grapheneos sicheres smartphone

Das Gerät in deiner Tasche gehört nicht dir.

Du hast dafür bezahlt, natürlich. Du trägst es überallhin, schläfst daneben und vertraust ihm deine privatesten Mitteilungen an. Doch in jeder bedeutenden Hinsicht gehört es jemand anderem. Es meldet deinen Standort alle 4,5 Minuten an Google. Es überträgt etwa ein Megabyte Telemetriedaten alle zwölf Stunden, selbst wenn es untätig auf deinem Nachttisch liegt. Es tut dies selbst dann, wenn du endlose Einstellungsmenüs durchgehst und ausdrücklich ablehnst. Das Ablehnen ist Theater. Die Überwachung ist das Produkt.

Dies ist kein Fehler im System. Es ist das System.

Als Google Android Herstellern als „kostenlose“ Software anbot, war der Preis immer deine Daten. Regierungen haben sich vor Jahren in diese Überwachungsinfrastruktur der Unternehmen eingeklinkt, und das System ist nur noch ausgefeilter geworden. Datenhändler handeln heute mit Standortinformationen von über einer Milliarde Geräten. Unternehmen wie X-Mode verarbeiten täglich zehn Milliarden Standortdatenpunkte. Ein Datenhändler wurde dabei erwischt, Frauen, die Schwangerschaftsberatungsstellen aufsuchten, zu verfolgen, um gezielte Werbesegmente zu erstellen. Deine Bewegungen im physischen Raum sind zu einer Handelsware geworden – auf Märkten, an denen du niemals zugestimmt hast, teilzunehmen.

Die Konsequenzen reichen weit über Werbung hinaus. Durchgesickerte Dokumente von Cellebrite, dem israelischen Forensikunternehmen, das 7.000 Strafverfolgungsbehörden weltweit bedient, zeigen, dass die Geräte jedes großen Android-Herstellers sowohl im gesperrten als auch im entsperrten Zustand ausgenutzt werden können. Jedes Samsung, jedes OnePlus, jedes Motorola. Die einzige Ausnahme, explizit als unzugänglich in den internen Unterlagen markiert, ist GrapheneOS auf Pixel-Hardware mit Patches ab Ende 2022. Ein Whistleblower, der im Oktober 2024 an einer privaten Cellebrite-Schulung teilnahm, berichtete, dass jedes gesperrte Pixel 9 mit GrapheneOS als „über ihre Fähigkeiten hinaus“ gelistet war.

Das ist wichtig, weil Gerätesicherheit letztlich eine Frage von Eigentumsrechten ist.
Wenn dein Telefon deinen Standort, deine Kontakte, dein Surfverhalten und deine App-Nutzung an Unternehmensserver sendet, ohne dass du sinnvoll zustimmst, besitzt du dieses Gerät in keiner substantiellen Weise. Du mietest Überwachungsgeräte. GrapheneOS existiert, um diese Gleichung zu ändern – um ein Stück Unterhaltungselektronik in etwas zu verwandeln, das tatsächlich dir gehört.

Das Verifikationsproblem

Der Kryptograph Auguste Kerckhoffs formulierte 1883 ein Prinzip, das bis heute grundlegend ist: Ein sicheres System muss auch dann sicher bleiben, wenn alles außer dem Schlüssel öffentlich bekannt ist. Sicherheit durch Geheimhaltung ist keine Sicherheit. Die Geschichte bestätigt dies immer wieder:

  • Das Content Scramble System der DVD-Industrie, geheim entwickelt, wurde innerhalb von drei Jahren geknackt und war millionenfach schwächer als beworben.
  • Die WEP-Verschlüsselung für WLAN brach vollständig zusammen und wurde universal aufgegeben.

Proprietäre Systeme scheitern, weil niemand außerhalb eines kleinen Teams ihre Sicherheit überprüfen kann.

GrapheneOS verfolgt den entgegengesetzten Ansatz: Jede Codezeile ist veröffentlicht. Der Build-Prozess ist reproduzierbar, sodass jeder den Quellcode kompilieren und überprüfen kann, ob die erzeugten Binärdateien bitgenau denen entsprechen, die das Projekt verteilt. Du musst den Entwicklern nicht vertrauen – du kannst es selbst überprüfen oder dich auf die zahlreichen Sicherheitsforscher verlassen, die dies getan haben.

Das Projekt wird ohne Google Play Services ausgeliefert. Das ist kein Versehen, sondern die bewusste Standardeinstellung. Die meisten auf Datenschutz fokussierten Android-Distributionen schließen Google entweder komplett aus oder integrieren es mit Systemrechten. GrapheneOS geht einen dritten Weg: Wenn du Google Play Services installieren möchtest, läuft es in einer Sandbox ohne spezielle Rechte, behandelt als unzuverlässige Software, wie sie objektiv ist. Du kontrollierst jede Berechtigung. Google kann weder auf Kontakte, Standort noch Dateien zugreifen, außer du erteilst explizit die Erlaubnis.

Technische Grundlagen

Die meisten ernsthaften Sicherheitslücken betreffen Speicherbeschädigung: Software schreibt Daten außerhalb der vorgesehenen Grenzen, wodurch kritische Strukturen überschrieben werden, die ein Angreifer ausnutzen kann.

GrapheneOS ersetzt den Standard-Speicherallokator von Android durch hardened_malloc, eine vollständige Neuimplementierung, die Ausnutzung praktisch unmöglich macht. Metadaten werden in einem separaten Speicherbereich gespeichert. Der Allokator teilt den Speicher in 49 verschiedene Größenklassen, jede mit einer eigenen, zufällig adressierten Speicherregion. Jeder Speicherplatz ist durch einen 64-Bit-Canary geschützt, der String-Überlauf-Angriffe verhindert. Beim Freigeben von Speicher überschreibt hardened_malloc die gesamte Region mit Nullen, um Leaks zu verhindern.

Auf Pixel 8 und neueren Geräten aktiviert GrapheneOS die Memory Tagging Extension (MTE). MTE versieht jedes 16-Byte-Segment mit einem Tag und überprüft beim Zugriff, ob das Tag übereinstimmt – bei Abweichungen wird ein Hardwarefehler ausgelöst. Buffer Overflows und Use-after-Free-Fehler werden so direkt beim Auftreten erkannt.

Zygote, der Standardprozess zum Starten von Apps, wird durch exec-spawning ersetzt, sodass jede App einen frischen Prozess mit völlig zufälligem Adresslayout erhält. Cold-Starts dauern etwa 100 ms länger – ein kleiner Preis für deutlich erhöhte Sicherheit.

Der Verified Boot beginnt bereits in der Hardware: Pixel-Geräte enthalten ein Titan M Secure Element, das den Firmware-Schlüssel enthält. Jede Änderung an der Firmware oder dem OS blockiert den Bootvorgang. Die Auditor-App erweitert dies zur Laufzeit, um die Integrität des Betriebssystems regelmäßig zu prüfen.

Installation und Konfiguration

GrapheneOS läuft ausschließlich auf Google Pixel-Geräten, da andere Hersteller die Hardwareanforderungen nicht erfüllen. Das Pixel 8a ist ein günstiges Einstiegsgerät, das Pixel 10 Pro bietet hohe Leistung.

Die Installation erfolgt über den Webinstaller auf grapheneos.org/install/web. Vor der Installation: Stock-OS aktualisieren, OEM-Entsperrung aktivieren, Original-USB-Kabel verwenden. Der Installer entsperrt den Bootloader, flasht GrapheneOS und sperrt ihn anschließend wieder. Sowohl Entsperren als auch Sperren löschen Benutzerdaten – erst nach gesperrtem Bootloader wiederherstellen.

Härtung nach Installation:

  • Auto-Reboot auf 4 Stunden setzen.
  • USB-Port als nur-Ladefunktion konfigurieren.
  • WiFi/Bluetooth nach 30 Sekunden Inaktivität deaktivieren.
  • Gerät größtenteils im Flugmodus betreiben.

Apps ohne spezielle Berechtigungen erhalten nur eingeschränkten Zugriff über Storage Scopes und Contact Scopes. Apps können nur auf eigene Dateien oder ausgewählte Kontakte zugreifen.

VPNs (Mullvad, IVPN, ProtonVPN) und Tor (Orbot) erhöhen Privatsphäre. Anwendungen wie KeePassDX, Organic Maps, Aegis oder Signal (mit Molly-Härtung) sichern Daten lokal und verschlüsselt. Bitcoin-Transaktionen können über Nunchuk, Phoenix und Cashu.me ausgeführt werden.

Fazit: Was du gewinnst

Es geht nicht darum, ob du etwas falsch gemacht hast. Es geht darum, ob du in einer Gesellschaft leben willst, in der jede Bewegung, jede Kommunikation, jede Beziehung protokolliert, analysiert und gegen dich verwendet werden kann.

GrapheneOS macht dich nicht unsichtbar und schützt nicht vor einem wohlorganisierten Staat. Aber es erhöht die Kosten der Überwachung drastisch. Dein Telefon wird vom Überwachungswerkzeug zum eigenen Instrument.

Die Installation dauert etwa zwei Stunden. Danach unterscheidet sich die Nutzung kaum von Stock Android. Der Unterschied: Du besitzt dein Gerät tatsächlich.

Englischer Originaltext von Max Hillebrand

Für die die sich das nicht zutrauen, kommt zu unserem nächsten Workshop!

Handy-Workshops

Hinweis

Dieser Artikel dient rein zur Aufklärung, stellt keine Anlageberatung dar und distanziert sich von jeglichen Regressansprüchen. Kryptowährungen sind hochriskant – investieren Sie nur, was Sie verkraften können zu verlieren. Wir übernehmen keine Haftung für Schäden, die aus der Nutzung unserer Anleitungen oder Informationen entstehen. Die Nutzung erfolgt auf eigenes Risiko.

Newsletter

Möchtest du Bitcoin sicher und privat nutzen? Abonniere unseren Newsletter um informiert zu bleiben!

Unterstützen

Unterstütze unseren unabhängigen Journalismus! Keine Werbung, kein Bullshit – nur Bitcoin. Spende via Lightning:

Erzähl deinen Freunden davon!

Tritt unserer Community bei und diskutiere mit uns auf Telegram, SimpleX oder Nostr!

SIMPLEX
Telegram
NOSTR

Workshops

Bitcoin-Workshops für Einsteiger und Aussteiger in München!

Auf Anfrage auch in deiner Stadt!

bitcoinlighthouse schuleJetzt anmelden
Schlagwörter
Michael
Michael

Michael schreibt seit 2021 Artikel zu Bitcoin für verschiedene Magazine und hält deutschlandweit Vorträge und Workshops. Er hostet außerdem seit 2022 in München das Wohnzimmer der Plebs - Satoshis Coffeeshop.

Schreibe einen Kommentar

Unsere Webseite selbst verwendet keine Cookies. Allerdings setzen die eingebetteten YouTube-Videos und Social-Media-Plattformen Cookies ein, weshalb wir dich darauf hinweisen müssen. Dieser Hinweis dient ausschließlich der rechtlichen Absicherung. Weitere Details findest du in unserer Datenschutzerklärung. Informationen, wie du dich vor Cookies schützen kannst, erhältst du in unserem Privacy-Guide.

.