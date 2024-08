GrapheneOS ist ein Android-Betriebsystem für Google-Pixel-Smartphones das Sicherheit und Datenschutz der Nutzer anstrebt. Google-Dienste und Tracking-Apps sind ab Werk deinstalliert, können aber in einer Sandbox-Umgebung eingerichtet werden, falls man diese benötigt. Wie ihr GrapheneOS installiert und einrichtet, zeigen wir euch hier.

Anzeige

GrapheneOS vs. Custom-ROMs (mit Root)

Wenn man ein Datenschutz-freundlicheres Android-Betriebssystem installieren will, hat GrapheneOS einen sehr großen Vorteil: Der ganze manuelle Aufwand mit der Einrichtung von Custom-Recoverys, Custom-ROMs wie LineageOS und Fastboot-Befehlen entfällt. Die Installation funktioniert stattdessen größtenteils automatisch, wodurch es auch Technik-Anfänger installieren können. Allerdings gibt es in GrapheneOS auch keine Root-Rechte, die ansonsten gerne zusätzlich eingerichtet werden, um spezielle Apps nutzen zukönnen. Dies kann aber für Nutzer, die nur mehr Datenschutz und Sicherheit auf ihrem Smartphone oder Tablet wollen, völlig ausreichen.

GrapheneOS: Welche Geräte werden unterstützt?

GrapheneOS unterstützt ausschließlich Pixel-Geräte. Dazu zählen die Tablets und Smartphones von Google:

Pixel 8, 8a und Pro

Pixel 7, 7a und Pro

Pixel 6, 6a und Pro

Pixel 5 und 5a

Pixel 4a (5G)

Pixel Tablet und Fold

Anzeige

Demnächst wird wahrscheinlich auch die Pixel-9-Serie unterstützt. Ältere Modelle erhalten keine Sicherheits-Updates mehr, funktionieren aber weiterhin, wenn man diese bereits mit GrapheneOS eingerichtet hat.

Anzeige

GrapheneOS: Installation

GrapheneOS kann offiziell mit zwei Methoden installiert werden. Zwar sind die Anleitungen in Englisch, GrapheneOS selbst kann dann aber in deutscher Sprache eingerichtet werden:

Entweder ihr nutzt den Web-Installer (empfohlen),

oder den Befehlszeilen-Installations-Guide.

Der Web-Installer führt euch am Bildschirm Schritt für Schritt durch den Installationsvorgang. Dieser unterscheidet sich, je nachdem, welches Pixel-Gerät ihr habt. Achtet darauf, die Webseite des Web-Installers von oben bis unten durchzulesen und folgt den Anweisungen. Zu den wichtigsten Schritten gehören:

OEM entsperren (OEM Unlocking)

In Bootloader-Interface booten

Pixel-Gerät mit PC verbinden

Bootloader entsperren (Bootloader Unlocking)

GrapheneOS herunterladen (obtaining factory images)

GrapheneOS installieren (flashing factory images)

Bootloader wieder sperren (Locking the boatloader)

Während des Installationsvorgangs werden alle Daten vom Gerät gelöscht. Ihr solltet also vorher Dateien, wie Bilder und Videos auf den PC kopieren. Hier seht ihr eine Englisch-sprachige Videoanleitung zur Installation vom YouTube-Kanal „Mental Outlaw“:

GrapheneOS: Einrichtung

Alle wichtigen Punkte zur Bedienung von GrapheneOS findet ihr im offiziellen „Usage Guide“. Wir besprechen hier die ersten wichtigen Schritte für die Einrichtung.

Nachdem euer Pixel-Gerät GrapheneOS gestartet hat, stellt ihr zunächst Grundlegendes wie Sprache, Datum und Zeit ein. Danach werdet ihr mit einer schlichten Schwarz-Weiß-Optik begrüßt. Diese lässt sich durch Wallpaper und Design-Einstellungen aber später ändern.

So sieht GrapheneOS nach dem ersten Start aus. (© GIGA)

Gestensteuerung ändern

Ab Werk ist die Gestensteuerung aktiviert, ihr könnt aber unter „Einstellungen“ > „System“ > „Touch-Gesten und Bewegung“ > „Navigationsmodus“ die gewohnte „Bedienung über 3 Schaltflächen“ aktivieren.

Apps installieren

In GrapheneOS sind die vorinstallierten Apps auf das Wesentliche reduziert. Ihr könnt aber eure gewohnten Apps nachinstallieren. Dazu benötigt ihr aber einen (Datenschutz-freundlichen) App-Store wie den „Aurora Store“. Mit ihm könnt ihr anonym auf den „Google Play Store“ zugreifen und weitere Apps installieren.

Anzeige

Öffnet in GrapheneOS die App „App Store“. Tippt dort auf den Eintrag „Aurora Store“, um diesen zu installieren.

Welche Apps wir als empfehlen, die auch ohne Google-Dienste funktionieren, zeigen wir euch in diesem Artikel:

Falls die obige Anleitung zur Installation des „Aurora Store“ nicht funktionieren sollte, geht so vor:

Öffnet in GrapheneOS die Browser-App Vanadium (Graues Chrome-Symbol). Besucht die Webseite auroraoss.com. Tippt oben auf „Downloads“ > „Release“ und wählt die neueste APK-Version des „Aurora Store“ aus, um sie herunterzuladen. Bestätigt mit „Trotzdem herunterladen“, um die APK-Datei in eurem Download-Ordner zu speichern. Tippt auf die APK-Datei, um die Installation zu starten. Wählt nun zunächst den Button „Einstellungen“ aus und stellt den Schalter bei „Dieser Quelle vertrauen“ auf „Ein“. Bestätigt nun mit „Installieren“. Das Häkchen bei „Allow Network permission“ soll aktiviert bleiben, damit der „Aurora Store“ später auf das Internet zugreifen kann, um Apps herunterzuladen.

Der Aurora Store installiert Apps aus dem „Google Play Store“. (© GIGA)

Anzeige

Nun öffnet ihr den „Aurora Store“. Nach der Ersteinrichtung wählt ihr bei „Anmelden mit“ die Option „Anonym“ aus. Nun könnt ihr alle kostenlosen Apps installieren, die ihr auch vom „Google Play Store“ gewohnt seid. Bedenkt allerdings, dass Apps, die Google-Play-Dienste (Google Play Services) benötigen, erstmal nicht funktionieren. Es sei denn, ihr installiert diese in einer Sandbox. Wie das geht, erklären wir weiter unten.

Achtet darauf, im „Aurora Store“ die Einstellungen zu öffnen. Dort sind unter „Updates“ ab Werk „automatische Updates“ aktiviert. Sowas ist aber nicht immer gewünscht. Das gleiche gilt übrigens auch für den GrapheneOS-eigenen „App Store“ und falls ihr auch andere App-Stores wie F-Droid installiert habt.

Die Kamera-App: GrapheneOS vs Google-Cam

Eine der größten Vorteile von Pixel-Geräten ist die gute Kamera. GrapheneOS nutzt jedoch eine andere Kamera-App. Die qualitativen Unterschiede der gemachten Fotos seht ihr in diesem Video vom YouTube-Kanal „Side Of Burritos“ (englisch):

Ich selbst sehe da keine großen Unterschiede und bin mit der Qualität der GrapheneOS-Cam zufrieden. Ihr könnt aber später auch die offizielle Google-Kamera-App nachinstallieren. Eigentlich funktioniert diese nicht ohne „Google Play Services“, aber man kann stattdessen die Hilfs-App „Gcam Services Provider“ installieren, womit GCam dann funktioniert (siehe dieses YouTube-Video).

Tipp: Symbole aus oberer Statusleiste ausblenden

Die obere Statusleiste in Android-Betriebssystemen kann schnell überfüllt aussehen. Dazu zählen das WLAN-, und Flugmodus-Symbol, aber auch die Uhrzeit- und Akkuanzeige. Es wäre schön, wenn man einzelne Symbole ausblenden könnte. Dazu braucht man den sogenannten „System UI Tuner“. GrapheneOS hat aber keine direkte Einstellung, um ihn zu öffnen. Mit diesem Trick geht es trotzdem:

Installiert die App „Nova Launcher“ aus dem „Aurora Store“. Startet die App und wählt sie – zumindest kurzzeitig – als euren Standard-Launcher aus. Haltet nun auf dem Homescreen mit dem Finger auf eine freie Fläche gedrückt und zeiht die „Widgets“ von unten nach oben. Oben wählt ihr bei „Nova Launcher“ rechts die „Aktivität“ aus. Scrollt nach unten und tippt auf „System-UI“ > „Demomodus der System-UI“. Ihr seht nun ein neues Schraubenschlüssel-Symbol auf eurem Homescreen. Tippt es an. Wechselt zu „Statusleiste“ und deaktiviert nun die Schalter bei den Symbolen, die ihr in der Statusleiste ausblenden wollt.

System UI Tuner: So blendet ihr bestimmte Symbole in der Statusleiste aus. (© GIGA)

Das folgende Video vom Englisch-sprachigen YouTube-Kanal „Habil Sagar“ zeigt euch die Vorgehensweise:

Die besten Funktionen von GrapheneOS

Die Berechtigungen „Network“ erlaubt/blockiert Internetzugriff von Apps

GrapheneOS kann jeder App die Berechtigung „Network“ erteilen oder entziehen. Wenn ihr die Berechtigung bei der Installation einer App erlaubt, kann die App auf euer Netzwerk und damit auch auf das Internet zugreifen. Wollt ihr also einer App den Internetzugriff verwehren, entfernt bei der Installation das Häkchen bei „“. Alternativ öffnet ihr die Einstellungen >„Apps“ und wählt die App aus. Danach könnt ihr unter „Berechtigungen“ den Eintrag „Network“ zulassen oder nicht zulassen. Hat die App diese Berechtigung nicht, ist es ab diesem Zeitpunkt egal, welche Daten die App über euer Nutzerverhalten sammelt, weil sie die gesammelten Informationen jetzt nicht mehr über das Internet versenden kann.

Die Network-Berechtigung erlaubt einer App den Internetzugriff. (© GIGA)

Profile für unterschiedliche Zwecke

In GrapheneOS könnt ihr für unterschiedliche Nutzer oder Zwecke eigene Profile einrichten. So könnt ihr beispielsweise auf dem Hauptprofil alles ohne Google-Play-Dienste einrichten und auf einem Zweit-Profil die Google-Play-Dienste in einer Sandbox installieren, um dort auch andere Google-Apps nutzen zu können, die nicht mehr so Datenschutz-freundlich sind. Da Apps eines Profils nicht auf ein anderes Profil zugreifen können, bleiben euer Hauptprofil und eure dortigen Aktivitäten also geschützt. GrapheneOS unterstützt dafür mittlerweile auch Profil-übergreifende Benachrichtigungen. Das heißt ihr könne App-Benachrichtigungen von anderen Profilen auf eurem Hauptprofil erhalten. Diese werden pro Profil einzeln zugelassen. So nutzt ihr Profile:

Öffnet die Einstellungen > „System“ > „Mehrere Benutzer“. Tippt auf „Nutzer hinzufügen“ und vergebt einen Profilnamen. Aktiviert unten die Option „Send notifications to current user“, um Benachrichtungen anderer Profile an das derzeit aktive Profil zu erhalten.

Hier fügt ihr ein neues Profil hinzu und erhaltet Benachrichtigungen von anderen Profilen. (© GIGA)

Um zwischen Profilen zu wechseln, zieht ihr in GrapheneOS die obere Statusleiste herunter und tippt auf das Nutzer-Symbol. Wählt dann das gewünschte Nutzerprofil aus:

So wechselt ihr zu einem anderen Nutzerprofil. (© GIGA)

Beachtet aber, dass ihr in GrapheneOS nicht die gleichen Apps auf zwei Profilen installieren könnt. Wenn ihr also

Sandboxed „Google Play Services“

GrapheneOS kann die für Google- und manch andere Apps nötigen „Google Play Services“ über den eigenen „App Store“ innerhalb einer isolierten Umgebung installieren (Sandbox). Dies ist dann genau genommen „nur“ eine Kompatibilitäsebene zu anderen Apps, da GrapheneOS trotz „Sandboxed Google Play Services“ das eigentliche „Google Play“ nicht verwendet (Quelle: GrapheneOS). Es geht darum, nur genau so viele Berechtigungen zu erlauben, damit andere Google-Apps in GrapheneOS funktionieren, ohne auf Datenschutz und Sicherheit zu verzichten.

Es wird empfohlen, die „Google Play Services“ in einem gesonderten Nutzerprofil als Sandbox zu installieren, zusammen mit den Apps, welche diese benötigen, um zu funktionieren. Denn nur Apps, die auf dem gleichen Profil installiert wurden, haben dann Zugriff auf diese Play-Services. Laut GrapheneOS sollten die meisten Apps mit dieser Methode funktionieren. So geht's:

Richtet euch ein weiteres Profil ein und wechselt in dieses, wie von uns oben erklärt. Öffnet nun die GrapheneOS-eigene App „App Store“. Tippt auf „Google Play services“ und dann oben auf den Button „Install“. Unten seht ihr, dass nun zusätzlich automatisch die Apps „GMSCompatConfig“, „Google Services Framework“ und „Google Play Store“ heruntergeladen werden, da diese ebenfalls benötigt werden (Abhängigkeiten). Bestätigt die Installationen jeweils mit „Installieren“. Erlaubt auch die Berechtigung „Network“ (Häkchen setzen). Wartet bis der Installationsvorgang abgeschlossen ist und überall „Installed“ steht. Falls bestimmte Apps den Login in ein Google-Konto voraussetzen, könnt ihr dies tun. Unter Umständen wird euch als Benachrichtigung angezeigt, dass die „Google Play services“ (Google Play Dienste) immer im Hintergrund ausgeführt werden wollen. Ihr könnt das später unter Einstellungen > „Apps“ > „Google Play-Dienste“ > „Akkunutzung der App“ ändern. Deaktiviert dort dazu den Schalter bei „Hintergrundnutzung zulassen“. Übrigens unterstützt GrapheneOS auch Spiele über „Google Play Games“, wenn ihr das installieren wollt. Manche Apps funktionieren auch, wenn ihr nur die App „Google Services Framework“ installiert – ohne „Google Play Store“ und „Google Play services“. Das könnt ihr dann ausprobieren, sofern gewünscht.

So installiert ihr die „Sandboxed Google Play Services“ in GrapheneOS. (© GIGA)

Um die „Google Play services“ später wieder zu deinstallieren, öffnet den „App Store“ > „Google Play services“, tippt oben rechts auf die drei Punkte (⁝) und wählt „Uninstall“ aus. Tippt unten auf die anderen Abhängigkeiten und wiederholt die soeben genannten Schritte, um diese auch wieder zu deinstallieren. Die Abhängigkeit „GmsCompatConfig“ kann jedoch nicht deinstalliert werden, weil das die Kompatibilitätsebene von GrapheneOS ist.

Storage Scropes: Was ist das? Wie nutzen?

Die Funktion „Storage Scopes“ täuscht einer App nur vor, dass sie die gewünschte Speicherzugriff-Berechtigung hat. Dadurch „sieht“ die App nur Dateien, die sie selbst erstellt hat. Optional kann eingestellt werden, welche zusätzlichen Dateien und Ordner die App auch „sehen“ kann.

Die Funktion ist also dann hilfreich, wenn Apps die Speicherzugriff-Berechtigung wie „Zugriff auf Dateien“ oder „Zugriff auf Fotos und Videos“ verlangen, um zu funktionieren, sie diese aber nach Einschätzung des Nutzers eigentlich nicht brauchen (sollten). Alternativ kann man die Funktion nutzen, um der App genau vorzugeben, welche Dateien und Ordner sie tatsächlich nutzen darf.

Ihr findet die Option für Apps hier:

Öffnet die Einstellungen > „Datenschutz“ > „Berechtigungsmanager“ > „Dateien“ ODER „Fotos und Videos“. Je nachdem, um welchen Berechtigungszugriff es geht. Wählt die betreffende App aus, aktiviert „Nicht zulassen“ und tippt darunter auf „Storage Scopes“.

So aktiviert ihr simulierten Speicherzugriff und bestimmt, welche Dateien die App „sehen“ darf. (© GIGA)

Um „Storage Scopes“ für eine App wieder zu deaktivieren, öffnet ihr das „Storage Scopes“-Menü der betreffenden App wie oben gezeigt, tippt oben rechts auf die drei Punkte (⁝) und wählt „Turn off“ aus.

Probleme und Lösungen bei GrapheneOS

Während ich GrapheneOS genutzt habe, bin ich auf folgende Probleme gestoßen. Hier sind die Lösungen dazu.

Osmand hat keine Sprachausgabe (TTS-Unterstützung fehlt)

GrapheneOS hat ab Werk keine Text-to-Speech-Unterstützung (TTS) installiert, wodurch Navigations-Apps wie Osmand bei der Wegbeschreibung stumm bleiben. Ihr könnt eine deutsche Sprachausgabe wie folgt nachinstallieren:

Öffnet die Webseite k2-fsa.github.io/sherpa/onnx/tts/apk-engine.html. Unten sind aktuelle Sprachmodelle nach Version, Architektur und Sprache aufgelistet. Für Deutsch und eine weibliche Stimme empfehlen wir das Modell „Kerstin“:

sherpa-onnx-1.10.22-arm64-v8a-de-tts-engine-vits-piper-de_DE-kerstin-low.apk Für Deutsch und eine männliche Stimme empfehlen wir das Modell „Thomas“:

sherpa-onnx-1.10.22-arm64-v8a-de-tts-engine-vits-piper-de_DE-thorsten-medium.apk Installiert die jeweilige APK-Datei (Anleitung). Öffnet in GrapheneOS die Einstellungen > „System“ > „Sprachen“ > „Sprachausgabe“. Wählt bei „Bevorzugtes Modul“ den Eintrag „TTS Engine“ aus. Unter Umständen müsst ihr den Schritt mehrmals wiederholen, falls GrapheneOS den Eintrag nicht als ausgewählt enzeigt. Startet GrapheneOS danach neu. Jetzt sollten Navigations-Apps wie Osmand mit Sprachausgabe funktionieren.

GrapheneOS: So aktiviert ihr deutsche Sprachausgabe für Navigations-Apps. (© GIGA)

Falls ihr eine englische oder französische Sprachausgabe wünscht, könnt ihr aus F-Droid die App „RHVoice“ installieren und als Sprachausgabe auswählen. Diese unterstützt aber leider noch keine deutsche Sprache.

GrapheneOS verbindet sich plötzlich nicht mehr mit dem WLAN, andere Geräte schon

GrapheneOS ändert aus Sicherheitsgründen für jede Router-Verbindung die MAC-Adresse eures Smartphones. Dadurch denkt eurer WLAN-Router, dass sich jedes Mal ein neues, anderes Gerät im WLAN anmeldet. Für öffentliche Netzwerke ist das eine hilfreiche Sicherheits-Funktion, aber zuhause kann das zu folgendem Problem führen: Irgendwann kann die Liste erlaubter DHCP-Geräte im Router volllaufen. Ab diesem Zeitpunkt lässt der Router dann keine weiteren Geräte ins WLAN. Das bedeutet: Entweder ihr startet euren Router neu oder ihr ändert ihn GrapheneOS für eure WLAN-Verbindung folgende Einstellung:

Öffnet die Einstellungen. Tippt oben auf „Netzwerk & Internet“. Tippt auf das Zahnrad-Symbol neben eurem WLAN. Tippt auf „Datenschutz“ und stellt „Use per-network-randomized MAC“ ein. Jetzt verändert GrapheneOS die MAC-Adresse nur noch pro geändertem Netzwerk, nicht mehr per einzelner Verbindung.

Stellt diese Option ein, falls eurer Router die Verbindung mit GrapheneOS verweigert. (© GIGA)

Internetverbindung funktioniert nicht mehr, nachdem ich VPN-App Orbot installiert habe

Es kann vorkommen, dass plötzlich nur noch über eure VPN-Verbindung ins Internet gelangt, aber nicht mehr über die gewöhnliche Internetverbindung ohne VPN. Das geschieht, sobald ihr einen VPN-Client wie Orbot installiert habt und dessen VPN-Verbindung beispielsweise nur für bestimmte Apps aktiviert habt. Ursache ist eine automatisch aktivierte VPN-Einstellung in GrapheneOS, die dann alle anderen Internetverbindungen ohne VPN blockiert. So könnt ihr das beheben:

Öffnet die Einstellungen. Tippt oben auf „Netzwerk & Internet“. Tippt etwas weiter unten auf „VPN“. Tippt auf das Zahnrad-Symbol neben eurer VPN-App. Stellt den Schalter neben „Verbindungen ohne VPN blockieren“ auf „Aus“.

Stellt den Schalter aus, damit die Internetverbindungen ohne VPN wieder funktionieren. (© GIGA)

Der Akku wird nicht geladen in GrapheneOS

Ihr habt euer Ladekabel angeschlossen, aber der Akku wird nicht voller während ihr am Gerät nebenher etwas anderes tut? Auch dies ist eine Sicherheits-Funktion in GrapheneOS: Ab Werk lädt das Betriebssystem den Akku nur, wenn das Gerät gesperrt ist (Display aus). Ihr könnt die Einstellung bei Bedarf hier ändern:

Öffnet die Einstellungen > „Sicherheit“ > „USB-C port“. Aktiviert die Option „On“, wenn der Akku immer geladen werden soll, sobald das Ladekabel angeschlossen ist.

Ändert die Einstellung, damit euer Akku immer geladen wird, wenn ein Kabel angeschlossen ist. (© GIGA)

GrapheneOS deinstallieren und Original-Betriebssystem wiederherstellen

Auf der Webseite des Web-Installers wird beschrieben, wie ihr GrapheneOS wieder entfernen könnt, wenn es euch nicht gefällt. Dazu entfernt ihr per Button auf der Webseite zunächst den Non-Stock-Key des GrapheneOS-Betriebssystems. Danach nutzt ihr „Googles Web Flashing Tool“, um die Original-Firmware auf das Gerät zu flashen. Folgt dazu den Anweisungen.

Hier findet ihr eine Englisch-sprachige Videoanleitung vom YouTube-Kanal „Cozy Living Machine“:

Falls euch GrapheneOS nicht gefällt, könnt ihr aber auch den etwas aufwendigeren Weg wählen, um ein Custom-ROM mit Root-Rechten zu nutzen. Das sind die besten Smartphones dafür:

Hat dir der Beitrag gefallen? Folge uns auf WhatsApp und Google News und verpasse keine Neuigkeit rund um Technik, Games und Entertainment.