GrapheneOS – Raus aus der Abhängigkeit von Google und Apple

 (blog.tomaszdunia.pl)
6 Punkte von GN⁺ 2026-02-18 | 1 Kommentare | Auf WhatsApp teilen
  • GrapheneOS ist ein Open-Source-Android-basiertes Betriebssystem, das mit Datenschutz und Sicherheit als oberster Priorität entwickelt wurde und durch das Entfernen der Integration von Google-Diensten die Datensammlung durch Unternehmen blockiert
  • Es ist exklusiv für die Google-Pixel-Serie optimiert und nutzt den Titan-M-Sicherheitschip sowie Verified Boot, um die Systemintegrität zu gewährleisten
  • Nutzer können Google Play Services in einer isolierten Sandbox-Umgebung ausführen und so benötigte Apps verwenden, während die Zugriffsrechte auf das System eingeschränkt bleiben
  • Über Obtainium und den Aurora Store lassen sich Open-Source-Apps und Nicht-GMS-Apps installieren, App-Berechtigungen fein granular steuern und sensible Daten mit Private space trennen
  • Das System gilt als realistische Alternative für Nutzer, die sich von der Abhängigkeit vom Google- und Apple-Ökosystem lösen möchten

Überblick über GrapheneOS

  • GrapheneOS ist ein gehärtetes (custom) Betriebssystem auf Basis des Android Open Source Project (AOSP)
    • Auf Systemebene wird die Integration von Google-Diensten entfernt, um Tracking und Datensammlung zu verhindern
    • Durch Hardening des Kernels und zentraler Komponenten werden Schwachstellen für Angriffe minimiert
  • Google Play Services können in einer isolierten Sandbox-Umgebung ausgeführt werden
    • Nutzer können populäre Apps verwenden und gleichzeitig deren Systemzugriffe einschränken
  • Offiziell unterstützt wird derzeit nur die Google-Pixel-Serie
    • Der Titan-M-Sicherheitschip wird genutzt, um den Datenschutz weiter zu stärken

Unterstützte Geräte und Auswahl

  • Zur Liste der unterstützten Geräte gehören mit Stand Februar 2026 unter anderem die Pixel-6- bis Pixel-10-Serie sowie das Pixel Tablet
    • Pixel 9a, 9 Pro, 10 Pro usw. werden als empfohlene Geräte genannt
  • Der Autor entschied sich für ein Pixel 9a und kaufte es für etwa 1600 PLN (rund 450 US-Dollar)
    • Vorteile sind der 7-jährige Supportzeitraum und der vernünftige Preis
    • Mit Akkulaufzeit und Leistung zeigt sich der Autor zufrieden und plant eine langfristige Nutzung
    • Ein Nachteil ist, dass die Kameraqualität unter der des iPhone 15 Pro oder Galaxy Z Fold 6 liegt

Installationsprozess von GrapheneOS

  • Voraussetzungen für die Installation: ein Pixel-Smartphone, ein Kabel mit Datenübertragung sowie ein PC mit Chromium-basiertem Browser (Windows 10/11 empfohlen)
  • Zusammenfassung des Installationsablaufs
    • Bootloader entsperren → System-Image herunterladen und flashen → Bootloader wieder sperren → OEM-Sperre wiederherstellen
    • Durch Aktivierung von Verified Boot wird die Prüfung der Systemintegrität sichergestellt
    • Nach der Installation wird die Sicherheit durch Deaktivieren der Entwickleroptionen und Neustart wiederhergestellt

Nutzung von GrapheneOS

  • GrapheneOS bietet einen Kompromiss zwischen Komfort und Privatsphäre
    • Nutzer können die Einstellungen je nach gewünschtem Sicherheitsniveau frei anpassen
  • Mit der Funktion mehrerer Benutzerprofile werden die beiden Profile „Owner“ und „Tommy“ getrennt genutzt
    • Im Profil Owner sind Google Play Services und Banking-Apps (mBank, T-Mobile) installiert
    • Im Profil Tommy bleiben persönliche Daten und wichtige Apps erhalten
    • Bei Bedarf lassen sich persönliche Daten durch Löschen des Nebenprofils schnell entfernen
  • Mit Private space werden Finanz- und sensible Apps in einen separaten Bereich isoliert
    • Beispiele: Google Drive, mBank, Revolut, Santander
    • Einige NFC-Zahlungsfunktionen funktionieren innerhalb von Private space nicht

Nutzung von Open-Source- und Nicht-GMS-Apps

  • Über Obtainium lassen sich die Installation von .apk-Dateien von Open-Source-Apps und automatische Updates verwalten
    • Wichtige genutzte Apps: AntennaPod, Bitwarden, Brave, DAVx2, Signal, Organic Maps, Thunderbird usw.
  • Der Aurora Store ist ein Open-Source-Client für Google Play, mit dem Apps ohne Google-Konto heruntergeladen werden können
    • Die Nutzung eines anonymen Kontos stärkt die Privatsphäre, birgt jedoch ein Risiko der Kontosperrung
    • Ob eine Man-in-the-Middle-Angriffsgefahr akzeptabel ist, müssen Nutzer selbst beurteilen
  • Apps, die auch ohne GMS nachweislich normal funktionieren: Apple Music, Bolt, Discord, Duolingo, GitHub, Lidl Plus, Messenger, Reddit, Zepp usw.

Steuerung von App-Berechtigungen und Sicherheitsverwaltung

  • GrapheneOS ermöglicht eine fein granulare Steuerung von Netzwerk- und Sensorzugriffen pro App
    • Beispiele: FUTO Voice Input, FairScan, Librera benötigen keinen Internetzugang
    • Die meisten Apps benötigen keinen Sensorzugriff, obwohl dieser standardmäßig erlaubt ist
  • Pfad zur Berechtigungsverwaltung: App-Symbol lange drücken → App info → Permissions
    • Unterschieden wird zwischen Zulassen / Jedes Mal fragen / Nicht zulassen
  • Über Permission manager und Privacy dashboard lassen sich der Gesamtstatus der Berechtigungen und die Nutzungshäufigkeit einsehen

Unterstützung des Projekts

  • Das GrapheneOS-Entwicklerteam arbeitet mit dem Ziel, ein sicherheitsorientiertes Open-Source-Ökosystem aufzubauen
  • Der Autor bewertet GrapheneOS als realistische Alternative zur Abhängigkeit von Google und Apple und empfiehlt, die Entwickler zu unterstützen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-18
Meinungen auf Hacker News

  • Ich nutze dieses OS seit etwa einem Jahr auf einem p9 pro. Insgesamt funktioniert es gut.
    Google Tap to Pay soll nicht funktionieren, aber Tap to Pay von Vipps läuft problemlos. BankID funktioniert, aber die biometrische Anmeldung nicht. Die private App von DnB läuft, die Business-App ist jedoch gesperrt.
    Es ist wirklich absurd, Apps so zu blockieren. Über die Website kommt man ja an alles heran. Banking im Web funktioniert auch unter Linux, und dass man Linux mehr vertraut als Windows, ist schon ziemlich komisch.
    Mehrere Benutzerprofile zu trennen, würde ich nicht empfehlen. Sicherheitstechnisch bringt das kaum etwas und es ist eher lästig. Insgesamt bin ich aber zufrieden.

    • Ich habe früher von einem Kollegen gehört, der bei einer großen Onlinebank ein Sicherheitsaudit hatte. Bei den Auditpunkten wurde immer „Die App läuft auf einem gerooteten Telefon!“ als höchste Bedrohung markiert. Dabei haben die Entwickler selbst mit gerooteten Geräten QA gemacht – eine komplette Sicherheitsshow.
    • In Spanien ist die Lage anders. Man kommt zwar auf die Banking-Website, aber echte Transaktionen sind ohne App nicht möglich. Sogar für den Login auf der Website ist eine Identitätsbestätigung per App nötig. Deshalb lade ich die App aus dem Aurora Store und erledige Banking nur auf meinem Vollaphone.
    • Ich würde empfehlen, schrittweise auf GrapheneOS umzusteigen. Wichtig ist, die Sicherheitsgrenzen pro App zu verstehen. Tap to Pay funktioniert nicht und wird vermutlich auch künftig nicht funktionieren. Bei Banking-Apps ist die Lage sehr uneinheitlich. Ich bezahle einfach mit Karte und erledige Bankgeschäfte im Web. Profile trenne ich nach Arbeit, Privatleben, Verein usw., sodass sich Benachrichtigungen nicht vermischen und man sich besser konzentrieren kann.
    • Ich nutze Banking-Websites seit 2009 unter Ubuntu/Debian, und jede Bank hat ein anderes Authentifizierungsverfahren. Manche verwenden ein TOTP-Gerät, dessen Batterie seit 20 Jahren hält und nicht ersetzt wird. Andere verlangen App+Fingerabdruck oder SMS-Bestätigung. Ganz vermeiden lässt sich die Abhängigkeit von Google oder Apple am Ende kaum. Auch GrapheneOS ist auf Pixel beschränkt, also bleibt eine Abhängigkeit von Google bestehen.
    • Die BankID-App war im Juni einmal komplett kaputt. Ich habe dem Entwickler eine Mail geschrieben, und die Antwort war, dass GrapheneOS nicht absichtlich blockiert werde. Im Gegenteil, der Entwickler sei sogar GrapheneOS-Fan. In der neuesten Version funktioniert die Biometrie aber nicht, weil WebView nicht Chrome ist. Vermutlich ist das nur ein Versehen, deshalb werde ich noch einmal schreiben.

  • Ich habe GrapheneOS auf einem Pixel 8 installiert und halte für Zahlungen oder Versicherungen zusätzlich ein altes iPhone bereit, das nur zu Hause genutzt wird. Unbequem, aber so kann ich die Privatsphäre maximal wahren und trotzdem notwendige offizielle Apps nutzen.
    Für Apps verwende ich primär F-Droid, ergänzend Aurora und als letzte Option Obtainium. Von den Google-Apps brauche ich eigentlich nur die Kamera; die isoliere ich in einer Sandbox ohne Netzwerkberechtigung.
    Für Backups nutze ich eine Kombination aus Seedvault von GrapheneOS, immich und MyPhoneExplorer. Hier ist meine Liste häufig genutzter Open-Source-Apps: Newpipe, Organic Maps, Wireguard, Signal, KOReader usw.

    • Ich teile auch meine täglichen FOSS-Apps: Aegis (2FA), Breezy Weather, OnlyOffice Documents, Aves, Termux, Unexpected Keyboard usw. Mit Obtainium lassen sie sich leicht installieren.
    • Ich mag Organic Maps. Es gibt keine Werbung und keine Social Feeds, daher wirkt es angenehm aufgeräumt. Auch der Desktop-Client für Linux ist nützlich.
    • Kürzlich bin ich zu CoMaps gewechselt. Die integrierte Bearbeitung von OpenStreetMap ist gut, und ich habe dadurch auch meinen ersten Beitrag geleistet.
    • Solche App-Listen helfen Einsteigern auf einer neuen Plattform wirklich sehr. So eine kuratierte App-Seite wäre auch für den Linux-Desktop wünschenswert.
    • Ich frage mich, wie Apps wie Google Maps aussehen, wenn man sie in eine Sandbox steckt. Mich würde interessieren, ob Geräteidentifikation auch ohne Login möglich ist.

  • Es ist ironisch, dass man zur „Befreiung von Google“ ausgerechnet ein Pixel kaufen soll, aber in der Praxis ist es das offenste Android-Smartphone. Den Bootloader zu entsperren ist einfach, und auch die Wiederherstellung ist unkompliziert.

    • Es gibt Berichte, dass GrapheneOS an einer neuen OEM-Partnerschaft arbeitet, mit der es ohne Google-Abhängigkeit nutzbar sein soll (Artikel bei Android Authority).
    • Pixel ist wirklich sehr gut gebaut. Es ist fast unmöglich, es absichtlich zu bricken. In diesem Video hat es jemand versucht. Kauft man ein generalüberholtes Gebrauchtgerät, bekommt Google auch kein Geld.
    • Ich nutze GrapheneOS auf einem Pixel 6a, muss aber wegen eines Akku-Rückrufs auf Stock Android zurückwechseln. Backup und Wiederherstellung sind umständlich.
    • Heutzutage ist Standortverfolgung auf Hardware-Ebene so präzise, dass vollständige Anonymität unmöglich ist. Deshalb halte ich es eher für sinnvoll, nach dem Gray-Man-Modell unauffällig zu leben.
    • Mein Versuch scheiterte daran, dass mein Pixel 5 durch Defekte an Display und Mainboard kaputtging.

  • Mit GrapheneOS kann man dank GadgetBridge auch aus dem Smartwatch-Ökosystem aussteigen (gadgetbridge.org).
    Die Kombination aus ThinkPad (NixOS) + Pixel 9 (GrapheneOS) + Amazfit funktioniert perfekt. KDE Connect und GadgetBridge arbeiten zusammen, sodass vollständige Synchronisierung ohne Cloud möglich ist.

    • GadgetBridge kann allerdings Aktivitätsdaten (.fit, .gpx) noch nicht automatisch synchronisieren. Deshalb sichere ich sie manuell mit ActivityLog2 (Link). Wenn GadgetBridge später die Synchronisierung mit lokalen Ordnern unterstützt, werde ich wieder zurückwechseln.
    • Garmin-Uhren sind ziemlich offen. Ich schicke die Daten an InfluxDB und visualisiere sie in einem Grafana-Dashboard.
    • Als Alternative gibt es auch PineTime. Dort kann man das OS selbst auswählen.
    • Nach ein paar Monaten erkennen Banking-, Behörden- und Event-Apps aber oft die Entsperrung des Bootloaders und verweigern den Start. Je nach Region ist das eine reale Einschränkung.

  • Ich nutze GrapheneOS auf einem Pixel 9 und bin sehr zufrieden. Besonders beeindruckend finde ich die folgenden Funktionen:

    1. Die Pixel-Kamera-App funktioniert perfekt.
    2. Mit GPhotosShim sind Vorschauen auch ohne Google Photos möglich.
    3. Android Auto, QuickShare, NFC, Yubikey und Screencast funktionieren alle.
    4. Pro App lässt sich der Zugriff auf Sensoren und Internet blockieren.
    • Auch externe SSDs werden perfekt erkannt. Getestet bis exFAT mit 2 TB.
    • Jemand fragte auch, ob Android Auto die Installation von Google Play erfordert (offizielle Dokumentation).
    • Es gab auch die Meinung, Open Camera sei gut, aber man frage sich, ob die Pixel-Kamera Vorteile habe.
    • Jemand fragte, ob QuickShare ohne Google-Konto funktioniert und ob Daten dabei nicht an Google gehen.
    • Es gab auch die Meinung, dass es schade sei, dass Yubikey nicht mit Bitwarden kompatibel ist.

  • Ich nutze GrapheneOS seit dem Pixel 3a bis zum 10 Pro und könnte wohl nicht mehr zu einem anderen OS zurück.
    Was ich aber vermisse:

    • dass sich der Zugriff auf Kontakte feingranular nach Labels steuern lässt
    • dass man im Browser Vanadium Erweiterungen installieren kann
    • dass man nicht mehrere VPNs gleichzeitig nutzen kann (z. B. Tailscale + Werbeblocker + Produktivitätsbegrenzung usw.)
      Im Issue der Rethink-App wurde so etwas angefragt, aber schön wäre eine Unterstützung auf OS-Ebene.
    • Mit Root-Rechten ist AdAway aus F-Droid für werbebasiertes Blockieren über /etc/hosts möglich. Reddit und HN habe ich ebenfalls in die Blockliste aufgenommen.
    • Mit dem Browser IronFox kann man Firefox-Erweiterungen installieren (über den Accrescent Store).
    • Wenn man Profile trennt, kann man 2–3 VPNs gleichzeitig aktivieren.
    • Über Kontakt-Labels lässt sich ein Teil davon doch schon steuern.
    • Das bringt mich auf die Idee, nach einem gebrauchten Pixel 10 Pro zu suchen.

  • Kürzlich gab es auf HN eine Diskussion darüber, dass Spyware WhatsApp, Telegram und Signal auf OS-Ebene hackt, und ich habe mich gefragt, wie sicher GrapheneOS in so einem Fall ist (verwandter Beitrag).

    • GrapheneOS hat die relevanten Schwachstellen bereits vor Mitte 2026 gepatcht (Release Notes). Das ist viel schneller als bei großen Anbietern.
    • Natürlich kann es keine Angriffe auf Staatsniveau vollständig abwehren, aber für normale Nutzer ist es hinreichend sicher. Das sieht man schon daran, dass europäische Regierungen GrapheneOS verbieten wollen.
    • Dank hardened_malloc sind Angriffe auf Speicherschwachstellen deutlich schwieriger. Dennoch hat Android weiterhin eine große Angriffsfläche.
    • Durch viele Firmware- und Hardware-Blobs ist vollständige Sicherheit trotzdem unmöglich. Realistisch ist es, das Gerät letztlich als nicht vollständig vertrauenswürdig zu behandeln.
    • Manche sagen auch: „Am Ende ist es nur ein Android-Fork, also wird es genauso verwundbar sein.“

  • Als ich bei Microsoft arbeitete, nutzte ich FreeBSD, und wegen des umständlichen adb habe ich Custom-ROMs damals über ein Windows-Notebook installiert. Heute nutze ich Fedora, und dort sind Android-Treiber standardmäßig integriert, was viel bequemer ist. Tatsächlich hatte ich unter Windows mehr Treiberprobleme.

    • Ich habe dieselbe Erfahrung gemacht. AirPods verbinden sich unter Linux sofort, unter Windows gab es wegen Treiberproblemen ständig Aussetzer.

  • Ich nutze GrapheneOS seit drei Jahren. Die meisten Banking-Apps funktionieren ebenfalls problemlos, und ich habe Google Play in einer Sandbox installiert und verwende zwei Profile.
    Einmal wurde mein Konto in der Uber-App allerdings ohne ersichtlichen Grund gesperrt. Ich hatte nur ein Konto erstellt und eine Fahrt reserviert, dann wurde ich wegen eines Verstoßes gegen die Nutzungsbedingungen blockiert. Nach mehreren Tagen Streit mit dem Support wurde das Konto wiederhergestellt, aber dieses Risiko lässt mich zögern.

    • Ich habe Uber unter GrapheneOS problemlos genutzt. Das klingt eher nach einem Problem bei Uber.
    • Dass Uber nicht funktioniert, ist vielleicht gar nicht so schlecht. Taxis mit Bargeld sind ethischer und sicherer.
    • Ich habe Uber ebenfalls aufgegeben und nutze nur noch Taxis. Sie sind auch günstiger.
    • Ich nutze Uber auf GrapheneOS ohne Probleme. Keine Auffälligkeiten.
    • Ich frage mich, ob das wirklich an GrapheneOS lag.