sind. Bei proprietären Treibern sowie dem Baseband, das für alle Mobilfunksachen zuständig ist, oder auch zahlreichen Firmware-Komponenten ist man hingegen von der Wartung durch den Originalhersteller abhängig. Ohne diesen kann man recht wenig machen und vor allem keine Sicherheitslücken in diesen Komponenten beseitigen.

Andere Software kann das Grundproblem nicht lösen

Das ist dann auch der Grund, warum GrapheneOS nur aktuell von Google noch gewartete Geräte unterstützt. Nach dem Ende des offiziellen Supports kann so ein Smartphone nicht mehr als sicher gelten, egal was eine alternative Firmware auch probiert. Und da Sicherheit ein Eckpfeiler von GrapheneOS ist, will man in diesem Punkt keinerlei Kompromisse eingehen.

Das primär empfohlene Smartphone ist dabei das aktuelle Pixel 8 (Pro), schlicht weil es mit sieben Jahren offiziellem Support auch von GrapheneOS noch lange unterstützt werden kann – nämlich bis Oktober 2030. Zudem handelt es sich dabei um Googles erstes Gerät, das einen Chip der ARMv9-Architektur verwendet, die zusätzliche Sicherheitsmaßnahmen mit sich bringt und so allerlei verbreitete Attacken verhindern kann – was GrapheneOS gleich aktiv nutzt.

Ältere Pixels bleiben aber ebenfalls eine gute Wahl, zumal selbst das Pixel 6 noch einige Zeit – konkret bis Oktober 2026 – mit Updates versorgt wird. Am Rande sei erwähnt, dass GrapheneOS derzeit sehr wohl noch Updates für die älteren Pixel 4 und Pixel 5 bietet. Das lässt man aber explizit unter dem Begriff "Schadensbegrenzung" laufen: Damit soll lediglich deren Usern etwas mehr Zeit für den Umstieg auf ein aktuell noch gewartetes Gerät gegeben werden – den man dringend anrät.

Die Installation ist erfreulich einfach

Die Voraussetzungen geklärt, kann es ans Ausprobieren gehen, und das heißt zunächst einmal die Installation. Nun ist das Aufspielen einer alternativen Firmware üblicherweise kein trivialer Akt, GrapheneOS hat das aber geradezu vorbildlich gelöst. Im Endeffekt gilt es, mit zwei Schritten das Gerät vorzubereiten, danach läuft dann alles über ein Webinterface ab. Die User müssen eigentlich nur ein paar Buttons drücken und dazwischen den Begleittext lesen.

GrapheneOS
Die Installation von GrapheneOS ist über ein Web-Interface denkbar einfach.
Proschofsky / STANDARD

Wer schon Erfahrung mit alternativer Firmware hat, der weiß, dass dies oftmals mit einer Reduktion der Sicherheit einhergeht, da sich der Bootloader nicht mehr sperren lässt. Das ist bei GrapheneOS aber anders, dieser Schritt wird sogar dringend angeraten. Das hat einen simplen Grund: Das Sperren des Bootloaders ist essenziell für die Systemsicherheit. Ist dieser offen, werden viele wichtige Schutzmechanismen von Android ausgehebelt.

Kurz wurde es schon angeschnitten: Die Rückkehr auf die Originalsoftware ist nicht minder trivial. Denn auch Google bietet hierfür mittlerweile eine einfache Weboberfläche an, durch die man sich nur schrittweise klicken muss.

Setup und ein erster Eindruck

Bei der Einrichtung von GrapheneOS kommt vieles bekannt vor, all die gewohnten Zustimmungen zu Datensammlungen fehlen aber – schlicht weil es dafür keinen Bedarf gibt. Der Datenschutzfokus zeigt sich zudem daran, dass schon beim Setup gefragt wird, ob die Ortungsdienste überhaupt aktiviert werden sollen.

Das installierte System präsentiert sich dann so minimalistisch, wie es nur geht. Lediglich eine Handvoll Apps ist vorinstalliert, und das durchaus mit Absicht – sollen doch die User selbst entscheiden, was sie überhaupt auf ihrem Smartphone haben wollen, so die Philosophie von GrapheneOS.

GrapheneOS
Der minimalistische Ansatz von GrapheneOS zeigt sich schon bei Einrichtung und erster Nutzung.
Proschofsky / STANDARD

Ein eigener Browser

Also konzentriert man sich auf einige wenige Programme. Darunter fällt mit Vanadium ein eigener Browser auf Basis von Googles Chromium, aus dem aber natürlich alle Anbindungen an Google entfernt wurden. Als Standardsuchmaschine nutzt Vanadium Duckduckgo, Drittanbieter-Cookies werden komplett blockiert. Doch damit nicht genug, werden auch noch viele andere Dinge blockiert, die üblicherweise für die eindeutige Identifizierung von Browser-Usern verwendet werden.

Dazu kommen viele Sicherheitsverbesserungen an der Softwarebasis. So wurde etwa die zur Isolierung von Webseiten genutzte Sandbox verschärft. Vanadium wird übrigens nicht nur als Browser, sondern auch zur Anzeige von Webinhalten in Dritt-Apps verwendet, auch dort profitiert man also von dessen Sicherheits- und Privatsphärenverschärfungen. Derzeit sieht GrapheneOS den eigenen Browser noch als Work-in-Progress, zu einem späteren Zeitpunkt soll er auch in Googles Play Store veröffentlicht werden, um einer breiteren Öffentlichkeit zur Verfügung gestellt zu werden.

Dasselbe Muster

Diesen Schritt haben andere GrapheneOS-Apps schon genommen: Dazu zählt die Kamera-App des Betriebssystems, die unter dem Namen Secure Camera übrigens auch für andere Android-Geräte erhältlich ist. Von der Funktionalität her mag sie nicht mit der offiziellen Pixel-Kamera mithalten können, sie hat aber andere Vorzüge.

So werden bereits bei der Aufnahme keinerlei Metadaten gespeichert, die einzige Ausnahme sind Lageinformationen – also ob es sich um eine Porträtaufnahme oder eine Landschaftsansicht handelt. Zudem beinhaltet die App einen einfachen QR-Code-Scanner, für die passende Fotoqualität gibt es zumindest schon einmal einen Nachtmodus. Auch andere von der Pixel-Kamera gewohnte Features will man schrittweise nachreichen.

Eine Randbemerkung, da es gerade noch um Metadaten ging: GrapheneOS speichert auch bei der Aufnahme von Screenshots keine solchen Informationen. Denn was vielen nicht klar sein dürfte: Bei einem regulären Android werden üblicherweise auch Informationen zum Gerät und der gerade genutzten Softwareversion mitgespeichert.

GrapheneOS
Einige der Apps in GrapheneOS (von links nach rechts): Der auf Chromium basierende Browser Vanadium, die Kamera-App mit QR-Code-Reader, der PDF-Anzeiger und der direkt aus dem Android-Quellcode übernommene Taschenrechner.
Proschofsky / STANDARD

Andere Apps

Sehr ähnlich verhält es sich mit dem PDF-Anzeiger von GrapheneOS. Auch dieser ist ganz auf Sicherheit und Privatsphäre getrimmt. Die App ist dabei bewusst minimalistisch gehalten, um die Angriffsfläche möglichst gering zu halten. Auch diese App steht alternativ für andere Android-Varianten im Play Store zur Verfügung.

Neben grundlegenden Tools wie Taschenrechner oder Uhr/Wecker sowie einer simplen Galerie und Kontakte- sowie Telefonie-Apps ist dann eigentlich nur noch eine Anwendung namens Apps vorinstalliert. Wer sich dahinter jetzt einen vollständigen App Store erwartet, wird rasch enttäuscht. Dieses Tool ist lediglich dazu gedacht, ein paar Kern-Apps zu aktualisieren sowie einige Extras anzubieten, die man – aus guten Gründen – nicht vorinstallieren will.

Kein Google vs. gezähmtes Google

Genau dort versteckt sich auch eines der interessantesten Features von GrapheneOS: Ist es doch auf diesem Weg sehr einfach, zentrale Google-Services sowie den Play Store nachzuinstallieren. Das aber mit einem Twist: GrapheneOS isoliert diese vom restlichen System, sorgt vor allem dafür, dass sie sich nicht so tief verankern können, wie es sonst bei regulären Android-Geräten der Fall ist.

Das bedeutet vor allem: Während die Google Play Services sonst eine Fülle von Sonderrechten haben, sind sie hier auf das beschränkt, was auch regulären Apps zur Verfügung steht. Ohne explizite Genehmigung geht also mal gar nichts, die User müssen jeweils noch einzeln zustimmen. Zudem leitet GrapheneOS einige der von Google gebotenen Services auf eigene Dienste um, etwa jenen für die Standortermittlung.

Eine Lösung, die verhindert, dass Google einfach von Haus aus auf zahlreiche Daten Zugriff hat, die aber garantiert, dass so gut wie alle Apps, die es im Play Store so gibt, funktionieren. Immerhin benötigen ziemlich viele davon die erwähnten Play Services.

GrapheneOS
Wer will, kann bei GrapheneOS sehr einfach auch Google-Dienste nutzen. Hier werden sie aber speziell isoliert, damit sie möglichst wenige Daten erhalten.
Proschofsky / STANDARD

Warum nicht MicroG?

Nun ist die Idee, die Google-Services irgendwie zu ersetzen, nicht ganz neu, viele andere Android-Varianten verwenden dafür einen Google-Play-Services-Ersatz namens MicroG. Bei GrapheneOS hält man von diesem allerdings wenig, da MicroG schwerwiegende Sicherheits- und Privatsphärenprobleme habe. Zudem täusche MicroG eine Google-Freiheit vor, die es gar nicht bietet. In den damit genutzten Apps laufe dann noch immer sehr viel Google-Code – und das mit deutlich höheren Berechtigungen als bei der GrapheneOS-Lösung. Insofern würden bei MicroG auch mehr Daten an Google gehen.

Jenseits dieser Debatte hat der GrapheneOS-Ansatz eine unleugbaren Vorteil: All das ist auf das aktuelle Nutzerkonto beschränkt, weder Apps noch Google-Services werden systemweit installiert. Wer will, könnte also etwa ein eigenes Profil mit installierten Google-Diensten anlegen und das nur bei Bedarf aufrufen und sonst von den restlichen Apps und Daten fernhalten.

Dazu passend liefert GrapheneOS noch ein interessantes Zusatzfeature. Es ist möglich, die Benachrichtigungen von einem – etwa im Hintergrund laufenden – Profil an ein anderes weiterzuleiten. Auf diese Weise verpasst man trotz der Aufteilung in mehrere Profile nichts Wichtiges.

Play Store oder doch was anderes?

Bleibt die Frage, warum man eigentlich den offiziellen Play Store nutzen sollte. Zumal es doch Alternativen wie den Aurora Store gibt, der eine Art anonymen Zugriff auf das Google-Angebot ermöglicht. Generell ist man bei GrapheneOS auch von diesem Projekt wenig begeistert, da dieses eine ganze Reihe an Sicherheitsproblemen mit sich bringt.

Trotzdem ist es natürlich möglich, den Aurora Store auf GrapheneOS zu installieren und ganz auf den Play Store und damit die Notwendigkeit eines zugehörigen Kontos zu verzichten. Wer rein mit Open-Source-Anwendungen auskommt, der kann wiederum zu F-Droid als Alternative greifen, auch wenn hier einige der Kritikpunkte in Hinblick auf das Thema Sicherheit ebenfalls greifen.

Anders gesagt: Es gibt natürlich keinerlei Zwang, die Google-Dienste oder gar den Play Store unter GrapheneOS zu nutzen. Wenn man diese Optionen aber einmal braucht, stehen sie zur Verfügung – und lassen sich gut vom Rest trennen, und das ist ein echter Gewinn.

Vermischtes

Ein üblicher Problempunkt bei alternativen Android-Varianten sei noch angesprochen: Durch die gewählte Lösung gehen bei GrapheneOS mit installierten Google-Diensten auch viele Bank-Apps – allerdings nicht alle. Einzelne Hersteller sind hier zu schärferen – und ehrlich gesagt ziemlich zweifelhaften – Checks nach Originalsoftware übergegangen. In so einem Fall bleibt leider nur die Beschwerde beim jeweiligen Anbieter.

Kurz noch einmal zum App-Angebot von GrapheneOS: Dort lässt sich nämlich auch eine spezielle Version von Android Auto installieren. Denn auch dieses Tool hat sonst einen sehr weitreichenden Zugriff auf das System, der durch die alternative Firmware im Zaum gehalten wird.

Strukturelle Verbesserungen

Kommen wir zu dem, was Graphene eigentlich prägt: die strukturellen Verbesserungen an der Android-Basis. Dazu gehört zunächst, dass es ein paar zusätzliche – einfach änderbare – Berechtigungen gibt. So ist es möglich, Apps den Zugriff auf Hardwaresensoren oder das Netzwerk zu verbieten. Gerade Letzteres ist etwas, das man beim Original-Android bis heute schmerzlich vermisst.

Interessant sind auch die sogenannten Scopes: Läuft eine App nicht ohne einen Zugriff auf den lokalen Datenspeicher, gaukelt das System diesen einfach vor. Daten bekommt die besagte App dann aber nie. Alternativ ist es möglich, gezielt nur einzelne Dateien und Verzeichnisse freizugeben. Relevant ist das vor allem für ältere Apps, bei neueren schreibt das offizielle Android ohnehin schon Ähnliches vor.

Besonders erfreulich ist, dass es solche Scopes ebenso für den Zugriff auf das Adressbuch gibt. Auch hier kann der Zugriff also pseudomäßig gewährt werden, um eine App zur Mitarbeit zu bekommen, ohne wirklich Daten weiterzugeben – oder eben nur ausgewählte. "Ausgewählt" heißt in dem Fall wahlweise einzelne Kontakte oder auch eine Beschränkung auf einzelne Datenarten, also beispielsweise nur Telefonnummer oder Mailadresse.

GrapheneOS
Zusätzliche Berechtigungen und mehr: GrapheneOS tut viel, um die Privatsphäre zu verbessern.
Proschofsky / STANDARD

Ausgesperrt

Am Lockscreen gibt es die Möglichkeit, das Layout der PIN-Tasten zufällig durchwürfeln zu lassen, das soll es bei der Eingabe eines Zahlencodes in der Öffentlichkeit anderen erschweren, diesen mitlesen zu können. Generell verschärft GrapheneOS die Sicherheitsmaßnahmen für ein gesperrtes Gerät. So wird in diesem Zustand die Kamera systemweit deaktiviert, auch die Schnelleinstellungen sind nicht erreichbar, USB-Zugriffe werden komplett blockiert.

Auch sonst tut GrapheneOS einiges, um die Angriffsfläche zu reduzieren. Dazu gehört, dass viele sonst bei Android von Haus aus aktivierte Dinge hier zunächst ausgeschaltet sind. Dazu gehören etwa Bluetooth, NFC oder auch Ultra Wideband. Wer will, kann zudem viele dieser Dienste so konfigurieren, dass sie sich nach einer gewissen Zeit automatisch deaktivieren.

Automatischer Neustart und Schutz für Mobilfunk

Eine weitere aus Sicherheitssicht exzellente Idee nennt sich Auto Reboot. Liegt ein Gerät mit GrapheneOS eine gewisse Zeitlang unbenutzt herum, wird es automatisch neu gestartet. Von Haus aus ist dieser Wert auf 18 Stunden gestellt, die Länge kann aber individuell angepasst werden. Doch wozu das Ganze eigentlich? Bei einem frisch gestarteten Gerät sind die lokalen Daten der User noch nicht entschlüsselt. Das bietet also einen Extraschutz für ein verlorenes oder gestohlenes Smartphone.

Bei Pixel-Smartphones ist es seit einiger Zeit möglich, die Unterstützung für 2G-Verbindungen komplett zu deaktivieren. Eine sehr gute Idee, zumal 2G dermaßen unsicher ist, dass es bis heute für viele Attacken gegen Mobilfunk-User genutzt wird. Bei GrapheneOS treibt man das nun auf die Spitze und bietet einen "LTE only"-Modus an. In diesem gibt es also weder 2G noch 3G oder auch das neuere 5G. Letzteres mag verwundern, da die neueste Mobilfunkgeneration eigentlich sicherer sein sollte. Bei GrapheneOS ist man aber davon überzeugt, dass der Support für LTE einfach besser getestet und damit in der Praxis sicherer ist.

Apropos Mobilfunk: GrapheneOS unterbindet die Konfiguration der Geräte durch den genutzten Mobilfunker, wie sie sonst üblich ist. Deaktiviert etwa einer davon Tethering, also die Datenweitergabe an andere Geräte, läuft das so ins Leere. Zudem lässt das System auch die Installation von eigenen Apps durch die Betreiber nicht zu.

Ein Problembereich ist die Nutzung von E-SIMs. Zwar werden diese auch von GrapheneOS unterstützt, das Management von E-SIMs läuft unter Android aber über einen proprietären Google-Dienst. Insofern ist der E-SIM-Support von Haus aus deaktiviert, wer ihn nutzen will, kann das aber natürlich trotzdem, so man mit der Google-Kommunikation kein Problem hat.

Hardening

Dazu kommen viele Optimierungen am Kernsystem. Dazu gehören ein gehärteter – im Sinne von strengeren Regeln – Linux-Kernel, eine verschärfte Sandbox zur Isolierung von Apps oder Änderungen bei der Speicherallozierung. Auch sonst sucht GrapheneOS laufend nach strukturellen Verbesserungsmöglichkeiten für Android und meldet dies dann an Google zurück, damit sie in den offiziellen Quellcode für alle Geräte zurückfließen können – was auch bereits öfters passiert ist.

Nicht alles, was GrapheneOS macht, ist aber für die Aufnahme in den Quellcode des Android Open Source Project (AOSP) geeignet. So deaktiviert man etwa sowohl für Apps als auch im Browser von Haus aus Performance-Optimierungen wie eine Just-in-Time-Compilation (JIT) des Codes. Das, weil solche JITs bekannt anfällig für Attacken sind. Ein solcher Schritt wirkt sich aber natürlich negativ auf die Systemleistung aus, insofern wird er von anderen Anbietern kaum übernommen werden. Generell versucht GrapheneOS übrigens bei solchen Entscheidungen, wo es geht, den Usern die Wahl zu lassen, also eine entsprechende Option anzubieten.

Eine weitere interessante Besonderheit von GrapheneOS ist die Auditor-App. Mithilfe eines anderen Smartphones kann damit die Integrität eines Geräts geprüft werden. Wurde die Systemsoftware manipuliert, fällt dies so schnell auf.

Updates, Updates, Updates

Die Update-Versorgung ist bei einem Smartphone immer ein Thema, zum Glück ist diese bei GrapheneOS exzellent. Neue Android-Generationen gibt es üblicherweise bereits kurz nachdem Google den Quellcode veröffentlicht hat, aktuell reden wir also von Android 14. Auch bei Sicherheitsaktualisierungen erweist sich das Projekt als äußerst flink.

GrapheneOS
GrapheneOS ist topaktuell, beim Kernel sogar aktueller als die Originalsoftware von Google selbst. Auch sonst wird viel für die Sicherheit getan.
Proschofsky / STANDARD

Doch nicht nur das: GrapheneOS ist in dieser Hinsicht oftmals sogar besser als die Originalsoftware von Google. Immer wieder werden Fehlerbereinigungen für aktuell bekanntgewordene Lücken flotter als von Google geliefert. Hier hilft, dass man keine umfassenden Tests und Prüfungen durchlaufen muss, wie es bei jedem Update von Google selbst der Fall ist.

Dazu kommt, dass GrapheneOS wesentlich offensiver Fehlerbereinigungen für den Linux-Kernel nachzieht, als es Google tut. Wo Google meist nur alle paar Monate ein größeres Update für die aktuelle Kernel-Generation vornimmt – und damit traurigerweise noch immer der in dieser Hinsicht am besten agierende Android-Gerätanbieter ist –, übernimmt GrapheneOS solche Bugfixes viel öfter.

Neue Versionen von GrapheneOS gibt es üblicherweise alle paar Tage, diese werden wie gewohnt direkt ans Gerät geliefert, eine Benachrichtigung informiert darüber. Wer etwas experimentierfreudiger ist, kann auch auf den Betakanal wechseln, um so neue Versionen noch schneller zu bekommen.

Fazit

GrapheneOS ist derzeit die erste Wahl für alle, die ein Google-freies – oder gezielt beschränktes – Android-System suchen, bei dem man keine Kompromisse in Fragen der Sicherheit eingehen muss. Genau genommen ist GrapheneOS die derzeit wohl nicht nur sicherste Android-Variante, sie ist auch in Hinblick auf die Wahrung der Privatsphäre exzellent und stellt sich doch der Realität, dass viele nicht ganz ohne Google-Dienste auskommen.

Betrüblich ist hingegen, dass GrapheneOS derzeit nur für Pixel-Geräte verfügbar ist. Wen das stört, der darf die Schuld allerdings nicht beim Projekt, sondern bei den Hardwareherstellern suchen. Sind diese es doch, die ihren Geräten unter mehr als zweifelhaften Argumenten unnötige Sperren für die Installation von alternativen Android-Varianten auferlegen oder bei der grundlegenden Sicherheit ihrer Geräte patzen. (Andreas Proschofsky, 3.3.2024)