GrapheneOS – Erfahrungsbericht zum datenschutzfreundlichen Android

GrapheneOSEin datenschutzrechtliches und aktuelles Betriebssystem für Smartphones zu finden ist heutzutage nicht so einfach. Google und Apple dominieren hier den Markt. Doch es gibt auch Möglichkeiten sich den Einfluss der Techgiganten zu entziehen. Daniel Micay ist der Hauptentwickler von GrapheneOS und stellt das mobile Betriebssystem auf Android Basis kostenlos zur Verfügung. Dabei verzichtet GrapheneOS komplett auf die Google Apps sowie vor Allem auf die Google Services und baut noch eigene Verbesserungen ein.

Unterstützte Geräte

Die Installation ist auf den ersten Blick paradoxer Weise nur für Google Pixel Smartphones vom Pixel3 bis hin zum Pixel 4a möglich. Das Google Pixel 5 wird wahrscheinlich auch zeitnah folgen. Der eingebaute Sicherheitschip „Titan“ in den Pixel Smartphones wird von GrapheneOS verwendet, um Manipulationen am Gerät zu erkennen. Für diese Smartphones stellt Google jeden Monat Sicherheitsupdates für mindestens die nächsten 3 Jahre bereit. Die gepatchten Sicherheitslücken werden von Google ebenfalls beschrieben, was für potentielle Angreifer durchaus sehr interessant sein kann. Leider stellen nicht alle Hersteller die auf Android setzen die Updates schnell oder noch schlimmer überhaupt nicht zur Verfügung. Zum großen Teil werden die Smartphones auch schon mit unerwünschter Software (bloatware) ausgeliefert. Da bei mir eine Neuanschaffung im Haus stand, habe ich mich für das Pixel 4a entschieden, welches für mich ein gutes Preis/Leistungs Verhältnis hat. Da es recht neu auf dem Markt ist läuft es mit dem aktuellen Android 11. Wem 5G-wichtig ist, der sollte zum Pixel 5 oder Pixel 4a 5G greifen, obwohl GraphenOS auf diesen Smartphones (noch) nicht verfügbar ist. Das sollte sich in Zukunft jedoch ändern. Geräte von Apple werden GraphenOS nicht unterstützt.

Installation und erster Eindruck

Die Installation ist auf der Website gut beschrieben und unterscheidet sich nicht groß von der Installation von anderen CustomRoms, wie LineageOS. Dabei sind mehrere Schritte sowohl auf dem Handy, als auch im Terminal notwendig. Der Entwicklermodus sowie aktiviertes USB-Debugging und OEM-Unlock sind auf dem Handy dafür notwendig. Mit den Werkzeugen aus ADB (Android Debugging Bridge) kann dann die Übertragung zwischen Computer und Laptop über ein USB-Kabel erfolgen. Eine schematischen Ablauf der Installation sieht wie folgt aus.

Entwicklermodus Smartphone

  1. Starten des (neuen) Pixel-Phones
  2. Überspringen der Ersteinrichtung
  3. Einstellungen –> über das Telefon
  4. 7 mal auf Build Number tippen
  5. Im Entwicklermodus USB-Debugging erlauben und OEM-Unlock

Schritte Computer/Laptop

  1. Herunterladen von ADB – Tools von Google
    1. ADB Windows
    2. ADB Mac
    3. ADB Linux
  2. Handy mit Computer über USB-Kabel verbinden
  3. Zugriff auf das Handy zulassen
  4. Bootloader entsperren (Achtung: alle vorhanden Daten auf dem Handy werden dadurch gelöscht und je nach Hersteller kann auch die Garantie erlischen!)
  5. Herunterladen und Signatur von GraphenOS prüfen
  6. Factory Image flashen mit ./flash-all.sh oder ./flash-all.bat
  7. Bootloader Sperren
  8. fakultativ auch OEM-Unlock deaktivieren

Inbetriebnahme

Startbildschirm Graphene OS
Startbildschirm GrapheneOS

Nach der erfolgreichen Installation kommt eine schlichte Startanimation mit GraphenOS Schriftzug. Danach begrüßt euch ein Einrichtungsassistent für WLAN und co. Danach kann es auch schon mit wenigen Apps direkt losgehen. Vanadium ist der vorinstallierte Internetbrwoser, welcher auf Chromium basiert. Durch den quelloffenen und freien App-Store F-Droid können zusätzliche Anwendungen installiert werden. Signal oder Threema können über die Herstellerseiten heruntergeladen und installiert werden. Als E-Mail-Client verwende ich FairEmail, welche deutlich moderner als K9-Mail wirkt. Kontakte und Kalendereinträge können bequem mit DAVx5 über Posteo oder Mailbox.org synchronisiert werden. Der Kommunikation steht so nichts im Wege. Für die GPS-Navigation bietet sich OsmAnd+ an, welches auch ein umfangreiches, offline Kartenangebot hat. Transporter eignet sich gut für den öffentlichen Personennahverkehr und hat mich bisher immer ans Ziel gebracht. Daneben nutze ich noch syncthing für die Synchronisation mit dem Laptop. Über den Aurora-Store lassen sich auch Apps aus dem Google Play Store installieren. Das widerspricht ja der eigentlichen Idee von GraphenOS. Die Apps enthalten meist wieder Tracker und können zum Teil auch nicht ohne die Google Play Services funktionieren. Hier kommt es klar auf einen Versuch drauf an und eine präzise Filterung bei NetGuard. Bei meiner Banking-App konnte ich bisher keine Probleme feststellen.

Batterie

Ich telefoniere durch das Homeoffice gut 2-4 Stunden mit einem Bluetooth Headset am Tag sowie zum entspannen höre ich eine paar Podcasts. Damit komme ich gut 2 Tage ohne Nachladen aus. Damit würde ich mich als „Normaluser“ bezeichnen. Im Hintergrund ist Signal und die Google Alternative Firebase Cloud Messaging aktiv. Dies ist notwendig, damit die Nachrichten zuverlässig ankommen. Andernfalls wird man nicht über eingehende Benachrichtigungen informiert sondern erst beim öffnen der App.

Batterie
Akkulaufzeit unter GraphenOS bei einem Google Pixel4a und Android 11

NetGuard habe ich auch von den Akkusparmaßnahmen ausgenommen, damit nur die erlaubten Apps nach draußen funken können. Außerdem wird damit auch die Werbung zuverlässig geblockt, was klar Datenvolumen spart. Das hat bei mir deutlich Vorrang.

Ich bin „root“ ich darf das! – NICHT

Root oder Administratorrechte sind bei GraphenOS nicht vorgesehen und es würde auch das Sicherheitskonzept infrage Stellen. Für mich hat das drei (App)-Einschränkungen zur Folge. AdAway habe ich genutzt um die Werbung auf meinem Smartphone im mobilen Internet zu blocken und mit AfWall+ kann ich jetzt den Zugriff einzelner Apps nicht mehr auf das Internet oder Netzwerk unterbinden. Als Alternative für die zwei Apps bietet sich NetGuard an, welche beide Funktionen übernehmen kann. NetGuard funktioniert auch ohne root-Zugriff und bietet eine Vielzahl von Einstellungsmöglichkeiten. Ein Nachteil der dadurch entsteht ist, dass die VPN-Verbindung dafür genutzt wird und somit keine eigene VPN-Verbindung genutzt werden kann. Hier geht nur entweder oder. Der Akkuverbrauch ist dadurch auch etwas höher, hält sich aber auch noch in Grenzen. Apropos Akkuverbrauch meine dritte App Battery geht auch nur mit root. Damit konnt ich bisher die Ladeeinstellungen regulieren, sodass das Handy bei beispielsweise ab 60% langsamer geladen und bei 80% aufgehört hat mit Laden. Dies verlängert im allgemeinen die Lebenszeit von Akkus, aufgrund der Bauweise. Das muss ich jetzt manuell machen und kann das Handy nicht über Nacht einfach anstecken.

Updates

Das Pixela4 habe ich seit ende November in Betrieb und habe bis heute schon die monatlichen Updates von Dezember, Januar und Februar erhalten. Diese werden unproblematisch und automatisch im Hintergrund (over the air) heruntergeladen und anschließend installiert. Das klappt ohne Probleme und es ist keine weitere Handarbeit gefragt. Einfach top! Bei LineageOS war das leider nicht immer der Fall, sodass ich diesen Komfort bei GraphenOS sehr begrüße. Neben den monatlichen Updates können auch kleinere Softwareupdates innerhalb eines Monats eingespielt werden. Es ist ebenfalls möglich sich auf den BETA-Branch zu begeben. Persönlich habe ich mich für die STABEL-Variante entschieden, da ich mich auf das Gerät im Alltag verlasse und keine Alternative dazu habe.

Hintergrund Updates Updates GrapheneOS
Hintergrund Updates GrapheneOS

Kamera

Die Kameraqualität ist mit der vorinstallierten Kameraapp sehr eingeschränkt. Mit Open Camera aus dem F-Droid Store lässt sich schon deutlich mehr rausholen. Open Camera bietet umfangreiche Einstellungsmöglichkeiten und lässt auch die Aufnahme von Videos über ein separat angeschlossenes Mikrofon zu. Die Bildqualität ist mit Open Camera deutlich gestiegen. Vor Allem können sich die Bilder bei guter Beleuchtung auch sehen lassen. Leider habe ich in der App keine Möglichkeit gefunden Bilder in HDR oder Videos in Slowmotion aufzunehmen. Ein Upgrade zur Bildqualität habe ich dann mit dem Umstieg auf die Goolge Camera App geschafft. Diese läuft standardmäßig nicht ohne die Gooogle Play Services. Eine Alternative hat Lukas Pieper auf GitHub veröffentlicht.

„This app „simulates“ the Google Play Services that the Google Camera app (Gcam) requires, allowing the camera app to be used on devices without Google Play Services. Note that this app comes without Ui and therefore has no icon in the app drawer. But of course it is listed in the Android settings (e.g. for uninstallation).“

Mit dieser App lässt sich dann ein Port von der Google Camera über einen Sideload installieren. Bei mir läuft die Version 7.3.020_ver.4.5 8.2.204 von „the_dise“ ohne Probleme. Die Verbindung zum Internet habe ich der Google Camera App über NetGuard entzogen. Für mich ist das ein guter Kompromiss, mit dem ich leben kann.

Telefonie

Nach der Abschaltung des 3G-Netzes zum 30.06.2021 werden die frei gewordenen Frequenzen für das 4G-Netz mit benutzt. Geräte die Telefonie im 4G Netz nicht unterstützen, wird automatisch das 2G Netz benutzt als Fallbacklösung. Mit dem letzten Update vom 09.08.2021 mit der Buildnummer RQ3A.210805.001.A1.2021.08.09.02 funktioniert bei mir jetzt WLAN-Telefonie und VoLTE. Das hat die Sprachqulität spürbar angehoben, vor Allem wenn ich vom Handy aus in das Festnetz anrufe. Für die Nutzung mit NetGuard müssen noch die Dienste „DNS deamon“ und „MulticastDNSResponder“ in der Firewall freigeschalten werden.

DNS-Einstellung NetGuard für die VoLTE und WLAN-Telefonie
DNS-Einstellung NetGuard für die VoLTE und WLAN-Telefonie

Für mobile Anrufe nutze ich meist jedoch Signal, da hier die Verschlüsselung besser ist, als bei VoLTE oder der WLAN-Telefonie; ganz zu schweigen vom telefonieren im 2G-Netz. Neben der Verschlüsselung ist die Sprachqualität bei Signal auf dem gewohntem hohem Niveau. Der Nachteil liegt klar auf der Hand. Der Kontakt muss ebenfalls Signal nutzen.

Fazit

Das Pixel 4a mit GraphenOS habe ich jetzt seit mehr als 9 Monaten im Einsatz und bin für meinen Einsatzzweck sehr zufrieden damit. Es fühlt sich rund an, läuft stabil und begleitet mich im Alltag. Mit dem Akku komme ich gut durch den Tag. Die Bildqualität der Standard-Kamera-App ist eher eingeschränkt. VoLTE und WLAN-Telefonie funktionieren ohne Probleme.

Sind die Installationshürden von GraphenOS genommen, ist es ein solides Betriebssystem was den Datenschutz in den Vordergrund stellt. Mir ist der Datenschutz und freie offene Software (FOSS) besonders wichtig, sodass ich gern auf den „Komfort“ von Google verzichte. GraphenOS richtet sich auf eine Zielgruppe, denen der Datenschutz sehr am Herzen liegt und die wert auf funktionierende automatische Updates legen.

Update 04.03.2021 (Kamera)

Die Google Camera ist was die Bildqualität ein deutliches Upgrade. Mit dem oben beschriebenen Workaround lässt sich diese auch ohne die Google Play Services nutzen. Dies ist sicherlich nicht jedermanns Sache. Für mich hat sich dies eindeutig gelohnt. Die datenschutzfreundliche Alternative ist Open Camera. Bei guten Lichtverhältnissen ist diese für den Alltag ebenfalls ausreichend.

Update 12.08.2021 (Telefonie)

Das Kapitel Telefonie habe ich überarbeitet. Mit dem letzten Update vom 09.08.2021 mit der Buildnummer RQ3A.210805.001.A1.2021.08.09.02 funktioniert jetzt WLAN-Telefonie und VoLTE.

3 Gedanken zu „GrapheneOS – Erfahrungsbericht zum datenschutzfreundlichen Android“

    1. Hallo Marco,
      bei mir hat Comdirect aus dem Aurora Store ganz gut funktioniert. Die DKB besteht leider auf den Google Play Store und hat nicht funktioniert. Scalable-Capital funktioniert mit GraphenOS aktuell auch nicht.
      Viele Grüße
      Sebastian

      Antworten

      1. Mit den Sandboxed Google Play Service funktioniert auch die DKB mit Graphene OS unter Android 12 sowie jetzt unter Android 13 ohne Probleme.

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert