Eine ROM mit klar umrissenem Anspruch

GrapheneOS, gegründet 2015 von Daniel Micay unter dem ursprünglichen Namen CopperheadOS und seit 2019 unter dem heutigen Namen aktiv, ist innerhalb der Privacy-orientierten Android-Welt die ROM mit der konsequentesten Sicherheits-Architektur. Das Projekt verfolgt eine klare Strategie: keine Reimplementierung der Google-Dienste, keine Erweiterung der Funktionalität über Android-Bordmittel hinaus, sondern eine systematische Härtung der bestehenden Android Open Source Project-Basis.

Die Hardware-Anforderung ist eng definiert: GrapheneOS unterstützt ausschließlich Google-Pixel-Geräte, weil deren Hardware die für die Sicherheits-Architektur nötigen Eigenschaften mitbringt. Konkret: Verified Boot mit Schlüsseln, die der Nutzer selbst durch eigene ersetzen kann; ein hardware-gestützter Schlüsselspeicher in Form des Titan-M2-Secure-Elements, das seit dem Pixel 6 von Google selbst entwickelt wird; und eine Bootloader-Architektur, die das Sperren des Bootloaders nach der Installation einer eigenen ROM erlaubt. Diese Kombination existiert in dieser Vollständigkeit bei keinem anderen Smartphone-Hersteller. Samsung Knox erlaubt das Wiederverschließen des Bootloaders nicht, und bei Geräten von Xiaomi, OnePlus oder Nothing ist der Verified-Boot-Pfad mit Custom-Schlüsseln nicht in der Tiefe abgesichert, die GrapheneOS voraussetzt.

Hardened malloc und die Speicher-Verteidigung

Das technische Herzstück von GrapheneOS ist eine Reihe von Härtungen, die jeweils einzeln dokumentiert sind und die in der akademischen Literatur als anerkannte Verteidigungs-Schichten gelten. „hardened_malloc” ist eine vom Projekt entwickelte Heap-Allocator-Implementierung, die anstelle der Standard-Bionic-Bibliothek tritt. Sie führt zonenbasierte Trennung der Allokationen ein, randomisiert die Speicherpositionen aggressiv und vergrößert die Distanz zwischen Allocations, was Heap-Spraying-Angriffe in der Praxis erheblich erschwert.

Daneben deaktiviert GrapheneOS standardmäßig den Just-in-Time-Compiler der JavaScript-Engine in WebView, erzwingt Address Space Layout Randomization mit erhöhter Entropie, und nutzt Memory Tagging Extension auf den ARMv9-Geräten ab Pixel 8 in einem Modus, der Use-After-Free-Bugs zur Laufzeit erkennt. Auch das USB-Subsystem ist gehärtet: Standardmäßig werden im gesperrten Zustand keine USB-Geräte akzeptiert, was die in der Forensik-Industrie verbreiteten Brute-Force-Tools wie die von Cellebrite oder Grayshift erschwert.

Sandboxed Google Play statt MicroG

Die strategisch wichtigste Designentscheidung trennt GrapheneOS von verwandten Projekten wie CalyxOS. Während CalyxOS die Google-Mobile-Services durch die Open-Source-Reimplementierung MicroG ersetzt — was die Kompatibilität mit vielen Apps eingeschränkt lässt und neue Vertrauensfragen aufwirft —, geht GrapheneOS einen anderen Weg: Die originalen Google-Play-Services werden als gewöhnliche, sandboxed Anwendung ohne erhöhte System-Privilegien installiert. Sie laufen in einer Standard-App-Sandbox, mit den gleichen Berechtigungs-Anforderungen wie jede andere App, und können einzeln pro Profil aktiviert oder deaktiviert werden.

Damit erreicht GrapheneOS eine Kompatibilität mit Google-Pay, Banking-Apps, Apps mit SafetyNet- oder Play-Integrity-Prüfungen und einer Reihe weiterer Anwendungen, an denen MicroG-basierte ROMs scheitern. Der Preis ist das Vertrauen in die Sandbox-Architektur von Android selbst — eine Architektur, die in den letzten Jahren erheblich gehärtet wurde und auf der das gesamte Sicherheits-Modell des Betriebssystems beruht.

Ergänzt wird die Sandbox-Architektur durch User Profiles, die in GrapheneOS sichtbarer und nutzbarer als in Standard-Android sind. Ein zweites Profil für berufliche Anwendungen, ein drittes für sensible Banking-Apps und ein viertes für eine Test-Umgebung lassen sich anlegen und einzeln kompromittieren, ohne dass das primäre Profil betroffen wäre.

Praxis-Realität in DACH

Die Verbreitung von GrapheneOS ist in DACH überschaubar, aber wachsend. Der CCC, der seit 1981 zu den lautesten europäischen Stimmen für digitale Selbstbestimmung gehört, empfiehlt GrapheneOS regelmäßig in seinen Vorträgen auf dem Chaos Communication Congress als die derzeit empfehlenswerteste Privacy-Konfiguration für ein Smartphone. Die EFF in San Francisco listet das Projekt in ihrer Surveillance-Self-Defense-Sektion. Für Journalisten, Anwälte, Aktivisten und für die zunehmende Zahl von DACH-Konsumenten, die nach den Datenschutz-Skandalen der vergangenen Jahre nach Alternativen suchen, ist die Hürde überwiegend wirtschaftlich: Ein gebrauchtes Pixel 8 ist ab rund 350 EUR zu haben, die Installation über das Web-Tool des Projekts dauert ein bis zwei Stunden, die Lernkurve ist überschaubar.

Was bleibt, ist eine Beobachtung, die das Projekt selbst formuliert: GrapheneOS macht nicht alle Spuren unsichtbar. Es reduziert die Angriffsfläche systematisch und entzieht Google den unmittelbaren Zugriff auf die Telemetrie. Wer ein Smartphone in einem Mobilfunknetz betreibt, bleibt für den Netzbetreiber sichtbar; wer SIM-basierte Authentifizierung nutzt, hat Identifikatoren, die GrapheneOS nicht verändert. Die ROM ist ein Werkzeug, das richtig eingesetzt eine erhebliche Verbesserung der Privacy-Position bringt — und das wie jedes Werkzeug nur so wirksam ist wie der Umgang damit.