Daten­schutz mit GrapheneOS

Lese­dau­er 2 Minu­ten

Gra­phen­e­OS ist eine gute Alter­na­ti­ve zu her­kömm­li­chen Android-Betriebs­sys­te­men und bie­tet fort­schritt­li­che Sicher­heits­funk­tio­nen, star­ke Daten­schutz­kon­trol­len und umfang­rei­che Anpas­sungs­mög­lich­kei­ten. Es ist eine aus­ge­zeich­ne­te Wahl für Benut­zer, die Sicher­heit und Daten­schutz auf ihren mobi­len Gerä­ten priorisieren.

Ver­füg­bar­keit

Aktu­ell unter­stützt Gra­phen­e­OS aus­schließ­lich Goog­le-Pixel-Gerä­te, die eine Attes­tie­rung für alter­na­ti­ve Betriebs­sys­te­me haben und Veri­fied Boot unter­stüt­zen. Ange­sichts der kla­ren Aus­rich­tung des Pro­jekts auf Sicher­heit und Daten­schutz wer­den dem­nach nur Pixel-Gerä­te unter­stützt, die von Goog­le immer­hin für min­des­tens drei Jah­re mit (Sicherheits-)Updates ver­sorgt werden.

Apps mit Datenschutzfunktionen

Im Aus­lie­fe­rungs­zu­stand sind nur eine Hand­voll auf Daten­schutz und Sicher­heit opti­mier­ter Apps vor­han­den. Neben den Stan­dard-Android-Apps zum Tele­fo­nie­ren und SMS-Ver­sen­den gibt es mit Vana­di­um einen vom Gra­phen­e­OS-Pro­jekt gehär­te­ten Brow­ser auf Chro­mi­um-Basis. Die­ser setzt bei­spiels­wei­se stan­dard­mä­ßig auf die daten­schutz­freund­li­che Such­ma­schi­ne Duck­duck­go und nimmt aus Daten­schutz­grün­den kei­ne Coo­kies von Dritt­sei­ten an. Auch bei Vana­di­um ist Gra­phen­e­OS in Sachen Updates sehr schnell. Eine Beson­der­heit ist die Kame­ra-App, eine Eigen­ent­wick­lung des Gra­phene-Teams, die Goo­gles Kame­ra-App nach­emp­fun­den ist und in Zukunft die Kame­ra­hard­ware ähn­lich gut nut­zen kön­nen soll. Auch die Kame­ra-App ist auf Sicher­heit und Daten­schutz aus­ge­legt und spei­chert bei­spiels­wei­se stan­dard­mä­ßig kei­ne Exif-Meta­da­ten in die auf­ge­nom­me­nen Bilder.

Sand­box

Eine wei­te­re Beson­der­heit ist ein eige­ner App­s­to­re, über den die ori­gi­na­len Goog­le-Play-Diens­te optio­nal nach­in­stal­liert wer­den kön­nen. Die­se wer­den in eine Sand­box instal­liert, ohne den umfang­rei­chen Sys­tem­zu­griff, den die Goog­le-Diens­te übli­cher­wei­se haben. 

Da die Play-Apps unter Gra­phen­e­OS letzt­lich ganz nor­ma­le Apps sind, sind sie auch nur unter dem Benut­zer- oder Arbeits­pro­fil ver­füg­bar, unter dem sie instal­liert wur­den. So kann bei­spiels­wei­se der Haupt­nut­zer Goog­le-frei gehal­ten wer­den, wäh­rend die Goog­le-Diens­te und Apps, die über den Play­s­to­re bezo­gen wur­den, in ein extra Nut­zer­kon­to oder ein Arbeits­pro­fil instal­liert werden.

Base­band

Neben den genann­ten Sicher­heits­maß­nah­men iso­lie­ren Goog­le-Pixel-Gerä­te bzw. Gra­phen­e­OS das mobi­le- und WiFi-Base­band vom Sys­tem über eine IOMMU. Der Spei­cher­zu­griff wird von der IOMMU par­ti­tio­niert und auf den inter­nen Spei­cher und den von den Trei­ber­im­ple­men­tie­run­gen gemein­sam genutz­ten Spei­cher beschränkt. Auf­grund der Tren­nung bzw. Iso­la­ti­on muss ein Angrei­fer eine zusätz­li­che Hür­de über­win­den, um auf das Betriebs­sys­tem (bspw. via Ker­nel User­space) zuzugreifen.

Vie­le Mgöglichkeiten

Für Nutzer:innen, die auf­grund von Beden­ken hin­sicht­lich des Daten­schut­zes nach Alter­na­ti­ven zu iPho­nes oder Sam­sung-Gerä­ten suchen, gibt es meh­re­re Mög­lich­kei­ten, die sich auf Daten­schutz und Sicher­heit kon­zen­trie­ren. Die Ent­schei­dung für ein alter­na­ti­ves Betriebs­sys­tem auf einem Smart­phone ist sicher­lich eine davon.

Also las­sen Sie sich gut beraten.