Wer mich kennt, weiß: Ich vertraue keinem Betriebssystem, das ich nicht selbst installiert habe. Stock Android auf einem Pixel ist zwar besser als die meisten Hersteller-ROMs, aber Google bleibt Google. Deshalb läuft auf meinem Pixel 9 seit ein paar Wochen GrapheneOS – und ich bin ehrlich begeistert. In diesem Post zeige ich euch, wie die Installation ablief, welche Apps ich nutze und welche Härtungsmaßnahmen ich empfehle.

Warum GrapheneOS und nicht Stock Android?

GrapheneOS ist ein gehärtetes, auf Privatsphäre ausgelegtes Android-Betriebssystem, das ausschließlich auf Google Pixel-Geräten läuft. Der Grund dafür ist einfach: Pixel-Phones bieten verifiziertes Booten (Verified Boot) auch mit einem alternativen Betriebssystem, was bei den meisten anderen Herstellern nicht der Fall ist. Das bedeutet, dass der Bootloader nach der Installation von GrapheneOS wieder gesperrt werden kann, ohne die Sicherheit zu kompromittieren.

Im Vergleich zu Stock Android bietet GrapheneOS unter anderem:

  • Gehärtete Memory Allocation – hardened_malloc ersetzt den Standard-Allocator und macht Speicher-Exploits deutlich schwieriger
  • Netzwerk- und Sensor-Berechtigungen – Apps können granular vom Netzwerk oder von Sensoren abgeschnitten werden
  • Sandboxed Google Play – Google-Dienste laufen in einer normalen Sandbox, ohne Systemrechte
  • Separate Nutzerprofile – echte Isolation zwischen Arbeits-, Privat- und Wegwerf-Profilen
  • Automatische Neustart-Funktion – das Gerät kann nach einer konfigurierbaren Inaktivitätszeit automatisch neustarten, um Encryption-Keys aus dem RAM zu löschen

GrapheneOS entfernt nicht einfach Google-Dienste – es macht sie optional und entfernt ihnen die Sonderrechte. Das ist ein fundamentaler Unterschied zu anderen Custom ROMs.

Installation auf dem Pixel 9

Die Installation von GrapheneOS ist mittlerweile überraschend einfach. Das Projekt bietet einen Web-Installer an, der direkt im Browser (Chromium-basiert, da WebUSB benötigt wird) funktioniert. Hier die groben Schritte:

  1. OEM-Entsperrung in den Entwickleroptionen aktivieren
  2. Das Gerät im Bootloader-Modus starten (adb reboot bootloader oder Power + Volume Down)
  3. Den Web-Installer öffnen und den Anweisungen folgen
  4. Nach dem Flashen den Bootloader wieder sperren

Der gesamte Vorgang hat bei mir etwa 15 Minuten gedauert. Falls ihr den Web-Installer nicht nutzen wollt, gibt es auch die CLI-Variante:

# Bootloader entsperren
fastboot flashing unlock

# GrapheneOS flashen (aus dem entpackten Verzeichnis)
./flash-all.sh

# Bootloader wieder sperren – wichtig!
fastboot flashing lock

Den Bootloader nach der Installation unbedingt wieder sperren. Nur so ist Verified Boot aktiv und schützt vor Manipulationen am System.

Meine App-Auswahl

GrapheneOS kommt bewusst ohne App Store. Ich nutze eine Kombination aus F-Droid, Obtainium und dem sandboxed Google Play Store:

Kommunikation

  • Signal – Mein Standard-Messenger für die meisten Kontakte. Ende-zu-Ende-verschlüsselt, minimale Metadaten dank Sealed Sender. Ich installiere Signal direkt über die offizielle APK oder den Play Store in der Sandbox.
  • Conversations – Mein XMPP-Client der Wahl auf Android. Unterstützt OMEMO-Verschlüsselung, läuft stabil und hat einen geringen Ressourcenverbrauch. Perfekt für die Kommunikation über meinen eigenen XMPP-Server.

Netzwerk und Privatsphäre

  • Mullvad VPN – Kein Account nötig, Zahlung mit Bargeld oder Krypto möglich. Mullvad ist für mich der vertrauenswürdigste VPN-Anbieter, weil das Geschäftsmodell transparent ist und sie regelmäßig auditiert werden.
  • Mullvad Browser – Basiert auf dem Tor Browser, aber ohne Tor-Netzwerk. Starkes Fingerprinting-Schutz-Profil.
  • Vanadium – Der Standard-Browser von GrapheneOS, ein gehärteter Chromium-Fork. Für alltägliches Browsen meine erste Wahl.

App-Updates ohne Google

  • Obtainium – Das ist ein Gamechanger. Obtainium holt Updates direkt von GitHub Releases, GitLab, F-Droid-Repos oder APK-Quellen. Kein zentraler Store nötig, trotzdem automatische Update-Benachrichtigungen. Ich nutze Obtainium für Signal, Mullvad, Conversations und diverse andere Apps.

Sandboxed Google Play

Für die wenigen Apps, die zwingend Google Play Services brauchen (z.B. manche Banking-Apps), habe ich den Sandboxed Google Play Store in einem separaten Nutzerprofil installiert. Die Einrichtung ist simpel:

# In GrapheneOS unter:
# Einstellungen → Apps → Sandboxed Google Play installieren
# Dann den Play Store wie gewohnt nutzen –
# aber ohne Systemrechte für Google.

Der entscheidende Punkt: Google Play Services laufen hier als normale App in der Sandbox, nicht als privilegierter Systemdienst. Sie haben keinerlei Sonderzugriff auf das System. Das ist ein massiver Sicherheitsgewinn gegenüber jedem anderen Android-ROM.

Härtungsmaßnahmen

Nach der Installation und App-Einrichtung geht es ans Feintuning. Hier sind meine wichtigsten Empfehlungen:

Netzwerk-Berechtigungen einschränken

GrapheneOS bietet eine einzigartige Funktion: die Network Permission pro App. Unter Einstellungen → Apps → [App] → Berechtigungen kann man jeder App den Netzwerkzugriff komplett entziehen. Das nutze ich für alle Offline-Tools wie Taschenrechner, Dateimanager und Notiz-Apps. Eine App, die keinen Netzwerkzugriff hat, kann auch keine Daten exfiltrieren.

Sensoren-Zugriff deaktivieren

Unter den Entwickleroptionen gibt es den Sensors Off-Toggle. Damit werden Gyroskop, Beschleunigungssensor und Magnetometer für alle Apps deaktiviert. GrapheneOS geht hier noch weiter und bietet eine pro-App Sensors Permission, mit der man den Sensor-Zugriff gezielt steuern kann. Sensoren können für Fingerprinting und Tracking missbraucht werden – also abschalten, wo nicht nötig.

Separate Profile nutzen

Ich arbeite mit drei Nutzerprofilen:

  • Owner-Profil – Minimal gehalten. Nur die wichtigsten Apps: Signal, Conversations, Mullvad VPN, Vanadium. Kein Google Play.
  • Arbeitsprofil – Hier läuft der Sandboxed Play Store für die wenigen unvermeidbaren Google-abhängigen Apps. Dieses Profil wird nach Nutzung sofort wieder deaktiviert.
  • Wegwerf-Profil – Für Apps, denen ich nicht vertraue, die ich aber kurz testen möchte. Kann jederzeit komplett gelöscht und neu erstellt werden.

Jedes Profil hat einen eigenen Verschlüsselungsschlüssel. Wenn ein Profil gesperrt ist, sind die Daten darin verschlüsselt und für andere Profile nicht zugänglich.

Weitere Einstellungen

  • Auto-Reboot auf 18 Stunden setzen – löscht Encryption-Keys aus dem RAM bei Inaktivität
  • USB-C-Zugriff deaktivieren, wenn das Gerät gesperrt ist (Einstellungen → Sicherheit → USB-Zubehör)
  • PIN-Scrambling aktivieren – die Ziffernanordnung auf dem Sperrbildschirm wird zufällig gemischt, was Shoulder-Surfing erschwert
  • Exploit Protection-Einstellungen überprüfen – Memory Tagging (MTE) auf dem Pixel 9 aktivieren, sofern verfügbar

Fazit

GrapheneOS auf dem Pixel 9 ist für mich derzeit das beste Setup, wenn man Sicherheit und Alltagstauglichkeit verbinden möchte. Die Installation ist unkompliziert, die App-Kompatibilität dank Sandboxed Google Play hervorragend, und die zusätzlichen Härtungsmaßnahmen gehen weit über das hinaus, was Stock Android bietet.

Ja, es erfordert etwas Einarbeitung. Und ja, man muss sich bewusst entscheiden, welche Kompromisse man eingeht. Aber genau das ist der Punkt: Bei GrapheneOS habe ich die Kontrolle, nicht Google. Und das ist mir ein Pixel 9 wert.

Bei Fragen zu meinem Setup oder zur Installation erreicht ihr mich wie immer per XMPP oder über meine Hauptseite.