Majima
Komplett-PC-Aufrüster(in)
Ich war mir nicht sicher, ob ich das als „Test“, „Guide“ oder anderes posten soll. Da ich aber mit diesem Post nicht beabsichtige, einen hochprofessionellen Test zu machen, sondern es eher auf so eine Art Mischung aus subjektivem Erfahrungsbericht, Guide, Empfehlungen und Rant hinausläuft, packe ich es mal in diesen Bereich. Vielleicht wird das der Auftakt zu einer größeren Reihe.
Deshalb und aufgrund des mittlerweile altersschwachen Akkus bahnte sich in den letzten Monaten ein Wechsel an, mit dem Wissen, dass ich mindestens einen Tod zu viel würde sterben müssen, weil der Smartphone-Markt aus meiner Sicht schon seit Jahren komplett im Arsch und eine weitgehende Chronik der Enshittification ist. Rein hardwaremäßig hätte es wieder ein Sony werden müssen; doch aufgrund des immer stärker um sich greifenden Autoritarismus in der Welt, einschließlich der EU und auch Deutschland, und wachsender Übergriffigkeit in Politik, Behörden und Konzernen, hat in den letzten 2 Jahren vor allem dank Chatkontrolle inkl. Client-Side-Scanning, Pegasus, Palantir etc. das Thema Sicherheit und digitale Selbstverteidigung bei mir einen immer größeren Stellenwert erlangt. Ich wusste schon von der Existenz sicherer, datenschutzfreundlicher Custom-ROMs wie CalyxOS oder GrapheneOS, doch habe ich mich eben aufgrund der fehlenden Kopfhörerbuchse und des nicht vorhandenen microSD-Slots lange dagegen gesträubt, mir dafür ein Pixel zu kaufen (dazu weiter unten mehr), zumal ich bei dem Sony die Kamera-Apps wirklich schätze, die einem sowohl bei Foto- als auch Videoaufnahmen Einstellmöglichkeiten auf professionellem Niveau bieten. Aus diesem Grund schied auch das aktuelle Fairphone als Option aus, obwohl ich das nachhaltige Konzept dahinter sehr schätze.
Die Entwicklungen im November haben aber dann schließlich bei mir zu der Einsicht geführt, dass die Zeit, Komfort über Sicherheit zu stellen, endgültig vorbei ist. So habe ich schließlich doch in den sauren Apfel gebissen und bei guter Gelegenheit zu einem vertretbaren Preis ein Pixel 8 Pro mit 512 GB Speicher geschossen, auf welchem ich direkt nach dem Auspacken GrapheneOS installiert habe, auch weil ich zuvor einen Bericht gelesen hatte, wonach aktuelle Pixels mit GrapheneOS die einzigen Smartphones seien, die sich in gesperrtem Zustand mit einem aktuellen Cellebrite-Trojaner nicht aufbrechen lassen.
Nach drei Monaten schreibe hier ich meine Eindrücke und Gedanken zum Betriebssystem nieder und mache für Interessenten auf die Vorzüge aufmerksam. Bei der Gelegenheit gehe ich auch auf das Gerät selbst ein und vergleiche die Nutzererfahrung mit meinem alten Xperia.
GrapheneOS sticht insoweit unter den Custom-ROMs hervor, als dass es kompromisslos auf Datenschutz und Sicherheit optimiert ist. Es basiert auf dem Android Open Source Project und ist komplett spendenfinanziert. Entwickelt wurde es von dem kanadischen Entwickler Daniel Micay, der früher bei CopperheadOS gearbeitet hat, bis es zwischen ihm und dem CEO der Firma zum Zerwürfnis kam und er seinen Code unter offener Lizenz mit neuem Namen veröffentlichte. Mehrere Sicherheitsfeatures, die zuerst bei GrapheneOS enthalten waren, wurden mittlerweile offiziell in Android implementiert, z. B. zufällige MAC-Adressen bei jeder Verbindung. Ich kann davon nicht alle im Detail beschreiben, weil es auch nicht ganz meine Baustelle ist, sondern werde mich in diesem Bericht auf die Funktionen beschränken, die mir besonders aufgefallen sind und bei denen auch für Laien der Nutzen schnell ersichtlich ist.
Wenn ihr einen ausführlichen Test des Systems mit Fokus auf Datenschutz und Sicherheit von jemandem, der Ahnung hat, lesen wollt, verweise ich an der Stelle auf das Kuketz-Blog, wo auch andere Custom-ROMs getestet und verglichen wurden. Auch dieser Vergleich, aus dem GrapheneOS als klarer Sieger hervorging, hat meine Kaufentscheidung maßgeblich beeinflusst; ebenso wie Edward Snowden, der es bereits zweimal als das mobile Betriebssystem seiner Wahl bezeichnet hat.
GrapheneOS ist derzeit ausschließlich für ausgewählte Google-Pixel-Geräte erhältlich, was zwar sachliche Gründe hat, aber gleichzeitig auch für die meisten Leute die größte Hürde darstellen dürfte. Die Systemupdates übernehmen den Code von Google im AOSP, wodurch sie schnell ausgeliefert werden können, gleichzeitig aber auch an den Supportzeitraum von Google gekoppelt sind – darüber hinaus erhalten Geräte nur noch Legacy-Support mit AOSP-Sicherheitsupdates, aber keine Firmware- oder Treiberupdates mehr.
Neben der klassischen Entsperrung und Installation über die Kommandozeile bietet GrapheneOS auch einen Web-Installer im Browser an, mit welchem sich das Prozedere idiotensicher durch Klicks auf die jeweiligen Buttons erledigen lässt. Damit das Ganze unter Windows funktioniert, müssen dafür erst die nötigen Treiber für das Gerät installiert werden.
Bei mir hat der Installer allerdings weder unter Windows, noch unter Linux funktioniert, sodass für mich am Ende doch der Weg über’s Linux-Terminal führte, was dann reibungslos geklappt hat. Den entscheidenden Absatz, dem ich hätte die Ursache entnehmen können, hatte ich zuvor überlesen: Der Installer funktioniert nur in Chromium-basierten Browsern, und ich hatte ihn im Firefox geöffnet.
Da GrapheneOS im Unterschied zu den meisten anderen Custom-ROMs Verified Boot unterstützt, kann der Bootloader nach der Installation wieder gesperrt werden, was man auch unbedingt tun sollte, da ein offener Bootloader eine erhebliche Sicherheitslücke darstellt. Damit wird auch sichergestellt, dass das System nur bootet, wenn es nicht manipuliert wurde. Nach der erneuten Sperrung des Bootloaders muss man daran denken, in den Entwickleroptionen auch wieder USB-Debugging und OEM-Entsperrung zu deaktivieren.
Es gibt darüber hinaus auch Anbieter wie NitroKey, welche unter anderem Namen Pixel-Smartphones mit vorinstalliertem GrapheneOS anbieten. Von derlei Angeboten rate ich allerdings ausdrücklich ab. Nicht nur sind die Aufpreise, die diese Händler dafür nehmen, gepfeffert, sondern die Preise in diesen Shops werden häufig auch nicht an die Marktentwicklung der Gerätepreise angepasst. Beispiel: Ein Google Pixel 8 Pro mit 128 GB ist aktuell ab ca. 520 € verfügbar, die Version mit 512 GB ab 850 €. Das NitroPhone 4 Pro kostet derzeit rund 1.390 € mit 128 GB und 1.790 € mit 512 GB. Alles was recht ist, aber die Installation von GrapheneOS ist, vor allem für geübtes Personal, kein Arbeitsaufwand, der Aufpreise um die 900 € auch nur im Ansatz rechtfertigt, auch nicht unter Berücksichtigung von Steuern, Abschreibungen und Betriebskosten. Sorry, ist es nicht. Da hilft es auch nicht, dass man bei Bestellung je nach Paranoialevel gleich die Mikrofone oder Kameras entfernen lassen kann, wofür nochmal 400 € fällig werden, die nach meiner fachmännischen Einschätzung ebenfalls in keinem Verhältnis zum Arbeitsaufwand stehen. Hier werden sich gezielt die Ängste und mangelnde Kenntnisse der Kundschaft zunutze gemacht, um sie nach Strich und Faden abzuzocken, und das halte ich für ein hochgradig unseriöses Geschäftsmodell.
Mit dem Web-Installer kann euch im Grunde nichts passieren, da dieser ganz automatisch das richtige Modell erkennt, den Bootloader entsperrt, das passende Image flasht und den Bootloader auch wieder sperrt. Solltet ihr euch trotzdem nicht trauen, die Installation selbst in die Hand zu nehmen, sucht euch lieber jemanden in eurem Bekanntenkreis, der technisch versierter ist und die Sache für euch übernimmt. Im allergrößten Notfall findet ihr auch einen unabhängigen Händler/Reparaturservice, der euch einen humanen Preis für diese Dienstleistung machen kann.
Der Ersteindruck wirkt vertraut, wenn man bisher Googles Stock-Android eingesetzt hat oder ein Smartphone, das sich weitgehend daran hält. Was mich am App-Launcher von GrapheneOS ein wenig stört, ist, dass man die Apps nicht anderweitig anordnen und ggf. in Ordner sortieren kann – bei Sony konnte ich das und ich habe es gern aufgeräumt. Da alternative Home-Launcher aber hier keine zufriedenstellende Abhilfe geschaffen haben, belasse ich es bis auf weiteres dabei. Das System wird komplett ohne Google-Apps ausgeliefert, vorinstalliert sind nur eine Handvoll Apps zum Betriebssystem, um die Grundfunktionen bereitstellen zu können. Dadurch kommt GrapheneOS schlanker daher als so manche Linux-Distribution und räumt gleich zu Beginn einen der größten Nervfaktoren der meisten Android-Systeme aus dem Weg: Diverse vom Hersteller vorinstallierte Bloat-/Junkware, die sich höchstens deaktivieren, aber nicht deinstallieren lässt. Jede zusätzliche Software erhöht die Angriffsfläche, also liefert GrapheneOS davon so wenig wie möglich aus.
Mit an Bord ist mit Vanadium auch ein gehärteter Chromium-Browser, der die WebView-Schnittstelle zur Anzeige von Webinhalten in anderen Apps ist, aber genauso zum Surfen taugt und dabei laut Test in Sachen Sicherheit besser abschneidet als so mancher Konkurrent. Da ich aber seit jeher auch auf Android mit Firefox surfe (allein schon wegen der Möglichkeit, uBlock Origin zu installieren), diente Vanadium mir nur dazu, bei der Ersteinrichtung F-Droid zu installieren. Auf diesem Weg habe ich dann auch gleich die Hälfte meines App-Pools installiert, die nicht nur im Play Store verfügbar ist: Neben den Messengern Signal und Threema Libre, Mullvad VPN, OpenKeychain sowie Grayjay für YouTube ist seit einiger Zeit endlich Thunderbird auf Android erhältlich und bietet sogar die Option, per QR-Scan alle Mail-Konten mitsamt Konfiguration ganz einfach vom Desktop-Client zu importieren. Ich hatte bisher immer FairEmail genutzt und bin damit auch sehr zufrieden, hatte aber aufgrund der unsicheren Situation bei der Entwicklung, die ja ein Ein-Mann-Projekt ist, darauf gewartet, dass sich für den Fall des Falles mit Thunderbird eine Alternative auftut.
Ich war außerdem schon auf dem Xperia ein begeisterter Nutzer der Simple Mobile Tools, aber seit diese verkauft wurden, tut sich da nichts mehr. Glücklicherweise gibt es mit Fossify einen Fork, der zudem keine Funktionen hinter eine Paywall packt, damit war das Problem auch schnell gelöst, was den Umstieg sehr erleichtert hat. Warum hingegen Firefox immer noch nicht bei F-Droid angeboten wird, weiß vermutlich nicht einmal Mozilla selbst, und das bringt uns zum nächsten Kapitel.
Da leider die allermeisten Apps, darunter neben reinem Vergnügen auch zunehmend für den Alltag relevante wie Banking-Apps, nach wie vor komplett auf die Google-Infrastruktur setzen, wird man in der Praxis nur schwer daran vorbeikommen, von dieser Option Gebrauch zu machen. Insofern finde ich es sehr löblich, dass GrapheneOS einerseits ohne Google-Apps ausgeliefert wird, um eine Google-freie Nutzung zu ermöglichen, andererseits die User aber nicht dazu zwingt, sondern ihnen einen Weg bietet, sie zu nutzen, wo nötig. Und nach drei Monaten Benutzung bin ich begeistert, wie reibungslos das funktioniert. Während bei microG die Kompatibilität immer mal einer Lotterie zu gleichen scheint, ist mir nicht eine App begegnet, die mit den Sandboxed Google-Play-Diensten unter GrapheneOS die Funktion verweigert hätte.
An der Stelle eine Warnung: Über die Play Integrity API haben App-Hersteller mittlerweile die Möglichkeit, die Nutzung unter Custom-ROMs zu unterbinden. Das ist zwar bisher die große Ausnahme, aber es gibt bereits eine Handvoll Apps, die auf diesem Weg GrapheneOS-User von der Verwendung aussperren. Die GrapheneOS-Entwickler führen dazu eine Liste, die regelmäßig aktualisiert wird. Den Dienst auf dem wohl sichersten Android der Welt zu verweigern und dies mit „Sicherheit“ zu begründen mag jedem, der bis drei zählen kann, minimal widersprüchlich erscheinen, aber Versicherungen und Regierungen sind ja nun auch nicht gerade als Leuchtfeuer der Kompetenz bekannt. Für mich ist das schon mal ein Grund mehr, nicht in die Techniker Krankenkasse (nur echt mit Deppenleerzeichen) zu wechseln.
Zu den wenigen Google-Apps, auf welche ich nicht verzichten kann/will, gehört die Pixel Camera. Die von GrapheneOS mitgelieferte Kamera-App reicht, um Bilder und Videos zu machen und QR-Codes zu scannen, und soll in Zukunft auch noch erweitert werden, ist aber Stand jetzt sehr rudimentär ausgestattet. Da ich aber gerade zum Pro-Modell gegriffen habe, um gegenüber meinem Xperia möglichst keine manuellen Kamerafunktionen einzubüßen, führt kein Weg an Googles eigener Kamera-App vorbei. Umso erfreulicher ist es, dass diese aus dem Play Store ganz easy auf jedem Pixel wieder installiert werden kann und auch unter GrapheneOS vollumfänglich funktionsfähig ist. Die damit geschossenen Bilder sind genauso gut wie unter dem Stock-Android. Bei Testläufen mit LineageOS auf dem LG G5 und V30 habe ich es immer als K. O.-Kriterium empfunden, auf die hauseigene Kamera-App des Herstellers und deren Funktionen verzichten zu müssen. Das Problem hat man mit dem Pixel und GrapheneOS dank Googles vorbildlicher Bereitstellung der Apps nicht.
Die anderen Apps, die GrapheneOS als Ersatz zu den Google-Äquivalenten mitliefert, erfüllen diese Aufgabe mehr oder weniger zufriedenstellend. Die SMS/MMS-App unterstützt meines Wissens nach kein RCS, das geht also nur über Google Messages. Der Dateimanager entspricht funktional dem von Google, ich habe dafür aber aufgrund des Fossify-Dateimanagers kaum Bedarf. Die Galerie ist absolut minimalistisch gehalten, besser als Google Fotos, wenn man Wert darauf legt, aber mit der Fossify-Galerie ebenfalls verzichtbar. Bei der Kontakte- und der Anruf-App gibt es hingegen aus meiner Sicht keinen Grund, warum man etwas anderes benutzen sollte. Als Besonderheit bietet die Anruf-App unter GrapheneOS die Möglichkeit, Telefonate auf Knopfdruck mitzuschneiden, wobei der User ausdrücklich darauf hingewiesen wird, dass dies in den meisten Ländern (inkl. Deutschland, Anm. der Redaktion) ohne Zustimmung des Gegenübers strafbar ist und die Entwickler dafür keine Haftung übernehmen. Die Verantwortung, diese Funktion nicht zu missbrauchen, liegt beim User. Erwähnenswert ist auch der vorinstallierte PDF-Viewer, der zusätzlich gegen PDF-Exploits gehärtet ist.
Wer in Sachen Datenaustausch ganz auf Nummer sicher gehen will, kann von der Möglichkeit Gebrauch machen, mehrere Nutzerprofile einzurichten. In jedem Profil sind dann nur die Apps verfügbar, die dafür festgelegt worden sind, und auch nur diese können sich dann eventuell jeweils untereinander austauschen. Eine beliebte Kombination ist das Eigentümer-/Admin-Profil für Systemeinstellungen und App-Installationen, ein Google-freies Alltagsprofil, eins für Banking und eins für alle anderen Apps, welche die Google-Play-Dienste benötigen. So kompliziert habe ich es mir jetzt noch nicht gemacht, zumal jedes Benutzerprofil eine eigene Datenpartition erhält und ein Austausch unter diesen nur über Umwege möglich ist. Eventuell nehme ich das künftig nochmal in Angriff, wenn ich probieren will, wie viel Google-Freiheit bei mir wirklich geht.
Grundsätzlich gilt: Mit den Google-Play-Diensten geht in jedem Fall die Privatsphäre zumindest zum Teil flöten, aber allein schon die Tatsache, dass sie in der Sandbox laufen, ist ein enormer Gewinn für Datenschutz und Sicherheit. Und auch hier ist wieder erfreulich, dass ich nun nur noch die Google-Apps auf dem Gerät haben muss, die ich wirklich benutzen will, und auch diese nur die Rechte haben, die der User ihnen gewährt.
Die andere Berechtigung, die so unter Stock-Android nicht eingestellt werden kann, ist der Zugriff auf alle Sensoren, die nicht in einer anderen Berechtigung wie Kamera oder Mikrofon erfasst sind, wie Bewegungs- oder Temperatursensoren. Diese Berechtigung ist als einzige standardmäßig bei allen Apps aktiv, um Kompatibilitätsprobleme zu vermeiden, kann aber genauso entzogen werden, wenn man sich sicher ist, dass die App sie nicht braucht.
Ein weiteres Feature, das ich bisher bei Android vermisst habe und richtig genial finde, sind Storage Scopes: Damit lässt sich für jede App, die Zugriff aufs Dateisystem benötigt (für Bilder, Musik, Video etc.), z. B. eine Messenger-App, individuell festlegen, auf welche Dateien oder Verzeichnisse sie zugreifen darf. Für die App sieht es so aus, als habe sie die Zugriffsrechte, die sie braucht, um z. B. Bilder aus der Galerie teilen zu können, tatsächlich sieht sie aber nur die Dateien, die man für sie freigegeben hat. Falls ihr also etwa eure Hentai auf eurem NSFW-Discord-Server teilen wollt, aber nicht versehentlich in der familiären Signal-Gruppe, die nur eure Fotos sehen soll, gebt ihr Signal halt nur Zugriff auf das Kamera-Verzeichnis und Discord auf die verbotene Zone – Gefahr entschärft.
Direkt bei den Berechtigungen in den App-Einstellungen findet sich auch zu jeder App der Zugang zum jeweiligen Log. Nicht nur kann man als versierter Nutzer damit noch besser Verbindungen und Datenabflüsse kontrollieren, auch die Fehlersuche dürfte sich damit einfacher gestalten. Im Unterschied zu Stock-Android versucht GrapheneOS nicht, hier irgendwas vor dem User zu verbergen.
Eins der Aushängeschilder von GrapheneOS ist die gehärtete Sandbox mit umfangreichem Exploit-Attackenschutz. Im Normalfall hat man keinen Grund, hieran rumzufummeln, es gibt aber einzelne Apps, die mit einigen dieser Funktionen Probleme haben, was sich etwa in Leistungseinbußen bzw. Ruckeln oder verzögerten Eingaben bemerkbar machen kann. Für diesen Fall hat man bei jeder App die Möglichkeit, in den Einstellungen einzelne dieser Funktionen abzustellen oder durch einen Kompatibilitätsmodus alle auf einmal. In meinem Fall sind es vor allem Discord und Firefox, die mit dem gehärteten Memory-Allocator nicht wirklich zurechtkommen, wodurch beim Scrollen, vor allem mit vielen Bildinhalten, starkes Ruckeln auftritt. Nun sind gerade diese beiden Apps auch für eine ziemlich leidliche Optimierung bekannt, insbesondere Discord ist unter Android technische Grütze, insoweit kann man hierfür nicht GrapheneOS die Schuld geben; dennoch handelt es sich zum Teil um experimentelle Funktionen, die das Erlebnis teilweise noch beeinträchtigen können, insofern ist es hilfreich, diese bei Bedarf deaktivieren zu können, wobei einem klar sein muss, dass man hier ein Stück Sicherheit hergibt.
Der Exploit-Schutz beschränkt sich aber nicht nur auf Apps, sondern auch auf Systemebene hat GrapheneOS hier einige erwähnenswerte Schutzmaßnahmen gegen Angreifer zu bieten:
Mein persönliches Highlight aber ist das Duress-Passwort: Für den Fall, dass man in eine Situation gerät, in der man gezwungen ist, die PIN bzw. das Passwort (je nach gewählter Entsperrmethode) zu verraten oder einzugeben, um Zugang zum Gerät zu gewähren, lassen sich eine alternative PIN und ein Passwort festlegen, bei deren Eingabe das System sofort einfriert, im Hintergrund alle eSIMs sowie sämtliche Schlüssel vom Gerät löscht, was alle Daten auf dem internen Speicher dauerhaft unbrauchbar macht, und es anschließend herunterfährt. Gebrickt wird das Smartphone dadurch nicht, lässt sich aber dann nur noch auf die Werkseinstellungen zurücksetzen. Clever: Diese Aktion kann nicht nur beim Entsperren des Bildschirms ausgelöst werden, sondern überall, wo die PIN bzw. das Passwort abgefragt wird.
Wenn man ein Bedrohungsmodell hat, in dem man ernsthaft damit rechnen muss, von diesem Feature Gebrauch zu machen, sollte man zwei Regeln beachten: Erstens müssen Duress-PIN und -Passwort sich hinreichend von der richtigen PIN/dem richtigen Passwort unterscheiden, sodass man diesen Prozess nicht versehentlich durch einen einfachen Tippfehler auslösen kann. Und zweitens darf man dann logischerweise keine biometrische Entsperrung benutzen, aber das sollte man ohnehin nicht in einem Rechtssystem, in dem man nicht gezwungen werden kann, eine PIN oder ein Passwort zu verraten, aber die Polizei sehr wohl durch Zwang Fingerabdrücke oder Fotos verwenden darf, um ein Gerät zu entsperren; und andere Kriminelle pfeifen sowieso auf geltendes Recht. Bei Letzterem haben die GrapheneOS-Entwickler jedoch bereits mitgedacht und mit dem letzten Dezember-Update eine optionale 2-Faktor-Authentifizierung für Fingerabdrücke eingebaut, sodass man zum Fingerabdruck zusätzlich eine PIN eingeben muss, die aber kürzer ausfallen kann als die übliche PIN oder Passphrase. Entsperrung per Gesichtserkennung gibt es unter GrapheneOS nicht, und da man davon ausgehen kann, dass die Nachfrage danach bei dessen sicherheitsbewussten Usern überschaubar ist, hat es auch keine besondere Priorität.
Lange Rede, kurzer Sinn: Google, so ironisch das auch sein mag, ist der einzige Hersteller von Android-Smartphones, der das Thema Sicherheit bei seinen Geräten wirklich ernst nimmt, sowohl auf Hardware-Ebene als auch in Sachen Software-Updates, und gleichzeitig nicht nur eine unkomplizierte Installation von Custom-ROMs erlaubt, sondern diesen auch vollen Zugriff auf sämtliche Sicherheitsfunktionen des Geräts gewährt. Letzteres macht sich schon dadurch bemerkbar, dass der Bootloader entsperrt werden kann, sobald man das Gerät das erste Mal eingerichtet hat, ohne dass man dafür einen Code vom Hersteller anfragen, seine Eigentumsrechte aufgeben, eine Woche warten oder barfuß auf Glasscherben drei Kilometer sackhüpfen muss. Mit dem Titan M2 haben die aktuellen Pixels zudem ein wirklich gutes Secure Element, welches unter anderem effektiven Schutz gegen Brute-Force-Attacken bietet. Und Google liefert nicht nur am regelmäßigsten und (logischerweise) am schnellsten Updates aus, sondern hat ab den Pixel-Geräten der 8. Generation den Supportzeitraum sogar auf 7 Jahre angehoben, und stellt ebenso zügig aktuellen Treiber-Code bereit. Die Entwickler wissen, dass die Implementierung der Updates bei jedem Dritthersteller eine gewisse Zeit braucht, weshalb sie hier für die monatlichen Android Security Bulletin Patches eine Verteilfrist von maximal einer Woche ab Erscheinen zulassen, für Treiber u. ä. etwas mehr. Aber schon da versagen die meisten Android-Hersteller auf ganzer Linie. Auch beim Fairphone, auf dem man einen solchen nutzerfreundlichen Ansatz am ehesten erwarten würde, ist da längst nicht alles Gold, was glänzt.
Für die breite Masse mag es kontraproduktiv sein, dass die Verfügung von GrapheneOS auf so wenige Geräte bzw. derzeit einen einzigen Hersteller beschränkt ist, aber eine breite Geräteunterstützung ist gar nicht das Ziel des Projekts. GrapheneOS hat den Anspruch, das Maximum an Datenschutz und Sicherheit aus Android-Smartphones herauszuholen, man kann es durchaus als Machbarkeitsstudie betrachten, was in Sachen Sicherheit geht; und dementsprechend streng und kompromisslos sind die Anforderungen der Entwickler an die Geräte. Micay hat bereits angegeben, dass langfristig ein OEM gefunden werden soll, welcher Smartphones anfertigt, die direkt mit GrapheneOS ausgeliefert werden, sodass der Zwang entfallen könnte, ein Pixel zu kaufen.
Glücklich bin ich damit auch nicht unbedingt. Mit einem Pixel geht man im Vergleich zu anderen Smartphones hardwaremäßig aus meiner Sicht einen gigantischen Kompromiss ein: Wie so viele andere Modelle auch haben die Pixels keinen Kopfhöreranschluss, was mich als Audio-Nerd tierisch stört. Ebenso verzichten sie auf den microSD-Slot, und die Strategie dahinter ist klar und bereits von Apple bekannt: Den User in die Cloud locken oder für Speicherplatz abzocken. Die Option, sich günstig ein Gerät mit kleinerem Speicher zu kaufen und dann per microSD bis zu 1 TB nachzurüsten, fällt damit weg; und wer ordentlich Speicher will (denn was sind heute noch 128 GB, wenn man viel fotografiert, filmt und eventuell auch Videos und Musik lokal speichern will?), der darf ordentlich blechen.
Googles Tensor-G-Prozessoren sind zudem mit ihrer Rechenleistung eher auf dem Stand der Qualcomm-Topmodelle von vor zwei, drei Jahren, womit die Pixels der Konkurrenz in Sachen Leistung hinterherhinken, egal wie sehr sie versuchen, das mit ihren durchaus performanten „KI“-Einheiten zu kompensieren. Die erste Wahl in Sachen Gaming sind sie daher definitiv nicht, vor allem nicht bei Spielen wie dem sehr beliebten „Genshin Impact“, die ihrerseits oft nicht besonders gut optimiert sind, weil die Entwickler sich darauf ausruhen, dass der User ja ein performanteres Smartphone kaufen kann, wenn ihm das Spiel zu viel ruckelt.
Und habe ich eigentlich schon erwähnt, was für eine Grütze die Lautsprecher bei dem Pixel 8 Pro sind? Nun haben Smartphones noch nie den Anspruch gehabt, HiFi-Maßstäben zu genügen; aber bei Sony gibt es wenigstens einen vernünftigen Ansatz mit echten Stereo-Lautsprechern ober- und unterhalb des Displays (wobei es sich wieder bezahlt macht, dieses eben nicht komplett randlos zu machen), wo auch die Kanäle sauber getrennt werden; und ich gehe so weit zu sagen, dass das Xperia 5 III nicht nur die besten Lautsprecher hat, die ich je bei einem Smartphone erlebt habe (was sicher auch daran liegt, dass ich höherpreisige und aktuellere Xperias nicht getestet habe), sondern auch besser klingt als viele Fernseher. Das war natürlich ein völlig inakzeptabler Zustand, gegen den Google aber Abhilfe geschaffen hat: Mit dem Pixel 8 Pro klingt Audio über die internen Lautsprecher wieder genauso blechern und beschissen, wie man es bei einem Smartphone erwarten würde: Der zweite Lautsprecher quer an der Unterseite des Geräts statt unter dem Display (Stichwort Phase), dazu keine saubere Trennung der Stereo-Kanäle (irgendwie nichts Halbes und nichts Ganzes) und ein unausgewogenes Frequenzspektrum mit einem merkwürdig künstlichen Bass, der den Klang noch dumpfer macht.
Passenderweise dazu war der Musikplayer auch die App, die mir bei der Migration am meisten Kopfschmerzen bereitet hat: Sonys hauseigener Player, den ich jahrelang genutzt habe und der hübsch gestaltet, schlicht und funktional ist, ist den Xperia-Geräten vorbehalten, also musste zwangsläufig Ersatz her. Es sollte auf keinen Fall einer mit Werbung sein, das hat die Auswahl schon mal extrem eingedünnt. Nicht alle bieten Ordneransicht an oder sortieren sie so, wie ich sie haben will, dann hat man einen vor sich, der die Albenbilder nicht richtig liest, der nächste kann mit japanischen Schriftzeichen nicht umgehen, und Dateinamen mit Letzteren sortiert auch gefühlt jede App anders, nur nicht so, wie ich es gewohnt bin. Nach ewigem Hin und Her, bei denen ich mal wieder gemerkt habe, wie anstrengend es sein kann, ein Gewohnheitstier auf dem Spektrum zu sein, bin ich schließlich bei Musicolet gelandet, habe auch die Premium-Funktionen bezahlt und kann damit jetzt leben.
Nachdem diese Startschwierigkeiten überwunden waren und sich immer mehr die Vorzüge von GrapheneOS zeigten, wurde auch mein Eindruck vom Gerät selbst positiver. Das Display ist heller als beim Xperia 5 III und hat auch nicht dessen leichten Blaustich, abgesehen von der krummen Auflösung, die ich immer noch nicht wirklich nachvollziehen kann, kann ich über das Display echt nicht meckern. Die Akkulaufzeit ist besser, als sie sich in Produkttests angehört hat, wobei GrapheneOS wohl auch dazu beiträgt, den Akkuverbrauch zu reduzieren, indem es die Sendeaktivitäten im Hintergrund, vor allem Richtung Google, beschränkt. Der Mobilfunkempfang funktioniert besser als beim Sony, WLAN-Empfang scheint dafür vor allem durch Wände etwas schlechter zu sein. Von der Nutzung her fühlt es sich ansonsten ähnlich an, wobei ich Sonys bessere Akku-Optimierung vermisse, die mehr Optionen zuließ als das Laden auf 80 % zu begrenzen. Außerdem hat Google mit Android 14 wohl die Funktion kaputtgemacht, zwei SIM-Karten unterschiedliche Ruftöne zuzuweisen, und der Fehler ist in Android 15 noch nicht behoben.
Der Ärger über den fehlenden microSD-Slot wiederum ist mittlerweile ein wenig der Erleichterung gewichen, dass auf dem Gerät kein Speicherbereich mehr ist, der gefährdet wäre, falls das Gerät abhanden kommen sollte. Denn tatsächlich sind microSD-Karten bei jedem Smartphone die Achillesferse in Sachen Datensicherheit, weil es keine Möglichkeit gibt, sie zu verschlüsseln und gleichzeitig noch auf anderen Geräten (warum sonst heißen die Dinger „Wechseldatenträger“?) zu verwenden. Die Android-interne Verschlüsselung zu aktivieren macht die microSD-Karte auf allen anderen Geräten unlesbar, im Fall eines Smartphone-Defekts sind dann auch die Daten weg. Was mir hier fehlt, ist eine Art VeraCrypt-Client für Android, der Verschlüsselung bei Erhalt der Interoperabilität ermöglichen würde. GrapheneOS mag das aktuell aufgrund der Beschränkung auf Pixels nicht brauchen, aber wenn ich mir künftig ein Feature auf diesem System wünschen würde, dann das.
Kommen wir nun zum Pferdefuß des Ganzen: Das größte Handicap (no pun intended) der Pixels in Anbetracht der Abstriche, die man bei der Hardware machen muss, ist ohne Zweifel Googles Preispolitik. Google versucht, sich als ebenbürtig zu Apple zu positionieren, tut dies aber letztendlich auch nur beim Preis und der Sicherheit. Die Konkurrenz hat für das gleiche Geld einfach mehr zu bieten (wäre da nur nicht das Geschludere bei der Sicherheit!) oder – und das ist das weit größere Problem – ist schlichtweg günstiger. Ein wenig relativiert sich das Ganze wieder dadurch, dass Google mittlerweile bei neuen Geräten 7 Jahre Update-Support anbietet, weil man die Geräte dadurch nicht nur guten Gewissens länger nutzen kann (wobei sich bei den mittelprächtigen CPUs die Frage stellt, ob die wirklich so lange im Einsatz bleiben), sondern man auch ohne Bauchschmerzen zu einem Modell greifen kann, das schon vor ein oder zwei Jahren erschienen ist, sofern der Preis auf ein humanes Niveau gesunken ist. Das Kernproblem bleibt dennoch, dass das niedrigpreisige Segment (worunter ich alles unter 400 Euro verstehe) mit den Pixels quasi gar nicht bedient wird – das Pixel 8a hat sich erst vor einiger Zeit knapp unter 400 Euro eingependelt. Datenschutz und Sicherheit, wie GrapheneOS sie bietet, verkommen damit wieder einmal zu einem Privileg, das man sich erst einmal leisten können muss.
Ich für meinen Teil habe nicht vor, jemals wieder ein Android unter dem Sicherheitsniveau von GrapheneOS einzusetzen. Würde ich euch deswegen raten, nur noch ein Pixel mit GrapheneOS einzusetzen? Das kommt am Ende darauf an, wie wichtig euch Datenschutz und Sicherheit sind, oder besser gesagt: Ob sie euch wichtig genug sind, dass ihr bereit seid, auf Features zu verzichten, welche die Pixels nicht bieten, andere Hersteller aber schon. Denn für das Geld, das man für ein neues Pixel auf den Tisch legt, bekommt man woanders definitiv Hardware, die mehr Spaß macht; und umgekehrt sind andere Smartphones mit vergleichbarer Leistung meist günstiger. Ich sage es mal ganz trocken: Ein aktuelles Xperia 1 mit den Sicherheitsmerkmalen eines Pixel, auf dem GrapheneOS liefe, wäre für mich der Heilige Gral, das perfekte Smartphone. Klar, irgendeinen Tod muss man sterben, aber momentan ist es leider immer mehr als einer und damit mindestens einer zu viel.
Bei rein geschäftlich genutzten Geräten, wo derlei Befindlichkeiten keinerlei Stellenwert haben, sehe ich dagegen keinen Grund, noch irgendetwas anderes einzusetzen als GrapheneOS, insbesondere unter dem Gesichtspunkt, dass hier nicht nur die eigenen Daten, sondern auch die der Geschäftspartner oder Kundschaft bestmöglich geschützt werden müssen. Selbst der Preis ist kein Argument in Umgebungen, in denen derzeit großflächig iPhones im Einsatz sind, zumal die Anschaffungskosten am Ende sowieso von der Steuer abgeschrieben werden. Und in Anbetracht der Tatsache, wie sich in Übersee ein Tech-Milliardär nach dem anderen der neuen faschistoiden Regierung unterordnet, ein weiteres untergegangenes Weltreich seinerseits Angriffe auf unser aller Daten bei Apple und anderswo unternimmt, und unsere Abhängigkeit von Big Tech uns immer mehr wortwörtlich mit runtergelassenen Hosen dastehen lässt, drängt sich mehr und mehr nicht nur die Frage auf, inwieweit sich das Altbewährte noch gesetzeskonform einsetzen lässt, sondern auch, ob man, gerade als Unternehmen, überhaupt noch einen Datenabfluss zu diesen Konzernen riskieren will.
Das war die Sonntagspredigt für heute, und wenn ihr bis hierher durchgehalten habt, hoffe ich, dass ihr daraus irgendwas gelernt habt. Fragen und Anregungen nehme ich gern entgegen, ansonsten noch ein schönes Wochenende.
Vorgeschichte
Nachdem LG seiner Smartphone-Sparte endgültig den Stecker zog (ich vermisse immer noch den Kopfhörerverstärker des V30), war ich jetzt drei Jahre auf einem Sony Xperia 5 III unterwegs. Ausschlaggebend waren für mich seinerzeit die Kopfhörerbuchse, umfangreiche Codec-Unterstützung, der microSD-Slot und die Kamerafunktionen. Auch war Sony immer zu bräsig, seine Displays in gleicher Weise zu verunstalten wie die anderen Hersteller, die alle der Reihe nach Apple kopierten – keine Notch, kein Gloryhole, richtige Display-Ränder, und eine vernünftige Auflösung für Video-Anzeige. Dazu vergleichsweise handlich und leicht, das Betriebssystem deutlich näher am Stock-Android als vorher bei LG (mit einzelnen sinnvollen Ergänzungen) – eigentlich ein Träumchen von einem Smartphone. Wäre da nicht der Software-Support… Die Updates kamen häufiger als bei LG, aber dennoch war zuverlässig im Juli 2023 Schluss – schon in Rezensionen waren zwei Jahre Updates für ein Smartphone mit einer UVP von 999 € stets der größte Kritikpunkt. Mittlerweile ist Sony zwar bei neuen Modellen auf vier Jahre hochgegangen, das nützt mir aber nichts mehr.Deshalb und aufgrund des mittlerweile altersschwachen Akkus bahnte sich in den letzten Monaten ein Wechsel an, mit dem Wissen, dass ich mindestens einen Tod zu viel würde sterben müssen, weil der Smartphone-Markt aus meiner Sicht schon seit Jahren komplett im Arsch und eine weitgehende Chronik der Enshittification ist. Rein hardwaremäßig hätte es wieder ein Sony werden müssen; doch aufgrund des immer stärker um sich greifenden Autoritarismus in der Welt, einschließlich der EU und auch Deutschland, und wachsender Übergriffigkeit in Politik, Behörden und Konzernen, hat in den letzten 2 Jahren vor allem dank Chatkontrolle inkl. Client-Side-Scanning, Pegasus, Palantir etc. das Thema Sicherheit und digitale Selbstverteidigung bei mir einen immer größeren Stellenwert erlangt. Ich wusste schon von der Existenz sicherer, datenschutzfreundlicher Custom-ROMs wie CalyxOS oder GrapheneOS, doch habe ich mich eben aufgrund der fehlenden Kopfhörerbuchse und des nicht vorhandenen microSD-Slots lange dagegen gesträubt, mir dafür ein Pixel zu kaufen (dazu weiter unten mehr), zumal ich bei dem Sony die Kamera-Apps wirklich schätze, die einem sowohl bei Foto- als auch Videoaufnahmen Einstellmöglichkeiten auf professionellem Niveau bieten. Aus diesem Grund schied auch das aktuelle Fairphone als Option aus, obwohl ich das nachhaltige Konzept dahinter sehr schätze.
Die Entwicklungen im November haben aber dann schließlich bei mir zu der Einsicht geführt, dass die Zeit, Komfort über Sicherheit zu stellen, endgültig vorbei ist. So habe ich schließlich doch in den sauren Apfel gebissen und bei guter Gelegenheit zu einem vertretbaren Preis ein Pixel 8 Pro mit 512 GB Speicher geschossen, auf welchem ich direkt nach dem Auspacken GrapheneOS installiert habe, auch weil ich zuvor einen Bericht gelesen hatte, wonach aktuelle Pixels mit GrapheneOS die einzigen Smartphones seien, die sich in gesperrtem Zustand mit einem aktuellen Cellebrite-Trojaner nicht aufbrechen lassen.
Nach drei Monaten schreibe hier ich meine Eindrücke und Gedanken zum Betriebssystem nieder und mache für Interessenten auf die Vorzüge aufmerksam. Bei der Gelegenheit gehe ich auch auf das Gerät selbst ein und vergleiche die Nutzererfahrung mit meinem alten Xperia.
GrapheneOS?
Custom-ROMs auf Android-Smartphones sind genauso ein alter Hut wie Rooten. Seit den Tagen von CyanogenMod hat sich eine Vielzahl an Custom-ROMs herausgebildet, viele davon mit dem Anspruch, das Android-Erlebnis weniger Google-lastig zu machen oder älteren Geräten, die keine Updates mehr erhalten, ein zweites Leben einzuhauchen, was mal mehr, mal weniger gut gelingt.GrapheneOS sticht insoweit unter den Custom-ROMs hervor, als dass es kompromisslos auf Datenschutz und Sicherheit optimiert ist. Es basiert auf dem Android Open Source Project und ist komplett spendenfinanziert. Entwickelt wurde es von dem kanadischen Entwickler Daniel Micay, der früher bei CopperheadOS gearbeitet hat, bis es zwischen ihm und dem CEO der Firma zum Zerwürfnis kam und er seinen Code unter offener Lizenz mit neuem Namen veröffentlichte. Mehrere Sicherheitsfeatures, die zuerst bei GrapheneOS enthalten waren, wurden mittlerweile offiziell in Android implementiert, z. B. zufällige MAC-Adressen bei jeder Verbindung. Ich kann davon nicht alle im Detail beschreiben, weil es auch nicht ganz meine Baustelle ist, sondern werde mich in diesem Bericht auf die Funktionen beschränken, die mir besonders aufgefallen sind und bei denen auch für Laien der Nutzen schnell ersichtlich ist.
Wenn ihr einen ausführlichen Test des Systems mit Fokus auf Datenschutz und Sicherheit von jemandem, der Ahnung hat, lesen wollt, verweise ich an der Stelle auf das Kuketz-Blog, wo auch andere Custom-ROMs getestet und verglichen wurden. Auch dieser Vergleich, aus dem GrapheneOS als klarer Sieger hervorging, hat meine Kaufentscheidung maßgeblich beeinflusst; ebenso wie Edward Snowden, der es bereits zweimal als das mobile Betriebssystem seiner Wahl bezeichnet hat.
GrapheneOS ist derzeit ausschließlich für ausgewählte Google-Pixel-Geräte erhältlich, was zwar sachliche Gründe hat, aber gleichzeitig auch für die meisten Leute die größte Hürde darstellen dürfte. Die Systemupdates übernehmen den Code von Google im AOSP, wodurch sie schnell ausgeliefert werden können, gleichzeitig aber auch an den Supportzeitraum von Google gekoppelt sind – darüber hinaus erhalten Geräte nur noch Legacy-Support mit AOSP-Sicherheitsupdates, aber keine Firmware- oder Treiberupdates mehr.
Installation
Wie bei jedem Custom-ROM muss für die Installation zunächst der Bootloader des Geräts entsperrt werden. Dafür aktiviert man die Entwickleroptionen (in den Einstellungen unter „Über das Telefon“ siebenmal auf die Build-Nummer tippen) und setzt dort den Haken bei „OEM-Entsperrung zulassen“ sowie „USB-Debugging“. Anschließend muss das Gerät im Bootloader-Modus gebootet und am Rechner angeschlossen werden. Da eine Entsperrung des Bootloaders grundsätzlich einen Factory-Reset zur Folge hat, empfiehlt es sich, die Installation des Systems direkt nach dem Kauf durchzuführen, anderenfalls muss man vorher von seinen Daten ein Backup anfertigen.Neben der klassischen Entsperrung und Installation über die Kommandozeile bietet GrapheneOS auch einen Web-Installer im Browser an, mit welchem sich das Prozedere idiotensicher durch Klicks auf die jeweiligen Buttons erledigen lässt. Damit das Ganze unter Windows funktioniert, müssen dafür erst die nötigen Treiber für das Gerät installiert werden.
Bei mir hat der Installer allerdings weder unter Windows, noch unter Linux funktioniert, sodass für mich am Ende doch der Weg über’s Linux-Terminal führte, was dann reibungslos geklappt hat. Den entscheidenden Absatz, dem ich hätte die Ursache entnehmen können, hatte ich zuvor überlesen: Der Installer funktioniert nur in Chromium-basierten Browsern, und ich hatte ihn im Firefox geöffnet.
Da GrapheneOS im Unterschied zu den meisten anderen Custom-ROMs Verified Boot unterstützt, kann der Bootloader nach der Installation wieder gesperrt werden, was man auch unbedingt tun sollte, da ein offener Bootloader eine erhebliche Sicherheitslücke darstellt. Damit wird auch sichergestellt, dass das System nur bootet, wenn es nicht manipuliert wurde. Nach der erneuten Sperrung des Bootloaders muss man daran denken, in den Entwickleroptionen auch wieder USB-Debugging und OEM-Entsperrung zu deaktivieren.
Es gibt darüber hinaus auch Anbieter wie NitroKey, welche unter anderem Namen Pixel-Smartphones mit vorinstalliertem GrapheneOS anbieten. Von derlei Angeboten rate ich allerdings ausdrücklich ab. Nicht nur sind die Aufpreise, die diese Händler dafür nehmen, gepfeffert, sondern die Preise in diesen Shops werden häufig auch nicht an die Marktentwicklung der Gerätepreise angepasst. Beispiel: Ein Google Pixel 8 Pro mit 128 GB ist aktuell ab ca. 520 € verfügbar, die Version mit 512 GB ab 850 €. Das NitroPhone 4 Pro kostet derzeit rund 1.390 € mit 128 GB und 1.790 € mit 512 GB. Alles was recht ist, aber die Installation von GrapheneOS ist, vor allem für geübtes Personal, kein Arbeitsaufwand, der Aufpreise um die 900 € auch nur im Ansatz rechtfertigt, auch nicht unter Berücksichtigung von Steuern, Abschreibungen und Betriebskosten. Sorry, ist es nicht. Da hilft es auch nicht, dass man bei Bestellung je nach Paranoialevel gleich die Mikrofone oder Kameras entfernen lassen kann, wofür nochmal 400 € fällig werden, die nach meiner fachmännischen Einschätzung ebenfalls in keinem Verhältnis zum Arbeitsaufwand stehen. Hier werden sich gezielt die Ängste und mangelnde Kenntnisse der Kundschaft zunutze gemacht, um sie nach Strich und Faden abzuzocken, und das halte ich für ein hochgradig unseriöses Geschäftsmodell.
Mit dem Web-Installer kann euch im Grunde nichts passieren, da dieser ganz automatisch das richtige Modell erkennt, den Bootloader entsperrt, das passende Image flasht und den Bootloader auch wieder sperrt. Solltet ihr euch trotzdem nicht trauen, die Installation selbst in die Hand zu nehmen, sucht euch lieber jemanden in eurem Bekanntenkreis, der technisch versierter ist und die Sache für euch übernimmt. Im allergrößten Notfall findet ihr auch einen unabhängigen Händler/Reparaturservice, der euch einen humanen Preis für diese Dienstleistung machen kann.
Einrichtung und Apps
Die Ersteinrichtung von GrapheneOS erfolgt wie bei jedem anderen Android-Smartphone auch, mit dem Unterschied, dass hierbei weder ein Google-Konto noch andere Google-Dienste eingerichtet werden. Jede Sprache, die unter Stock-Android verfügbar ist, kann auch hier eingestellt werden, spezielle GrapheneOS-exklusive Funktionen in Menüs sind allerdings nicht übersetzt und werden nur auf Englisch angezeigt. In meinem Fall musste außerdem eine eSIM eingerichtet werden. Der eSIM-Support ist mit an Bord, muss aber erst aktiviert werden und erfordert einen Neustart des Geräts. eSIMs, die bereits vor der Installation im Gerät hinterlegt waren, sind von dem Wipe durch die Bootloader-Entsperrung nicht betroffen und auch nach Installation von GrapheneOS bereits vorhanden.
|
| 
|
Der Ersteindruck wirkt vertraut, wenn man bisher Googles Stock-Android eingesetzt hat oder ein Smartphone, das sich weitgehend daran hält. Was mich am App-Launcher von GrapheneOS ein wenig stört, ist, dass man die Apps nicht anderweitig anordnen und ggf. in Ordner sortieren kann – bei Sony konnte ich das und ich habe es gern aufgeräumt. Da alternative Home-Launcher aber hier keine zufriedenstellende Abhilfe geschaffen haben, belasse ich es bis auf weiteres dabei. Das System wird komplett ohne Google-Apps ausgeliefert, vorinstalliert sind nur eine Handvoll Apps zum Betriebssystem, um die Grundfunktionen bereitstellen zu können. Dadurch kommt GrapheneOS schlanker daher als so manche Linux-Distribution und räumt gleich zu Beginn einen der größten Nervfaktoren der meisten Android-Systeme aus dem Weg: Diverse vom Hersteller vorinstallierte Bloat-/Junkware, die sich höchstens deaktivieren, aber nicht deinstallieren lässt. Jede zusätzliche Software erhöht die Angriffsfläche, also liefert GrapheneOS davon so wenig wie möglich aus.
Mit an Bord ist mit Vanadium auch ein gehärteter Chromium-Browser, der die WebView-Schnittstelle zur Anzeige von Webinhalten in anderen Apps ist, aber genauso zum Surfen taugt und dabei laut Test in Sachen Sicherheit besser abschneidet als so mancher Konkurrent. Da ich aber seit jeher auch auf Android mit Firefox surfe (allein schon wegen der Möglichkeit, uBlock Origin zu installieren), diente Vanadium mir nur dazu, bei der Ersteinrichtung F-Droid zu installieren. Auf diesem Weg habe ich dann auch gleich die Hälfte meines App-Pools installiert, die nicht nur im Play Store verfügbar ist: Neben den Messengern Signal und Threema Libre, Mullvad VPN, OpenKeychain sowie Grayjay für YouTube ist seit einiger Zeit endlich Thunderbird auf Android erhältlich und bietet sogar die Option, per QR-Scan alle Mail-Konten mitsamt Konfiguration ganz einfach vom Desktop-Client zu importieren. Ich hatte bisher immer FairEmail genutzt und bin damit auch sehr zufrieden, hatte aber aufgrund der unsicheren Situation bei der Entwicklung, die ja ein Ein-Mann-Projekt ist, darauf gewartet, dass sich für den Fall des Falles mit Thunderbird eine Alternative auftut.
Ich war außerdem schon auf dem Xperia ein begeisterter Nutzer der Simple Mobile Tools, aber seit diese verkauft wurden, tut sich da nichts mehr. Glücklicherweise gibt es mit Fossify einen Fork, der zudem keine Funktionen hinter eine Paywall packt, damit war das Problem auch schnell gelöst, was den Umstieg sehr erleichtert hat. Warum hingegen Firefox immer noch nicht bei F-Droid angeboten wird, weiß vermutlich nicht einmal Mozilla selbst, und das bringt uns zum nächsten Kapitel.
De-Googled oder auch nicht
Will oder muss man Apps aus dem Google Play Store benutzen, muss dieser zunächst mitsamt Google-Play-Diensten über den systemeigenen App Store installiert werden. Andere Custom-ROMs wie CalyxOS oder /e/OS setzen auf microG, eine quelloffene Implementierung der Google-Play-Dienste, und Aurora Store, welcher einen anonymen Zugang zu den Play-Store-Apps ermöglicht. Da diese aber auch nicht ganz frei von Sicherheitsproblemen sind, hat GrapheneOS einen anderen Ansatz gewählt: Hier werden die originalen Google-Play-Services ausgeführt und der Play Store installiert, laufen aber wie alle normalen Apps auch in der Sandbox, die unter GrapheneOS nochmal gehärtet ist, und verfügen nicht über systemweite Sonderprivilegien wie unter jedem werkseitig installierten Android. Dadurch können die Google-Play-Services, die normalerweise ständig nach Hause telefonieren, deutlich weniger Informationen an Google übertragen, da sie etwa auf Telefonnummern, IMEI, Standort, SIM-Kartennummern etc. schlichtweg keinen Zugriff haben.|
|
|
Da leider die allermeisten Apps, darunter neben reinem Vergnügen auch zunehmend für den Alltag relevante wie Banking-Apps, nach wie vor komplett auf die Google-Infrastruktur setzen, wird man in der Praxis nur schwer daran vorbeikommen, von dieser Option Gebrauch zu machen. Insofern finde ich es sehr löblich, dass GrapheneOS einerseits ohne Google-Apps ausgeliefert wird, um eine Google-freie Nutzung zu ermöglichen, andererseits die User aber nicht dazu zwingt, sondern ihnen einen Weg bietet, sie zu nutzen, wo nötig. Und nach drei Monaten Benutzung bin ich begeistert, wie reibungslos das funktioniert. Während bei microG die Kompatibilität immer mal einer Lotterie zu gleichen scheint, ist mir nicht eine App begegnet, die mit den Sandboxed Google-Play-Diensten unter GrapheneOS die Funktion verweigert hätte.
An der Stelle eine Warnung: Über die Play Integrity API haben App-Hersteller mittlerweile die Möglichkeit, die Nutzung unter Custom-ROMs zu unterbinden. Das ist zwar bisher die große Ausnahme, aber es gibt bereits eine Handvoll Apps, die auf diesem Weg GrapheneOS-User von der Verwendung aussperren. Die GrapheneOS-Entwickler führen dazu eine Liste, die regelmäßig aktualisiert wird. Den Dienst auf dem wohl sichersten Android der Welt zu verweigern und dies mit „Sicherheit“ zu begründen mag jedem, der bis drei zählen kann, minimal widersprüchlich erscheinen, aber Versicherungen und Regierungen sind ja nun auch nicht gerade als Leuchtfeuer der Kompetenz bekannt. Für mich ist das schon mal ein Grund mehr, nicht in die Techniker Krankenkasse (nur echt mit Deppenleerzeichen) zu wechseln.
Zu den wenigen Google-Apps, auf welche ich nicht verzichten kann/will, gehört die Pixel Camera. Die von GrapheneOS mitgelieferte Kamera-App reicht, um Bilder und Videos zu machen und QR-Codes zu scannen, und soll in Zukunft auch noch erweitert werden, ist aber Stand jetzt sehr rudimentär ausgestattet. Da ich aber gerade zum Pro-Modell gegriffen habe, um gegenüber meinem Xperia möglichst keine manuellen Kamerafunktionen einzubüßen, führt kein Weg an Googles eigener Kamera-App vorbei. Umso erfreulicher ist es, dass diese aus dem Play Store ganz easy auf jedem Pixel wieder installiert werden kann und auch unter GrapheneOS vollumfänglich funktionsfähig ist. Die damit geschossenen Bilder sind genauso gut wie unter dem Stock-Android. Bei Testläufen mit LineageOS auf dem LG G5 und V30 habe ich es immer als K. O.-Kriterium empfunden, auf die hauseigene Kamera-App des Herstellers und deren Funktionen verzichten zu müssen. Das Problem hat man mit dem Pixel und GrapheneOS dank Googles vorbildlicher Bereitstellung der Apps nicht.
Die anderen Apps, die GrapheneOS als Ersatz zu den Google-Äquivalenten mitliefert, erfüllen diese Aufgabe mehr oder weniger zufriedenstellend. Die SMS/MMS-App unterstützt meines Wissens nach kein RCS, das geht also nur über Google Messages. Der Dateimanager entspricht funktional dem von Google, ich habe dafür aber aufgrund des Fossify-Dateimanagers kaum Bedarf. Die Galerie ist absolut minimalistisch gehalten, besser als Google Fotos, wenn man Wert darauf legt, aber mit der Fossify-Galerie ebenfalls verzichtbar. Bei der Kontakte- und der Anruf-App gibt es hingegen aus meiner Sicht keinen Grund, warum man etwas anderes benutzen sollte. Als Besonderheit bietet die Anruf-App unter GrapheneOS die Möglichkeit, Telefonate auf Knopfdruck mitzuschneiden, wobei der User ausdrücklich darauf hingewiesen wird, dass dies in den meisten Ländern (inkl. Deutschland, Anm. der Redaktion) ohne Zustimmung des Gegenübers strafbar ist und die Entwickler dafür keine Haftung übernehmen. Die Verantwortung, diese Funktion nicht zu missbrauchen, liegt beim User. Erwähnenswert ist auch der vorinstallierte PDF-Viewer, der zusätzlich gegen PDF-Exploits gehärtet ist.
Wer in Sachen Datenaustausch ganz auf Nummer sicher gehen will, kann von der Möglichkeit Gebrauch machen, mehrere Nutzerprofile einzurichten. In jedem Profil sind dann nur die Apps verfügbar, die dafür festgelegt worden sind, und auch nur diese können sich dann eventuell jeweils untereinander austauschen. Eine beliebte Kombination ist das Eigentümer-/Admin-Profil für Systemeinstellungen und App-Installationen, ein Google-freies Alltagsprofil, eins für Banking und eins für alle anderen Apps, welche die Google-Play-Dienste benötigen. So kompliziert habe ich es mir jetzt noch nicht gemacht, zumal jedes Benutzerprofil eine eigene Datenpartition erhält und ein Austausch unter diesen nur über Umwege möglich ist. Eventuell nehme ich das künftig nochmal in Angriff, wenn ich probieren will, wie viel Google-Freiheit bei mir wirklich geht.
Grundsätzlich gilt: Mit den Google-Play-Diensten geht in jedem Fall die Privatsphäre zumindest zum Teil flöten, aber allein schon die Tatsache, dass sie in der Sandbox laufen, ist ein enormer Gewinn für Datenschutz und Sicherheit. Und auch hier ist wieder erfreulich, dass ich nun nur noch die Google-Apps auf dem Gerät haben muss, die ich wirklich benutzen will, und auch diese nur die Rechte haben, die der User ihnen gewährt.
A propos Rechte...
Als Teil des erweiterten Berechtigungsmodells von GrapheneOS lässt sich jeder App auch die Berechtigung für den Netzwerkzugriff bei Bedarf gewähren oder entziehen, womit die Pixel-Kamera im Unterschied zum Stock-Android auch nicht nach Hause telefoniert. Mein erster Gedanke war: „Geil!“ Mein zweiter Gedanke war: „Wozu braucht die Kamera eine Internetverbindung?“ Mit dieser Berechtigung lassen sich noch so einige andere Schlupflöcher stopfen: Als Tastatur gibt es allein schon für vernünftige japanische Eingabe auch unter GrapheneOS keine vollwertige Alternative zu Gboard, aber Netzwerkberechtigung muss man dieser Tastatur nur zur Installation der Sprachpakete gewähren und kann sie ihr dann wieder entziehen – Keylogging dürfte sich damit für Google erheblich schwieriger gestalten. Ein Nachteil: Auch Späße wie der integrierte GIF-Finder funktionieren dann nicht mehr, aus meiner Sicht ist das aber verschmerzbar.Die andere Berechtigung, die so unter Stock-Android nicht eingestellt werden kann, ist der Zugriff auf alle Sensoren, die nicht in einer anderen Berechtigung wie Kamera oder Mikrofon erfasst sind, wie Bewegungs- oder Temperatursensoren. Diese Berechtigung ist als einzige standardmäßig bei allen Apps aktiv, um Kompatibilitätsprobleme zu vermeiden, kann aber genauso entzogen werden, wenn man sich sicher ist, dass die App sie nicht braucht.
Ein weiteres Feature, das ich bisher bei Android vermisst habe und richtig genial finde, sind Storage Scopes: Damit lässt sich für jede App, die Zugriff aufs Dateisystem benötigt (für Bilder, Musik, Video etc.), z. B. eine Messenger-App, individuell festlegen, auf welche Dateien oder Verzeichnisse sie zugreifen darf. Für die App sieht es so aus, als habe sie die Zugriffsrechte, die sie braucht, um z. B. Bilder aus der Galerie teilen zu können, tatsächlich sieht sie aber nur die Dateien, die man für sie freigegeben hat. Falls ihr also etwa eure Hentai auf eurem NSFW-Discord-Server teilen wollt, aber nicht versehentlich in der familiären Signal-Gruppe, die nur eure Fotos sehen soll, gebt ihr Signal halt nur Zugriff auf das Kamera-Verzeichnis und Discord auf die verbotene Zone – Gefahr entschärft.
|
|
|
Direkt bei den Berechtigungen in den App-Einstellungen findet sich auch zu jeder App der Zugang zum jeweiligen Log. Nicht nur kann man als versierter Nutzer damit noch besser Verbindungen und Datenabflüsse kontrollieren, auch die Fehlersuche dürfte sich damit einfacher gestalten. Im Unterschied zu Stock-Android versucht GrapheneOS nicht, hier irgendwas vor dem User zu verbergen.
Unter der Oberfläche
Verborgen werden dafür umso mehr die Identität des Users und dessen Gerät vor dem Zugriff von außen. GrapheneOS war das erste Android, welches beim Verbindungsaufbau mit einem Internet-Zugangspunkt nicht die MAC-Adresse des Geräts herausgibt, sondern standardmäßig jedes Mal eine zufällige MAC-Adresse generiert. Das macht Aktivitätsverfolgung und Identifizierung über Netzwerke erheblich schwieriger. In Umgebungen, in denen dies von Nachteil ist, zum Beispiel dem Heimnetzwerk mit unterschiedlichen Zugangsberechtigungen oder Beschränkungen für einzelne Geräte (z. B. die des Nachwuchses), lässt sich einstellen, dass für dieses WLAN dieselbe zufällige MAC-Adresse nach Generierung beibehalten wird, damit das Gerät korrekt wiedererkannt wird. Für diverse Dienste, die standardmäßig Anfragen zu Google-Servern schicken (z. B. Prüfung der Internetverbindung, Standortermittlung oder Zeitsynchronisation), greift GrapheneOS auf eigene Server bzw. Proxys zurück.Eins der Aushängeschilder von GrapheneOS ist die gehärtete Sandbox mit umfangreichem Exploit-Attackenschutz. Im Normalfall hat man keinen Grund, hieran rumzufummeln, es gibt aber einzelne Apps, die mit einigen dieser Funktionen Probleme haben, was sich etwa in Leistungseinbußen bzw. Ruckeln oder verzögerten Eingaben bemerkbar machen kann. Für diesen Fall hat man bei jeder App die Möglichkeit, in den Einstellungen einzelne dieser Funktionen abzustellen oder durch einen Kompatibilitätsmodus alle auf einmal. In meinem Fall sind es vor allem Discord und Firefox, die mit dem gehärteten Memory-Allocator nicht wirklich zurechtkommen, wodurch beim Scrollen, vor allem mit vielen Bildinhalten, starkes Ruckeln auftritt. Nun sind gerade diese beiden Apps auch für eine ziemlich leidliche Optimierung bekannt, insbesondere Discord ist unter Android technische Grütze, insoweit kann man hierfür nicht GrapheneOS die Schuld geben; dennoch handelt es sich zum Teil um experimentelle Funktionen, die das Erlebnis teilweise noch beeinträchtigen können, insofern ist es hilfreich, diese bei Bedarf deaktivieren zu können, wobei einem klar sein muss, dass man hier ein Stück Sicherheit hergibt.
|
|
|
Der Exploit-Schutz beschränkt sich aber nicht nur auf Apps, sondern auch auf Systemebene hat GrapheneOS hier einige erwähnenswerte Schutzmaßnahmen gegen Angreifer zu bieten:
- Dass der Gerätespeicher bei Android verschlüsselt ist, hilft nicht gegen Angriffe, wenn das Gerät aktiv ist, denn nach dem ersten Hochfahren ist der Schlüssel im Arbeitsspeicher und damit prinzipiell abgreifbar. Deswegen wird bei Angriffen auch zwischen „Before First Unlocking“ (BFU) und „After First Unlocking“ (AFU) unterschieden. Unter GrapheneOS lässt sich unter „Auto reboot“ einstellen, dass sich das Gerät, wenn es eine bestimmte Zeit (von 10 Minuten bis 72 Stunden) am Stück nicht entsperrt wurde, automatisch neu startet, womit auch der Gerätespeicher wieder gesperrt wird. Gelangt das Smartphone in falsche Hände, haben die Angreifer also nur begrenzt Zeit, es auf diesem Weg zu knacken.
- Die Datenübertragung über den USB-Anschluss lässt sich stärker einschränken oder komplett unterbinden, der USB-Anschluss kann aber auch komplett abgeschaltet werden, wodurch das Gerät nur noch geladen werden kann, wenn es ausgeschaltet ist.
- Das WLAN- oder das Bluetooth-Modul lassen sich nach einer festgelegten Zeit im Leerlauf (d. h. ohne Verbindung) automatisch abschalten.
|
|
|
|
Mein persönliches Highlight aber ist das Duress-Passwort: Für den Fall, dass man in eine Situation gerät, in der man gezwungen ist, die PIN bzw. das Passwort (je nach gewählter Entsperrmethode) zu verraten oder einzugeben, um Zugang zum Gerät zu gewähren, lassen sich eine alternative PIN und ein Passwort festlegen, bei deren Eingabe das System sofort einfriert, im Hintergrund alle eSIMs sowie sämtliche Schlüssel vom Gerät löscht, was alle Daten auf dem internen Speicher dauerhaft unbrauchbar macht, und es anschließend herunterfährt. Gebrickt wird das Smartphone dadurch nicht, lässt sich aber dann nur noch auf die Werkseinstellungen zurücksetzen. Clever: Diese Aktion kann nicht nur beim Entsperren des Bildschirms ausgelöst werden, sondern überall, wo die PIN bzw. das Passwort abgefragt wird.
Wenn man ein Bedrohungsmodell hat, in dem man ernsthaft damit rechnen muss, von diesem Feature Gebrauch zu machen, sollte man zwei Regeln beachten: Erstens müssen Duress-PIN und -Passwort sich hinreichend von der richtigen PIN/dem richtigen Passwort unterscheiden, sodass man diesen Prozess nicht versehentlich durch einen einfachen Tippfehler auslösen kann. Und zweitens darf man dann logischerweise keine biometrische Entsperrung benutzen, aber das sollte man ohnehin nicht in einem Rechtssystem, in dem man nicht gezwungen werden kann, eine PIN oder ein Passwort zu verraten, aber die Polizei sehr wohl durch Zwang Fingerabdrücke oder Fotos verwenden darf, um ein Gerät zu entsperren; und andere Kriminelle pfeifen sowieso auf geltendes Recht. Bei Letzterem haben die GrapheneOS-Entwickler jedoch bereits mitgedacht und mit dem letzten Dezember-Update eine optionale 2-Faktor-Authentifizierung für Fingerabdrücke eingebaut, sodass man zum Fingerabdruck zusätzlich eine PIN eingeben muss, die aber kürzer ausfallen kann als die übliche PIN oder Passphrase. Entsperrung per Gesichtserkennung gibt es unter GrapheneOS nicht, und da man davon ausgehen kann, dass die Nachfrage danach bei dessen sicherheitsbewussten Usern überschaubar ist, hat es auch keine besondere Priorität.
Die Hardware – The Good, the Bad and the Ugly
Ich sagte bereits, dass der größte Nachteil von GrapheneOS darin besteht, dass es nur für Pixel-Geräte erhältlich ist. Es mutet geradezu paradox an, sich ausgerechnet ein Google-Gerät kaufen zu müssen, um ein (theoretisch) maximal Google-freies Nutzererlebnis zu bekommen, aber die Gründe dafür hat Daniel Micay nach einer Anfrage von Mike Kuketz ausführlich beschrieben, die Langfassung gibt es auch hier im Kuketz-Blog.Lange Rede, kurzer Sinn: Google, so ironisch das auch sein mag, ist der einzige Hersteller von Android-Smartphones, der das Thema Sicherheit bei seinen Geräten wirklich ernst nimmt, sowohl auf Hardware-Ebene als auch in Sachen Software-Updates, und gleichzeitig nicht nur eine unkomplizierte Installation von Custom-ROMs erlaubt, sondern diesen auch vollen Zugriff auf sämtliche Sicherheitsfunktionen des Geräts gewährt. Letzteres macht sich schon dadurch bemerkbar, dass der Bootloader entsperrt werden kann, sobald man das Gerät das erste Mal eingerichtet hat, ohne dass man dafür einen Code vom Hersteller anfragen, seine Eigentumsrechte aufgeben, eine Woche warten oder barfuß auf Glasscherben drei Kilometer sackhüpfen muss. Mit dem Titan M2 haben die aktuellen Pixels zudem ein wirklich gutes Secure Element, welches unter anderem effektiven Schutz gegen Brute-Force-Attacken bietet. Und Google liefert nicht nur am regelmäßigsten und (logischerweise) am schnellsten Updates aus, sondern hat ab den Pixel-Geräten der 8. Generation den Supportzeitraum sogar auf 7 Jahre angehoben, und stellt ebenso zügig aktuellen Treiber-Code bereit. Die Entwickler wissen, dass die Implementierung der Updates bei jedem Dritthersteller eine gewisse Zeit braucht, weshalb sie hier für die monatlichen Android Security Bulletin Patches eine Verteilfrist von maximal einer Woche ab Erscheinen zulassen, für Treiber u. ä. etwas mehr. Aber schon da versagen die meisten Android-Hersteller auf ganzer Linie. Auch beim Fairphone, auf dem man einen solchen nutzerfreundlichen Ansatz am ehesten erwarten würde, ist da längst nicht alles Gold, was glänzt.
Für die breite Masse mag es kontraproduktiv sein, dass die Verfügung von GrapheneOS auf so wenige Geräte bzw. derzeit einen einzigen Hersteller beschränkt ist, aber eine breite Geräteunterstützung ist gar nicht das Ziel des Projekts. GrapheneOS hat den Anspruch, das Maximum an Datenschutz und Sicherheit aus Android-Smartphones herauszuholen, man kann es durchaus als Machbarkeitsstudie betrachten, was in Sachen Sicherheit geht; und dementsprechend streng und kompromisslos sind die Anforderungen der Entwickler an die Geräte. Micay hat bereits angegeben, dass langfristig ein OEM gefunden werden soll, welcher Smartphones anfertigt, die direkt mit GrapheneOS ausgeliefert werden, sodass der Zwang entfallen könnte, ein Pixel zu kaufen.
Glücklich bin ich damit auch nicht unbedingt. Mit einem Pixel geht man im Vergleich zu anderen Smartphones hardwaremäßig aus meiner Sicht einen gigantischen Kompromiss ein: Wie so viele andere Modelle auch haben die Pixels keinen Kopfhöreranschluss, was mich als Audio-Nerd tierisch stört. Ebenso verzichten sie auf den microSD-Slot, und die Strategie dahinter ist klar und bereits von Apple bekannt: Den User in die Cloud locken oder für Speicherplatz abzocken. Die Option, sich günstig ein Gerät mit kleinerem Speicher zu kaufen und dann per microSD bis zu 1 TB nachzurüsten, fällt damit weg; und wer ordentlich Speicher will (denn was sind heute noch 128 GB, wenn man viel fotografiert, filmt und eventuell auch Videos und Musik lokal speichern will?), der darf ordentlich blechen.
Googles Tensor-G-Prozessoren sind zudem mit ihrer Rechenleistung eher auf dem Stand der Qualcomm-Topmodelle von vor zwei, drei Jahren, womit die Pixels der Konkurrenz in Sachen Leistung hinterherhinken, egal wie sehr sie versuchen, das mit ihren durchaus performanten „KI“-Einheiten zu kompensieren. Die erste Wahl in Sachen Gaming sind sie daher definitiv nicht, vor allem nicht bei Spielen wie dem sehr beliebten „Genshin Impact“, die ihrerseits oft nicht besonders gut optimiert sind, weil die Entwickler sich darauf ausruhen, dass der User ja ein performanteres Smartphone kaufen kann, wenn ihm das Spiel zu viel ruckelt.
Und habe ich eigentlich schon erwähnt, was für eine Grütze die Lautsprecher bei dem Pixel 8 Pro sind? Nun haben Smartphones noch nie den Anspruch gehabt, HiFi-Maßstäben zu genügen; aber bei Sony gibt es wenigstens einen vernünftigen Ansatz mit echten Stereo-Lautsprechern ober- und unterhalb des Displays (wobei es sich wieder bezahlt macht, dieses eben nicht komplett randlos zu machen), wo auch die Kanäle sauber getrennt werden; und ich gehe so weit zu sagen, dass das Xperia 5 III nicht nur die besten Lautsprecher hat, die ich je bei einem Smartphone erlebt habe (was sicher auch daran liegt, dass ich höherpreisige und aktuellere Xperias nicht getestet habe), sondern auch besser klingt als viele Fernseher. Das war natürlich ein völlig inakzeptabler Zustand, gegen den Google aber Abhilfe geschaffen hat: Mit dem Pixel 8 Pro klingt Audio über die internen Lautsprecher wieder genauso blechern und beschissen, wie man es bei einem Smartphone erwarten würde: Der zweite Lautsprecher quer an der Unterseite des Geräts statt unter dem Display (Stichwort Phase), dazu keine saubere Trennung der Stereo-Kanäle (irgendwie nichts Halbes und nichts Ganzes) und ein unausgewogenes Frequenzspektrum mit einem merkwürdig künstlichen Bass, der den Klang noch dumpfer macht.
Passenderweise dazu war der Musikplayer auch die App, die mir bei der Migration am meisten Kopfschmerzen bereitet hat: Sonys hauseigener Player, den ich jahrelang genutzt habe und der hübsch gestaltet, schlicht und funktional ist, ist den Xperia-Geräten vorbehalten, also musste zwangsläufig Ersatz her. Es sollte auf keinen Fall einer mit Werbung sein, das hat die Auswahl schon mal extrem eingedünnt. Nicht alle bieten Ordneransicht an oder sortieren sie so, wie ich sie haben will, dann hat man einen vor sich, der die Albenbilder nicht richtig liest, der nächste kann mit japanischen Schriftzeichen nicht umgehen, und Dateinamen mit Letzteren sortiert auch gefühlt jede App anders, nur nicht so, wie ich es gewohnt bin. Nach ewigem Hin und Her, bei denen ich mal wieder gemerkt habe, wie anstrengend es sein kann, ein Gewohnheitstier auf dem Spektrum zu sein, bin ich schließlich bei Musicolet gelandet, habe auch die Premium-Funktionen bezahlt und kann damit jetzt leben.
Nachdem diese Startschwierigkeiten überwunden waren und sich immer mehr die Vorzüge von GrapheneOS zeigten, wurde auch mein Eindruck vom Gerät selbst positiver. Das Display ist heller als beim Xperia 5 III und hat auch nicht dessen leichten Blaustich, abgesehen von der krummen Auflösung, die ich immer noch nicht wirklich nachvollziehen kann, kann ich über das Display echt nicht meckern. Die Akkulaufzeit ist besser, als sie sich in Produkttests angehört hat, wobei GrapheneOS wohl auch dazu beiträgt, den Akkuverbrauch zu reduzieren, indem es die Sendeaktivitäten im Hintergrund, vor allem Richtung Google, beschränkt. Der Mobilfunkempfang funktioniert besser als beim Sony, WLAN-Empfang scheint dafür vor allem durch Wände etwas schlechter zu sein. Von der Nutzung her fühlt es sich ansonsten ähnlich an, wobei ich Sonys bessere Akku-Optimierung vermisse, die mehr Optionen zuließ als das Laden auf 80 % zu begrenzen. Außerdem hat Google mit Android 14 wohl die Funktion kaputtgemacht, zwei SIM-Karten unterschiedliche Ruftöne zuzuweisen, und der Fehler ist in Android 15 noch nicht behoben.
Der Ärger über den fehlenden microSD-Slot wiederum ist mittlerweile ein wenig der Erleichterung gewichen, dass auf dem Gerät kein Speicherbereich mehr ist, der gefährdet wäre, falls das Gerät abhanden kommen sollte. Denn tatsächlich sind microSD-Karten bei jedem Smartphone die Achillesferse in Sachen Datensicherheit, weil es keine Möglichkeit gibt, sie zu verschlüsseln und gleichzeitig noch auf anderen Geräten (warum sonst heißen die Dinger „Wechseldatenträger“?) zu verwenden. Die Android-interne Verschlüsselung zu aktivieren macht die microSD-Karte auf allen anderen Geräten unlesbar, im Fall eines Smartphone-Defekts sind dann auch die Daten weg. Was mir hier fehlt, ist eine Art VeraCrypt-Client für Android, der Verschlüsselung bei Erhalt der Interoperabilität ermöglichen würde. GrapheneOS mag das aktuell aufgrund der Beschränkung auf Pixels nicht brauchen, aber wenn ich mir künftig ein Feature auf diesem System wünschen würde, dann das.
Kommen wir nun zum Pferdefuß des Ganzen: Das größte Handicap (no pun intended) der Pixels in Anbetracht der Abstriche, die man bei der Hardware machen muss, ist ohne Zweifel Googles Preispolitik. Google versucht, sich als ebenbürtig zu Apple zu positionieren, tut dies aber letztendlich auch nur beim Preis und der Sicherheit. Die Konkurrenz hat für das gleiche Geld einfach mehr zu bieten (wäre da nur nicht das Geschludere bei der Sicherheit!) oder – und das ist das weit größere Problem – ist schlichtweg günstiger. Ein wenig relativiert sich das Ganze wieder dadurch, dass Google mittlerweile bei neuen Geräten 7 Jahre Update-Support anbietet, weil man die Geräte dadurch nicht nur guten Gewissens länger nutzen kann (wobei sich bei den mittelprächtigen CPUs die Frage stellt, ob die wirklich so lange im Einsatz bleiben), sondern man auch ohne Bauchschmerzen zu einem Modell greifen kann, das schon vor ein oder zwei Jahren erschienen ist, sofern der Preis auf ein humanes Niveau gesunken ist. Das Kernproblem bleibt dennoch, dass das niedrigpreisige Segment (worunter ich alles unter 400 Euro verstehe) mit den Pixels quasi gar nicht bedient wird – das Pixel 8a hat sich erst vor einiger Zeit knapp unter 400 Euro eingependelt. Datenschutz und Sicherheit, wie GrapheneOS sie bietet, verkommen damit wieder einmal zu einem Privileg, das man sich erst einmal leisten können muss.
Fazit
Nimmt man die Nachteile in Kauf, die ein Pixel hat, bekommt man in Kombination mit GrapheneOS ein Smartphone, das sicherer ist als ein iPhone und gleichzeitig nicht dessen Einschränkungen auf Software-Ebene mit sich bringt. Könnte sein, dass in Zukunft noch etwas Besseres kommt, aber Stand jetzt ist dieses Betriebssystem aus meiner Sicht das Nonplusultra und zeigt, wie Android sein könnte und sollte. Noch schöner wäre es, wenn man das Betriebssystem mit Geräten anderer Hersteller verwenden könnte. Mich ärgert es gewaltig, dass ich hier mehr für Googles Geräte werben muss, als sie es aus meiner Sicht verdienen; aber wenn diese auf der anderen Seite sicherheitstechnisch in einer ganz anderen Liga spielen als die Konkurrenz, dann muss man das halt auch mal honorieren; und für jemanden, der nicht ganz so spezifische Wünsche hat wie ich, sind es mit Sicherheit nicht herausragende, aber solide Smartphones, so auch mein Pixel 8 Pro. Klar ist aber auch: Sobald ein anderer Hersteller beginnt, das Thema Sicherheit ernstzunehmen und Geräte zu bauen, welche die Anforderungen von GrapheneOS erfüllen, ist das größte Kaufargument für die Pixels weg, wenn Google nicht an den genannten Stellen nachbessert. Fotos und „KI“ können andere auch.Ich für meinen Teil habe nicht vor, jemals wieder ein Android unter dem Sicherheitsniveau von GrapheneOS einzusetzen. Würde ich euch deswegen raten, nur noch ein Pixel mit GrapheneOS einzusetzen? Das kommt am Ende darauf an, wie wichtig euch Datenschutz und Sicherheit sind, oder besser gesagt: Ob sie euch wichtig genug sind, dass ihr bereit seid, auf Features zu verzichten, welche die Pixels nicht bieten, andere Hersteller aber schon. Denn für das Geld, das man für ein neues Pixel auf den Tisch legt, bekommt man woanders definitiv Hardware, die mehr Spaß macht; und umgekehrt sind andere Smartphones mit vergleichbarer Leistung meist günstiger. Ich sage es mal ganz trocken: Ein aktuelles Xperia 1 mit den Sicherheitsmerkmalen eines Pixel, auf dem GrapheneOS liefe, wäre für mich der Heilige Gral, das perfekte Smartphone. Klar, irgendeinen Tod muss man sterben, aber momentan ist es leider immer mehr als einer und damit mindestens einer zu viel.
Bei rein geschäftlich genutzten Geräten, wo derlei Befindlichkeiten keinerlei Stellenwert haben, sehe ich dagegen keinen Grund, noch irgendetwas anderes einzusetzen als GrapheneOS, insbesondere unter dem Gesichtspunkt, dass hier nicht nur die eigenen Daten, sondern auch die der Geschäftspartner oder Kundschaft bestmöglich geschützt werden müssen. Selbst der Preis ist kein Argument in Umgebungen, in denen derzeit großflächig iPhones im Einsatz sind, zumal die Anschaffungskosten am Ende sowieso von der Steuer abgeschrieben werden. Und in Anbetracht der Tatsache, wie sich in Übersee ein Tech-Milliardär nach dem anderen der neuen faschistoiden Regierung unterordnet, ein weiteres untergegangenes Weltreich seinerseits Angriffe auf unser aller Daten bei Apple und anderswo unternimmt, und unsere Abhängigkeit von Big Tech uns immer mehr wortwörtlich mit runtergelassenen Hosen dastehen lässt, drängt sich mehr und mehr nicht nur die Frage auf, inwieweit sich das Altbewährte noch gesetzeskonform einsetzen lässt, sondern auch, ob man, gerade als Unternehmen, überhaupt noch einen Datenabfluss zu diesen Konzernen riskieren will.
Das war die Sonntagspredigt für heute, und wenn ihr bis hierher durchgehalten habt, hoffe ich, dass ihr daraus irgendwas gelernt habt. Fragen und Anregungen nehme ich gern entgegen, ansonsten noch ein schönes Wochenende.
Anhänge
Zuletzt bearbeitet:
