Sicherheit

GrapheneOS das Betriebssystem das aus einem Bruch entstand

Franz-Martin 15. Mai. 2026 · 26 Min. Lesezeit

Die Geschichte von GrapheneOS: von Verteidigungstechnik der 1990er Jahre über einen zerstörten Schlüssel bis zur Motorola-Partnerschaft 2026

GrapheneOS

Auf einen Blick

Worum es geht. GrapheneOS ist ein gehärtetes Android-Betriebssystem, das auf Google-Pixel-Smartphones läuft. Es gilt heute als sicherste zivile mobile Plattform, die ohne militärische Spezialhardware auskommt. Edward Snowden empfiehlt es seit 2019, ein geleakter Cellebrite-Bericht aus 2025 bestätigt seine Resistenz gegen forensische Werkzeuge, und seit März 2026 baut Motorola Geräte, die ab Werk dafür ausgelegt sind.

Was du mitnimmst.

  • Wie ein einzelner Entwickler nach einem zerbrochenen Geschäftsverhältnis ein Betriebssystem schuf, das heute Strafverteidiger und Investigativ-Journalisten schützt.
  • Warum GrapheneOS technisch auf Forschung steht, die in der OpenBSD- und Kernel-Härtungs-Szene seit den 1990er Jahren entwickelt wurde.
  • Was das praktisch bedeutet für Anwälte, Ärzte, Steuerberater und Journalisten, wenn ihr Smartphone in falsche Hände gerät.

Zeit bis zur ersten umsetzbaren Erkenntnis: 7 Minuten.

Ein Tweet aus dem September 2019

Es war ein gewöhnlicher Samstagabend, als ich Edward Snowdens Tweet zum ersten Mal sah. Im Internet Archive ist er heute noch auffindbar, datiert auf den 21. September 2019. Snowden schrieb: „Wenn ich heute ein Smartphone einrichten würde, würde ich Daniel Micays GrapheneOS als Basis-Betriebssystem verwenden. Ich würde die Mikrofone auslöten und Funkverbindungen ausgeschaltet halten, wenn ich sie nicht brauche. Den Datenverkehr würde ich über Tor leiten.“

Ich saß in meinem Arbeitszimmer in Essen, mit einer Tasse Filterkaffee, und las den Satz dreimal. Mikrofone auslöten. Funkverbindungen aus. Tor. Das war 2019. Snowden saß zu der Zeit in Moskau, weil er sieben Jahre vorher öffentlich gemacht hatte, was die NSA mit den Smartphones dieser Welt macht. Und er empfahl ein Betriebssystem, das ich bis dahin nicht gekannt hatte.

Ich habe an dem Abend zum ersten Mal gelesen, woher GrapheneOS kam. Es war eine Geschichte über einen Programmierer namens Daniel Micay, über einen Bruch mit einem Geschäftspartner, über zerstörte kryptografische Schlüssel und über die Frage, was passiert, wenn ein Mensch sein Lebenswerk einem Konflikt überlässt. Das ist die Geschichte, die ich dir heute erzählen will. Sie endet im März 2026 mit einer Pressemitteilung von Motorola, die viele für unmöglich gehalten hätten. Aber sie beginnt 2014 in Kanada.

🟢 Orientierung: Was GrapheneOS ist und was es macht

Bevor wir in die Geschichte gehen, ein kurzer Halt bei der Sache selbst. GrapheneOS ist ein Betriebssystem für Smartphones. Genauer gesagt: es ist ein Fork von Android, also eine eigenständige Variante, die auf dem offenen Quellcode von Google aufbaut, aber das normale Android in einer Reihe von Punkten ersetzt und härter macht.

Wer ein Pixel-Smartphone von Google nimmt und GrapheneOS darauf installiert, hat danach ein Gerät, das nach außen aussieht und sich bedient wie ein normales Android-Telefon. Du kannst telefonieren, du kannst Apps installieren, du hast WhatsApp und Signal und deinen Mail-Client. Was du nicht mehr hast: einen Pflicht-Google-Account, eine Pflicht-Cloud-Verbindung, und ein Betriebssystem, das gewohnt ist, deine Daten zur Google-Konzernzentrale zu schicken.

Das Kern-Prinzip: harte Wände zwischen Apps

Der zentrale Begriff, den du verstehen musst, ist Sandboxing.

App-Sandboxing: was Standard-Android und GrapheneOS unterscheidetLinke Hälfte: Standard-Android. Mehrere Apps teilen sich eine gemeinsame Umgebung mit durchlässigen Wänden. Eine bösartige App kann auf Daten der anderen Apps zugreifen. Rechte Hälfte: GrapheneOS. Jede App sitzt in einer eigenen Sandbox mit harten Wänden. Eine bösartige App ist isoliert und kommt nicht an die Daten der anderen.Sandboxing: das Kern-Prinzip von GrapheneOSWarum eine bösartige App auf einem normalen Smartphone gefährlicher istStandard-AndroidApps teilen sich Umgebung mit durchlässigen WändenKanzlei-SoftwareMandantenaktenMail-AppKommunikationKalenderTermineBösartigeAppKonsequenz:Eine bösartige App erreichtdie Daten der anderen.GrapheneOSJede App in eigener Sandbox mit harten WändenKanzlei-SoftwareMandantenaktenMail-AppKommunikationKalenderTermineBösartigeAppKonsequenz:Die bösartige App ist isoliert.Andere Daten bleiben sicher.© Fleet Daten & Systems Consulting

Stell dir vor, dein Smartphone ist eine Wohnung mit mehreren Zimmern. In jedem Zimmer wohnt eine App. Eine App für die Mandantenakten, eine für die Mail, eine für den Kalender, eine für das Tagebuch. Auf einem normalen Android-Smartphone sind die Zimmerwände dünn. Apps können sich gegenseitig sehen, manche dürfen in fremde Zimmer schauen, einige haben einen Generalschlüssel. Wenn eine bösartige App in eines der Zimmer einzieht, kann sie sich relativ leicht auch in den anderen umsehen.

GrapheneOS baut die Wände dicker. Jede App lebt in einer eigenen, härter geschlossenen Sandbox. Eine bösartige App kommt zwar in ihr eigenes Zimmer, aber die Wände zu den anderen Zimmern sind so beschaffen, dass sie nicht durchkommt. Das Betriebssystem selbst wacht darüber, was eine App tun darf und was nicht.

Das ist das technische Kern-Versprechen von GrapheneOS in einem Bild. Wir gehen später zu den genauen Mechanismen, aber das Bild reicht für den Anfang.

Wer es benutzt

GrapheneOS hat heute, nach öffentlich zugänglichen Zahlen, mehrere Hunderttausend aktive Nutzer weltweit. Das ist eine Nische, gemessen an Milliarden Android-Smartphones. Aber es ist eine sehr bestimmte Nische. Snowden nutzt es täglich, das hat er 2022 öffentlich bestätigt. Jack Dorsey, der frühere Twitter-Chef, hat es 2022 mit einem kryptischen Tweet implizit empfohlen. In Kreisen der Cypherpunks, der Investigativjournalisten und der politisch verfolgten Aktivisten ist es seit Jahren Standard.

Und seit Oktober 2025 wissen wir aus geleakten Unterlagen, dass auch die größten kommerziellen Forensik-Anbieter ihre Methoden an GrapheneOS-Geräten scheitern lassen. Dazu kommen wir gleich.

Die Geschichte: zwölf Jahre Sicherheits-Architektur

Zeitstrahl der Bedrohungen für die digitale Pressefreiheit 2013 bis 2026Sieben Schlüsselereignisse: 2013 Snowden-Enthüllungen, 2015 Netzpolitik-Landesverrats-Affäre, 2018 Khashoggi-Mord und Pegasus-Spur, 2021 Pegasus-Projekt mit 50.000 Telefonnummern, 2023 Pegasus-Treffer bei Galina Timchenko in Berlin, 2025 Cellebrite-Leak zeigt GrapheneOS-Resistenz, 2026 Stand der Werkzeuge.Dreizehn Jahre Bedrohung der digitalen PressefreiheitWas Journalisten seit Snowden über ihre Werkzeuge gelernt haben2013Snowdenenthüllt dasNSA-Programm2015NetzpolitikLandesverrat-Affäre2018Khashoggi-Mord, erstePegasus-Spur2021Pegasus-Projekt50.000 Telefon-nummern2023Timchenkoin Berlin mitPegasus infiziert2025Cellebrite-Leakzeigt GrapheneOS-Resistenz2026Werkzeugestehen bereit,Lage bleibt ernstErkenntnis der BedrohungIndustrialisierung der ÜberwachungReife der GegenwehrDie Geschichte verläuft in drei Phasen. Erst wurde die Bedrohung sichtbar, dann industriell verstärkt durch Anbieter wie NSO Group.Heute stehen Werkzeuge zur Verfügung, die in der Hand eines vorbereiteten Journalisten substantiellen Schutz bieten.© Fleet Daten & Systems Consulting

2014: das Solo-Projekt

Daniel Micay ist Kanadier, geboren 1990, ein Programmierer aus der Sicherheits-Szene. Schon als junger Mann hatte er sich auf einen sehr bestimmten Bereich der Software-Entwicklung spezialisiert: die Härtung von Speicher-Verwaltung. Wer wissen will, wie Computer Daten in ihrem Arbeitsspeicher organisieren und wie man verhindert, dass Angreifer diese Organisation missbrauchen, kommt schnell auf wenige Namen, und Micay ist einer davon.

Ende 2014 begann er, in seiner Freizeit ein eigenes Projekt aufzusetzen. Das Ziel: Android in seinen Sicherheitseigenschaften so weit zu verbessern, wie es ohne militärische Spezialhardware geht. Er portierte den Speicher-Allokator aus OpenBSD nach Android, übernahm Kernel-Härtungen aus dem PaX-Projekt, schrieb eigene Sandbox-Verbesserungen. Das war keine kommerzielle Tätigkeit, sondern unbezahlte Forschungsarbeit. Sein Projekt hieß einfach „Android Hardening“.

2015 bis 2018: die Copperhead-Phase

2015 wurde aus dem Solo-Projekt eine Firma. Ein gewisser James Donaldson, ein kanadischer Geschäftsmann, gründete die Firma Copperhead Limited als Sponsor. Micay wurde technischer Direktor und 50-prozentiger Anteilseigner. Das Betriebssystem hieß ab da CopperheadOS. Die Idee: Donaldson kümmert sich um die Geschäfte, Micay um den Code. Ein klassisches Arrangement.

Es funktionierte ein paar Jahre. CopperheadOS gewann eine kleine, aber treue Anhängerschaft. Die Software wurde mit der Zeit reifer, sicherer, breiter unterstützt.

Im Juni 2018 zerbrach die Beziehung. Micay sagte später öffentlich, der Geschäftsführer habe versucht, „das Projekt zwangsweise zu übernehmen“, und Spenden, die für das Projekt eingegangen waren, anderswo verwendet. Donaldson sagte das Gegenteil. Es endete vor Gericht, mit Klagen in beide Richtungen, die sich über Jahre zogen.

Was im Moment des Bruchs aber technisch passierte, ist die Stelle, an der diese Geschichte zur Legende wird.

Der Moment der zerstörten Schlüssel

Jedes Betriebssystem, das automatische Updates ausliefert, braucht kryptografische Schlüssel. Mit diesen Schlüsseln signiert das Projekt seine Updates. Das Smartphone des Nutzers prüft beim Update, ob die Signatur stimmt, und akzeptiert das Update nur, wenn sie passt. Wer diese Schlüssel hat, kann Updates ausliefern. Wer sie nicht mehr hat, kann es nicht.

Micay hatte die Signing-Keys von CopperheadOS in seinem Besitz. Als der Streit eskalierte, traf er eine Entscheidung, die in der Krypto-Welt seither diskutiert wird: er zerstörte sie. Komplett. Damit gab es kein CopperheadOS mehr, das technisch in der Lage gewesen wäre, Updates auszuliefern. Donaldson behielt die Firma, den Namen, das Marketing-Material. Aber das technische Werkzeug, das Lebenswerk, war verloren, jedenfalls in seiner kontinuierlichen Form. Wer ein CopperheadOS-Telefon hatte, bekam keine Updates mehr.

Es war ein radikaler Schritt. Manche nennen ihn destruktiv. Andere nennen ihn konsequent. Was er auf jeden Fall war: irreversibel. Die Bombe war platziert, und sie war hochgegangen.

April 2019: die Wiedergeburt unter neuem Namen

Micay arbeitete weiter, jetzt unabhängig. Erst unter dem alten Namen „Android Hardening“, ab April 2019 unter dem Namen GrapheneOS. Ein neuer Name, neue kryptografische Schlüssel, derselbe Code-Stamm, aber ohne den ursprünglichen Geschäftspartner.

Im September 2019 kam Snowdens Tweet. Mit einem Schlag kannte die Welt der Sicherheits-Profis das neue Projekt. Edward Snowden ist nicht irgendwer. Wenn er sagt, ein Betriebssystem ist gut genug für ihn, dann ist das die kürzeste mögliche Form einer Empfehlung. Die Nutzerzahlen begannen zu wachsen.

2023: die Foundation und das Trauma

Im März 2023 wurde die GrapheneOS Foundation gegründet, eine gemeinnützige Stiftung in Kanada. Damit hatte das Projekt zum ersten Mal eine formale Rechtsform, die Spenden entgegennehmen, Entwickler bezahlen und langfristig planen konnte.

Zwei Monate später, im Mai 2023, trat Daniel Micay als leitender Entwickler und als Direktor der Stiftung zurück. Sein öffentliches Statement war kurz: er sei nicht in der Lage, mit dem eskalierenden Niveau an Belästigung umzugehen, einschließlich Swatting-Angriffen.

Swatting, falls dir der Begriff nichts sagt, ist eine Form digitaler Gewalt, die in den letzten Jahren in den USA und Kanada stark zugenommen hat. Anonyme Anrufer melden bei der Polizei eine angebliche Geiselnahme oder einen anderen Vorfall unter der Adresse des Opfers, mit dem Ziel, dass eine schwerbewaffnete Spezialeinheit dort auftaucht. Es endet manchmal tödlich. Micay war einer der prominentesten Sicherheits-Forscher der englischsprachigen Welt, sein Profil war groß genug, dass solche Angriffe auf ihn praktikabel wurden. Er zog die Konsequenz.

Das Projekt lief weiter. Das Team, das er aufgebaut hatte, übernahm. Die Foundation übernahm die Governance. GrapheneOS blieb GrapheneOS. Aber sein Gründer war nicht mehr da.

Oktober 2025: der Cellebrite-Leak

Im Oktober 2025 passierte etwas, das die Glaubwürdigkeit von GrapheneOS in der Berufswelt der Berufsgeheimnisträger und Strafverteidiger schlagartig zementierte.

Cellebrite ist eine israelische Firma. Sie verkauft an Strafverfolgungsbehörden weltweit forensische Werkzeuge, mit denen man beschlagnahmte Smartphones auslesen kann. Das ist ein Milliardengeschäft. Das FBI kauft bei ihnen ein, das BKA, die meisten europäischen Behörden auch. Cellebrite-Geräte sind in jedem Polizei-Forensik-Labor zu finden. Wer also als Anwalt, Arzt, Journalist oder Aktivist verhaftet wird und sein Smartphone abgeben muss, landet mit hoher Wahrscheinlichkeit bei einem Cellebrite-Werkzeug.

Im Oktober 2025 schlich sich jemand in eine vertrauliche Microsoft-Teams-Konferenz von Cellebrite ein. Die Firma erklärte einem potenziellen Kunden, was ihre aktuelle Software gegen welche Smartphone-Modelle leisten kann. Auf einer der gezeigten Folien stand eine Matrix: Pixel 6, Pixel 7, Pixel 8, Pixel 9, jeweils mit Standard-Android und mit GrapheneOS, dazu der jeweilige Software-Stand. Pro Zeile zwei Spalten: was kann Cellebrite auslesen, wenn das Telefon im BFU-Zustand ist (vor erster Entsperrung, kryptografische Schlüssel nicht im Speicher), und was, wenn es im AFU-Zustand ist (nach erster Entsperrung).

Der unangekündigte Teilnehmer machte Screenshots und stellte sie ins GrapheneOS-Forum. 404 Media verifizierte das Material wenige Tage später.

Vereinfachte Darstellung der geleakten Cellebrite-Matrix vom Oktober 2025Tabelle die zeigt, dass Pixel-Smartphones mit Standard-Android teilweise von Cellebrite-Forensik-Werkzeugen ausgelesen werden können, während dieselben Pixel-Geräte mit GrapheneOS als nicht zugänglich gelistet werden. Sowohl im BFU-Zustand (Before First Unlock, kein Schlüssel im Speicher) als auch im AFU-Zustand (After First Unlock, Schlüssel im Speicher).Was die Cellebrite-Matrix vom Oktober 2025 zeigtForensik-Resistenz: Standard-Pixel gegen Pixel mit GrapheneOSCellebrite ist ein israelischer Anbieter forensischer Werkzeuge,die Strafverfolgungsbehörden weltweit zur Auslesung beschlagnahmter Smartphones nutzen.GerätBFUvor erster EntsperrungAFUnach erster EntsperrungPixel 9Standard-Androidteilweiser ZugriffMetadaten, IDs, Logsweitreichender ZugriffDaten lesbarPixel 9mit GrapheneOSkein Zugriffgesperrtkein ZugriffAuto-Reboot zurück in BFUPixel 8Standard-Androidteilweiser ZugriffMetadaten, IDs, Logsweitreichender ZugriffDaten lesbarPixel 8mit GrapheneOSkein Zugriffgesperrtkein ZugriffAuto-Reboot zurück in BFUVereinfachte Darstellung. Quelle: geleakte Cellebrite-Folie, 404 Media, Oktober 2025.Eine Sicherheits-Architektur ist nie endgültig: Cellebrite forscht weiter, GrapheneOS auch.© Fleet Daten & Systems Consulting

Das Ergebnis war eindeutig. Standard-Pixel-Geräte ließen sich teilweise auslesen, vor allem im AFU-Zustand reichlich. Dieselben Pixel-Geräte mit GrapheneOS standen in der Matrix mit drei Buchstaben, die in der Forensik-Welt eine klare Bedeutung haben: „no access“. Kein Zugriff. Pixel 9 mit GrapheneOS sogar im AFU-Zustand. Der Grund dafür ist ein GrapheneOS-Feature namens Auto-Reboot: das Gerät startet sich nach einer einstellbaren Zeit ohne Entsperrung von selbst neu und kehrt damit in den BFU-Zustand zurück, in dem die Schlüssel nicht im Speicher liegen.

Diese Folie ist seither in jedem Vortrag, in jeder Tagung, in jedem Berufungsverfahren zu Smartphone-Beschlagnahmen zitiert worden. Sie ist der bisher klarste öffentliche Beleg dafür, dass die Sicherheits-Architektur von GrapheneOS in der Praxis hält, was sie auf dem Papier verspricht.

März 2026: die Motorola-Partnerschaft

Auf der Mobile World Congress 2026 in Barcelona kündigte Motorola am 2. März 2026 eine langfristige Partnerschaft mit der GrapheneOS Foundation an. Bisher lief GrapheneOS ausschließlich auf Google-Pixel-Geräten, weil nur Pixel die nötigen Hardware-Anforderungen erfüllten: einen entsperr- und wieder verriegelbaren Bootloader, einen sicheren Hardware-Schlüsselspeicher, lange Update-Garantien.

Motorola, eine Tochterfirma von Lenovo, will Geräte bauen, die diese Anforderungen ebenfalls erfüllen. Die ersten Telefone sollen 2027 erscheinen. Damit endet die Pixel-Exklusivität, die GrapheneOS jahrelang prägte, und das Projekt bekommt seinen ersten ernstzunehmenden Hardware-Partner außerhalb von Google.

Das ist die Geschichte in Kurzform. Zwölf Jahre, vom Solo-Projekt zur Marken-Partnerschaft. Mit zerstörten Schlüsseln, einem Rücktritt nach Swatting, einer Snowden-Empfehlung und einem geleakten Cellebrite-Bericht dazwischen.

🔵 Tiefe: woher die Härtungs-Techniken stammen

Wenn ich Berufsgeheimnisträgern erkläre, was GrapheneOS technisch besser macht als Standard-Android, höre ich oft die Frage: warum kann Google das nicht auch? Warum müssen wir auf ein Projekt von ein paar Aktivisten zurückgreifen, statt auf das, was die größte Smartphone-Firma der Welt anbietet?

Die ehrliche Antwort ist: weil Google nicht will. Nicht primär aus bösem Willen, sondern weil Googles Geschäftsmodell auf Datenfluss zwischen Apps beruht. Werbung, Empfehlungen, Suchhistorien, das alles funktioniert nur, wenn Apps miteinander reden dürfen. Wer ein Betriebssystem härter macht, macht es gleichzeitig schwerer, Werbeprofile zu bauen.

GrapheneOS hat diesen Konflikt nicht. Es ist gemeinnützig, es lebt von Spenden, und es ist der einzige verbliebene Träger einer Tradition, die in der Sicherheits-Forschung seit den 1990er Jahren existiert.

Die Verteidigungstechnik-Wurzeln von GrapheneOSDiagramm das zeigt, woher die Härtungs-Techniken in GrapheneOS stammen: OpenBSD aus 1996 mit Theo de Raadts Speicher-Allokator, die PaX-Kernel-Patches aus 2000 mit Schutz gegen Speicher-Korruption, Memory Tagging Extension aus 2018 als Hardware-Feature von ARM, und alle drei fließen zusammen in GrapheneOS.Drei Erbschaften aus der Sicherheits-ForschungWorauf GrapheneOS technisch stehtOpenBSDseit 1996Theo de RaadtsSpeicher-Allokator„Software so bauen,dass sie schwerzu missbrauchen ist“PaX und grsecurityseit 2000Kernel-Härtunggegen Speicher-Korruption„Wenn ein Angriff trotzdemdurchkommt, soll ernirgendwo hin können“ARM MTEseit 2018, ARMv8.5Memory TaggingExtensionin Hardware„Der Chip selbstprüft, ob ein ProgrammSpeicher missbraucht“GrapheneOSdrei Erbschaften, ein modernes Betriebssystem© Fleet Daten & Systems Consulting

Erbschaft eins: OpenBSD

OpenBSD ist ein Betriebssystem, das 1996 von Theo de Raadt in Kanada gestartet wurde. Es ist ein Fork von NetBSD, das wiederum ein Fork von BSD-Unix ist. Was OpenBSD von Anfang an auszeichnete, war eine fast missionarische Haltung zur Sicherheit. De Raadt und sein Team lasen den gesamten Quellcode des Systems systematisch durch, suchten Schwachstellen, schrieben Stücke neu, wo nötig. Das war keine Spezialisierung auf einen Bereich der Software, sondern Generalbereinigung des ganzen Codes.

Einer der bekanntesten Beiträge von OpenBSD ist sein Speicher-Allokator. Das ist die Komponente eines Betriebssystems, die Programmen Speicher zuteilt, wenn sie welchen brauchen. Klingt unspektakulär, ist aber der mit Abstand häufigste Angriffsvektor in der Computersicherheit: über siebzig Prozent aller schweren Sicherheitslücken in C- und C++-Software gehen auf Fehler bei der Speicher-Verwaltung zurück. De Raadts Team schrieb einen Allokator, der diese Fehler entweder verhindert oder zumindest erkennt, bevor sie ausgenutzt werden können.

Daniel Micay portierte diesen OpenBSD-Allokator nach Android. Das war einer seiner ersten Beiträge zum späteren GrapheneOS. Wenn du heute ein Pixel mit GrapheneOS in der Hand hältst, läuft darin ein Stück Code, das auf Theo de Raadts Forschung der späten 1990er Jahre zurückgeht.

Erbschaft zwei: PaX und grsecurity

Etwa zur gleichen Zeit, ab dem Jahr 2000, entstand in der Linux-Welt ein Projekt namens PaX, später erweitert um grsecurity. Hinter dem Pseudonym „PaX Team“ und dem Hauptentwickler „spender“ steckten Forscher, die sich auf Kernel-Härtung spezialisiert hatten. Ihr Ziel: wenn schon ein Angriff durchkommt und ein Programm seinen Speicher missbraucht, soll der Angreifer trotzdem nichts damit anfangen können.

Die zentrale Technik dafür heißt Address Space Layout Randomization. Vereinfacht: das Betriebssystem mischt regelmäßig die Reihenfolge, in der Programme im Speicher liegen, so dass ein Angreifer nicht weiß, wo welche Komponente zu finden ist. Wenn er ein Programm zum Absturz bringt und einen Schadcode einschleust, hat dieser keine festen Adressen, an denen er ansetzen kann.

PaX und grsecurity sind über zwei Jahrzehnte hinweg das geblieben, was sie waren: hochspezialisierte Patches für den Linux-Kernel, von einer kleinen Gruppe Forscher gepflegt. Ihre Ideen sind in viele Sicherheits-Forschungen eingeflossen, auch in GrapheneOS. Wenn du ein gehärtetes Android laufen hast, steht die zugrunde liegende Logik auf zwei Jahrzehnten Kernel-Forschung, die größtenteils anonym betrieben wurde.

Erbschaft drei: Memory Tagging Extension

Die jüngste der drei Erbschaften kommt aus der Hardware-Welt. ARM, der britische Chip-Designer, dessen Architektur in fast jedem Smartphone weltweit steckt, führte 2018 eine neue Technik in seine Prozessoren ein: Memory Tagging Extension, kurz MTE.

Die Idee von MTE ist ein hardware-gestützter Schutz vor Speicher-Missbrauch. Vereinfacht: jeder Speicherbereich bekommt eine kleine kryptografische Marke. Wenn ein Programm auf Speicher zugreift, prüft der Chip selbst, ob die Marke stimmt. Stimmt sie nicht, hält der Chip an. Damit werden ganze Klassen von Sicherheitslücken in C- und C++-Programmen automatisch erkannt, ohne dass die Software dafür angepasst werden müsste.

MTE ist erst in den neuesten Pixel-Chips zu Hause. Aber GrapheneOS war eines der ersten Betriebssysteme weltweit, das MTE standardmäßig aktiviert hat. Wer heute ein Pixel 8 oder neuer mit GrapheneOS nutzt, hat einen Hardware-Speicher-Schutz aktiv, von dem auf den meisten anderen Smartphones noch nichts zu spüren ist.

Was diese drei Linien gemeinsam haben

Sie sind alle drei nicht in Sicherheits-Marketing-Abteilungen entstanden, sondern in Forschungs-Communities, die jahrzehntelang an Problemen gearbeitet haben, ohne dass die meisten Smartphone-Hersteller sich dafür interessiert hätten. Was du an einem GrapheneOS-Pixel in der Hand hältst, ist das Ergebnis einer Erbschaftskette: OpenBSD aus den 1990ern, PaX aus den 2000ern, ARM-Hardware aus den 2010ern, alles zusammengetragen von einem Programmierer, dessen Lebensbahn von einem Geschäftsbruch und einem Swatting-Angriff geprägt wurde.

Es ist eine ehrliche Geschichte. Nichts daran ist Marketing.

🟡 Praxis: was das für Berufsgeheimnisträger bedeutet

Wir kommen zum Teil, der dich vermutlich am meisten interessiert, wenn du Anwältin, Arzt, Notar oder Steuerberater bist. Was bedeutet diese Architektur konkret für deine Berufspraxis?

Vergleich Smartphone-Optionen für BerufsgeheimnisträgerTabelle, die vier Smartphone-Optionen für Berufsgeheimnisträger vergleicht: Standard-iPhone, Standard-Android, Pixel mit GrapheneOS und das BSI-zugelassene SecuSUITE-Telefon des Bundeskanzlers. Verglichen werden Datensouveränität, Forensik-Resistenz, App-Verfügbarkeit, Kosten und Eignung für Anwälte, Ärzte und Journalisten.Smartphone-Optionen im VergleichWas zählt für Berufsgeheimnisträger und JournalistenKriteriumStandard-iPhone / AndroidPixel mitGrapheneOSKanzler-HandySecuSUITE/BSICrypto-PhoneAnom u. a.DatensouveränitätbegrenztHersteller-Kontenvollständigkeine Pflicht-Kontenstaatlichan BundesnetzunklarAnbieter-abhängigForensik-ResistenzteilweiseDaten extrahierbarhochCellebrite gestoppthochVS-NfD-ZulassungunklarVergangenheit: AnomApp-VerfügbarkeitvollständigApp Store, PlayvollständigSandboxed Playeingeschränktnur Behörden-Appsstark begrenztmeist Chat-AppsKosten400 bis 1.500 €je nach Modell390 bis 500 €Pixel 8a/8, OS freiBehörden-internnicht zivil zu kaufen~ 2.000 € und mehrplus Abo-ModelleGeeignet fürAnwälte und Ärzte?eingeschränktjanicht verfügbarneinGeeignet fürJournalisten?eingeschränktjanicht verfügbarauch unpassendneinDas Pixel mit GrapheneOS ist die einzige Option, die alle vier Anforderungen erfüllt:Datensouveränität, Forensik-Resistenz, App-Verfügbarkeit, Berufsgeheimnis-Tauglichkeit.Crypto-Phones sind historisch oft kompromittiert worden, das Kanzler-Telefon ist für zivile Berufe nicht verfügbar.© Fleet Daten & Systems Consulting

Die Vergleichstabelle oben fasst zusammen, was wir gerade gesehen haben, und stellt es vier Alternativen gegenüber. Ein normales iPhone oder Standard-Android, ein Pixel mit GrapheneOS, das BSI-zugelassene Diensttelefon, mit dem der Bundeskanzler kommuniziert, und ein klassisches Crypto-Phone aus dem Graumarkt.

Anwälte: §203 StGB und die Beschlagnahme

Der Paragraph 203 StGB stellt die Verletzung von Privatgeheimnissen unter Strafe. Anwälte sind als Berufsgeheimnisträger explizit umfasst. Wenn eine Mandantenakte unbefugt offenbart wird, ist das eine Straftat des Anwalts, nicht nur eine zivilrechtliche Frage.

Die meisten Anwältinnen denken bei dieser Norm an Cloud-Dienste, an Mitarbeiter, an Bürobesucher. Wenige denken an ihr Smartphone. Dabei ist das Smartphone heute der Ort, an dem die meisten Mandanten-Daten zuerst landen: in der Mail-App, in den Kalenderterminen, in den Sprachmemos, in den Notizen, in den Fotos beschlagnahmter Akten am Tatort.

Wenn dein Smartphone in eine Lage gerät, in der es ausgelesen werden kann, ist deine §203-Pflicht in einer Schwerelage. Solche Lagen gibt es mehr, als die meisten denken. Beschlagnahme in einem Strafverfahren gegen einen Mandanten, in dem du selbst beschuldigt wirst. Beschlagnahme bei einer Hausdurchsuchung, die andere Gründe hat. Verlust auf einer Geschäftsreise. Diebstahl. Grenzkontrolle in einem Land, das nicht so zimperlich ist mit fremden Geräten.

Was die Cellebrite-Folie vom Oktober 2025 zeigt, ist: ein Pixel mit GrapheneOS, das mit Code gesperrt ist, gibt auch in der Hand eines Cellebrite-Operators nichts preis. Kein „no access“ gilt für die Ewigkeit, das müssen wir gleich noch sagen. Aber im aktuellen Stand der öffentlichen Information ist das die Architektur, die einer Beschlagnahme am robustesten standhält.

Ärzte: Patientendaten am Behandlungsort

Für Ärztinnen und Ärzte gilt §203 ebenso. Die schweigepflichtigen Daten sind hier Patientenakten, Diagnosen, Korrespondenz mit Versicherungen, Konsile mit Kollegen. Das Smartphone in der Kitteltasche ist auch hier oft der Erstkontakt: Fotos einer Wunde für die spätere Konsultation, eine Sprachnachricht an die Sprechstundenhilfe, eine Mail an den Radiologen mit angehängtem CT.

Wenn das Smartphone verloren geht, gestohlen wird, oder bei einer Hausdurchsuchung in der eigenen Praxis beschlagnahmt wird, gilt dasselbe Risiko wie für Anwälte. Mit dem Unterschied, dass Ärzte traditionell weniger sensibilisiert sind für IT-Forensik, weil sie in ihrer Ausbildung selten mit Polizei und Forensik zu tun haben. Das ist ein Punkt, an dem Beratungs-Bedarf entsteht.

Für Allgemeinärzte und Praxen mit niedriger Eintrittswahrscheinlichkeit für Beschlagnahme ist die Frage weniger akut, aber sie wird relevant, sobald sensible Spezialgebiete dazukommen. Reproduktionsmedizin, Psychotherapie, Notärzte mit Strafverfahren-Bezug, Klinikvorständinnen mit Compliance-Themen. In jedem dieser Bereiche kann die Härtung der mobilen Kommunikation den Unterschied machen zwischen einem Karriere-rettenden und einem Karriere-beendenden Tag.

Steuerberater: Mandanten-Steuerdaten

Bei Steuerberatern ist die Lage ähnlich, aber mit einer Besonderheit: ihre Mandanten geraten gelegentlich in Verfahren der Steuerfahndung. Wenn die Steuerfahndung beim Mandanten eintrifft, kommt sie früher oder später auch zum Steuerberater. Die Beschlagnahme von Akten, von Computern, von Smartphones ist in solchen Verfahren der Normalfall, nicht die Ausnahme.

Ein Steuerberater-Smartphone, das mit GrapheneOS abgesichert ist, schützt nicht nur die eigene Berufsgeheimnis-Pflicht, sondern auch eine ganze Reihe von Mandantenfällen, die in der Cloud-Mail oder im Kalender stehen. Es ist eines der wenigen Werkzeuge, die ein Steuerberater allein, ohne IT-Abteilung, ohne externen Berater, in eigener Verantwortung umsetzen kann.

🟡 Praxis: was das für Journalisten bedeutet

Eine zweite Berufsgruppe, für die GrapheneOS in den letzten Jahren zur ernsthaften Empfehlung geworden ist, sind Investigativjournalisten und ihre Quellen. Die Lage ist hier etwas anders gelagert als bei Berufsgeheimnisträgern.

Quellenschutz und Pressefreiheit

In Deutschland schützt das Zeugnisverweigerungsrecht nach §53 StPO Journalisten vor der Pflicht, ihre Quellen offenzulegen. In der Theorie ist das ein hohes Gut. In der Praxis hat sich in den letzten Jahren mehrfach gezeigt, dass technische Werkzeuge die rechtlichen Schutzgarantien aushebeln können. Wenn eine Behörde das Smartphone eines Journalisten beschlagnahmt und auslesen kann, ist es egal, ob sie ihn dazu hätte zwingen dürfen oder nicht. Die Daten sind dann da.

Investigativ-Plattformen wie die Süddeutsche Zeitung, der Spiegel, Investigate Europe oder Forbidden Stories haben in den letzten Jahren sukzessive ihre Sicherheits-Standards angezogen. GrapheneOS ist in vielen dieser Häuser zur Empfehlung für Auslandsrecherchen und für sensible Themen geworden.

Grenzkontrollen und Auslandsreisen

Eine besondere Lage entsteht bei Grenzkontrollen. In vielen Ländern, einschließlich der USA seit Jahren, haben Grenzbeamte das Recht, Smartphones zu untersuchen. Das gilt auch für deutsche Staatsbürger bei der Einreise. Wer als Journalist mit einem Smartphone voller Quellen, Recherchedaten oder Kontaktlisten in ein autoritäres Land einreist, riskiert nicht nur seine eigene Sicherheit, sondern die seiner Kontakte.

Ein Pixel mit GrapheneOS ist hier kein Allheilmittel, aber es ist ein wesentlich besseres Werkzeug als ein normales Smartphone. Der Auto-Reboot, die Duress-PIN (eine zweite PIN, die das Gerät bei Eingabe löscht statt es zu entsperren), die Möglichkeit, auf Recherchereisen mit einem separaten Profil zu arbeiten, das nur die wirklich nötigen Daten enthält: das alles sind Werkzeuge, die ein professioneller Journalist auf einer riskanten Reise nutzen kann.

Pegasus und die Hochrisiko-Lage

Pegasus, das ist die Spähsoftware der israelischen NSO Group, die in den vergangenen Jahren mehrfach gegen Journalisten, Anwältinnen und Aktivisten weltweit eingesetzt wurde. In Europa sind Fälle in Polen, Ungarn, Spanien und Griechenland dokumentiert. Pegasus ist die Spitze dessen, was kommerzielle Überwachungs-Software heute kann.

Pegasus ist auch durch GrapheneOS nicht garantiert abgewehrt. Wer im Bedrohungsmodell von Pegasus steht, also als gezielte Person von einer Staatsmacht mit dem Budget für solche Werkzeuge, hat keine endgültige Sicherheit. Was GrapheneOS aber tut, ist die Hürde deutlich höher zu legen. Viele Pegasus-Angriffe nutzen Schwachstellen, die spezifisch für iOS oder Standard-Android sind. Ein gehärtetes Betriebssystem mit aktiver Memory-Tagging-Extension und verriegelten Wänden zwischen Apps reduziert die Angriffsfläche substantiell.

Für einen Investigativjournalisten in einem normalen Rechtsstaat, der nicht gezielt von einer Staatsmacht angegriffen wird, sondern Routine-Risiken minimieren will, ist GrapheneOS eine erhebliche Verbesserung. Für jemanden, der nachweislich im Visier eines Geheimdienstes steht, ist es eine notwendige, aber nicht hinreichende Maßnahme.

Was bleibt

Drei Beobachtungen am Ende dieses Rückblicks.

Erstens: zivile Sicherheits-Architektur baut auf wenige Schultern. GrapheneOS ist nicht die Arbeit einer großen Firma mit tausenden Entwicklern. Es ist die Arbeit einer kleinen Gruppe, deren technische Erbschaften aus der OpenBSD-Welt, aus der Kernel-Hacking-Szene, aus der ARM-Forschung kommen. Wenige Menschen halten die Sicherheit von Hunderttausenden anderen Menschen in der Hand. Das ist ein bemerkenswerter Zustand, der zeigt, wie stark wir auf die freie Software-Bewegung angewiesen sind.

Zweitens: Sicherheits-Architektur ist eine menschliche Geschichte. Die GrapheneOS-Story ist nicht nur ein technisches Projekt, sondern eine Geschichte von Brüchen, zerstörten Schlüsseln, Swatting, Wiederaufbau. Wer ein gehärtetes Smartphone in der Hand hält, hält gleichzeitig eine Erzählung über die Verletzlichkeit der Menschen in der Hand, die solche Werkzeuge bauen. Das ist eine Lehre, die in der reinen Technik-Welt oft vergessen wird.

Drittens: die Architektur trägt, wo Versprechen nicht reichen würden. Das ist die Lehre, die über GrapheneOS hinausgeht und die wir bei Fleet Data immer wieder formulieren. Cellebrite konnte nicht überlistet werden, weil GrapheneOS gut PR macht. Cellebrite scheiterte, weil das Betriebssystem in Hardware und Software so gebaut ist, dass selbst ein gut ausgestatteter forensischer Operator nichts hat. Das ist der Unterschied zwischen einer Sicherheits-Behauptung und einer Sicherheits-Architektur, die hält.

Mein Segelboot heißt Legacy, ich habe das schon einmal geschrieben. Legacy ist das, was übrig bleibt, wenn das Marketing verschwindet und nur die Substanz übrigbleibt. Bei GrapheneOS sehen wir Legacy in zwei Bedeutungen. Erstens als Erbschaft: die Sicherheits-Forschung der letzten dreißig Jahre, die in einem einzigen Werkzeug zusammenfließt. Zweitens als das, was bleibt, wenn die Gründer aufhören müssen und die Foundation das Werk weiterträgt. Beides ist selten.

Häufige Fragen

1. Welches Smartphone soll ich kaufen, wenn ich GrapheneOS nutzen will?

Stand Mai 2026 sind die empfohlenen Geräte Pixel-Modelle ab Pixel 8. Das Pixel 8a ist die günstigste Variante (etwa 360 bis 400 Euro), das Pixel 8 oder Pixel 9 die Standard-Wahl. Wer noch mehr Update-Sicherheit will, nimmt das aktuelle Top-Modell. Ab 2027 sollen auch Motorola-Geräte verfügbar sein, die ab Werk auf GrapheneOS ausgelegt sind. Bis dahin ist Pixel die einzige Plattform mit voller Unterstützung.

2. Kann ich meine bisherigen Apps weiter nutzen?

Ja, weitgehend. GrapheneOS bietet eine Sandboxed-Google-Play-Funktion, mit der du den Google Play Store installieren kannst, ohne dass er aufdringlich auf System-Ebene zugreift. Banking-Apps, Messenger, Behörden-Apps, fast alles funktioniert. Einige wenige Apps, die strenge Geräte-Attestierung nutzen (manche Banking-Apps, einige Streaming-Dienste), funktionieren nicht oder nur mit Workarounds.

3. Wie aufwendig ist die Installation?

Überraschend einfach. GrapheneOS bietet ein Web-basiertes Installationswerkzeug, das auf einem Chrome- oder Edge-Browser läuft. Du verbindest dein Pixel per USB, klickst durch einen Assistenten, und nach etwa 15 Minuten ist das System installiert. Eine Schritt-für-Schritt-Anleitung folgt in einem eigenen Artikel auf fleet-data.de. Für die meisten Anwälte und Ärzte ist es trotzdem ratsam, das einmal von einem IT-Dienstleister einrichten zu lassen, um sicher zu sein.

4. Wer pflegt GrapheneOS langfristig? Was passiert, wenn das Projekt aufhört?

Seit März 2023 trägt die GrapheneOS Foundation in Kanada das Projekt. Die Foundation hat ein Team mehrerer fest angestellter Entwickler, eine eigene Spendenstruktur, einen klaren Governance-Rahmen. Das ist deutlich robuster als die frühere Solo-Projekt-Lage. Risiko gibt es trotzdem: GrapheneOS hängt von Googles weiterer Bereitschaft ab, Pixel-Geräte mit entsperrbaren Bootloadern zu produzieren. Die Motorola-Partnerschaft seit 2026 reduziert diese Abhängigkeit, eliminiert sie aber nicht.

5. Brauche ich zusätzlich noch andere Werkzeuge?

Ja. GrapheneOS härtet das Smartphone selbst, aber es schützt nicht deine Kommunikation, deine Cloud-Speicher, deine Backups. Für sichere Messenger empfehle ich Signal. Für E-Mail je nach Lage PGP oder einen Dienst wie Tutanota oder Proton Mail. Für Backups einen separaten verschlüsselten Datenträger. Smartphone-Härtung ist ein Baustein, kein ganzes Haus.

6. Die unbequeme Frage: ist das nicht alles paranoid übertrieben für einen normalen Anwalt?

Das ist die ehrlichste Frage, die du stellen kannst, und ich gebe dir eine ehrliche Antwort. Für die meisten Anwälte in Deutschland, die normale Mandantenarbeit machen und nie in spektakuläre Verfahren geraten, ist GrapheneOS Overkill. Ein vernünftig konfiguriertes iPhone mit Bildschirmsperre, Full-Disk-Encryption und regelmäßigen Backups reicht in über 95 Prozent der Fälle.

Aber: in den verbleibenden 5 Prozent wird der Unterschied karriere-entscheidend. Wer in Strafverteidigung arbeitet, wer politisch sensible Mandate führt, wer als Notar mit Geheimnisträger-Stellen aus der Wirtschaft zu tun hat, wer Mandantengeheimnis-Verfahren erlebt hat, weiß: an dem Tag, an dem es darauf ankommt, ist die Architektur entscheidend. Und du weißt nicht, wann dieser Tag kommt, bis er da ist.

Die Frage ist nicht „brauche ich das immer“. Die Frage ist „will ich es haben, wenn ich es brauche“. Das beantwortet jeder für sich selbst. Aber er sollte die Frage zumindest ehrlich gestellt haben.

Wer noch tiefer einsteigen will

Quellen zur Geschichte

Die offizielle Geschichtsseite von GrapheneOS zeichnet die Entwicklung von Daniel Micays Solo-Projekt 2014 bis zur Foundation 2023 nach. Knapp gehalten, technisch genau.

Die deutsche Wikipedia-Seite zu GrapheneOS gibt einen guten neutralen Überblick mit allen wichtigen Daten und Quellen.

Der Originaltweet von Edward Snowden vom 21. September 2019 ist im Archiv noch lesbar. Wer den Moment der Empfehlung in der Originalfassung sehen will, klickt dort.

Der Bericht von 404 Media zum Cellebrite-Leak vom 30. Oktober 2025 ist die Originalquelle für die geleakte Matrix. Lesenswert, weil dort auch die journalistische Methodik der Verifikation beschrieben wird.

Die Pressemitteilung von Motorola vom 2. März 2026 ist die offizielle Bekanntmachung der Partnerschaft. Knappe Sätze, aber wer es im Original lesen will, findet hier den Wortlaut. Eine Einordnung durch deutsche Fachpresse liefert Heise online.

Praktische Anlaufstellen

Die Hauptseite von GrapheneOS bietet alle Installations-Anleitungen, eine Liste unterstützter Geräte und ein aktives Forum. Wer ernsthaft mit dem Gedanken spielt, hier ist der Einstieg.

Das Diskussionsforum der GrapheneOS Community ist eine der nützlichsten Anlaufstellen, wenn du konkrete Fragen hast. Antworten kommen oft binnen Stunden, das Niveau ist hoch.

Verwandte Artikel auf fleet-data.de

In der Sicherheits-Rubrik findest du den Artikel zur Geschichte von PGP, der die ältere Erbschaft der zivilen Verschlüsselung erzählt und die thematische Grundlage für das Verständnis von Sicherheits-Architekturen legt.

In der Berufsgeheimnis-Rubrik folgt demnächst der Artikel zum Berufsgeheimnis-tauglichen Smartphone in der Praxis, der die Frage stellt, wie ein konkretes Anwalts- oder Praxisbüro die Migration von iPhone zu Pixel mit GrapheneOS plant und durchführt.

Schluss

Wir haben einen Weg verfolgt, der 2014 in Toronto begann und 2026 in Barcelona endet, mit einer Pressemitteilung von Motorola. Dazwischen lag ein zerstörter Schlüssel, ein Tweet aus Moskau, eine Foundation in Kanada, ein Rücktritt nach Swatting und eine geleakte Folie aus einer Teams-Konferenz, die einer ganzen Branche zeigte, dass ihre Werkzeuge an einem zivilen Open-Source-Projekt scheitern.

Das ist eine Geschichte, die uns mehr lehrt als die Werkzeuge selbst. Sie zeigt, dass die wichtigsten Sicherheits-Architekturen unserer Zeit nicht aus den Marketing-Abteilungen großer Konzerne kommen, sondern aus kleinen Communities, die jahrzehntelang an Detailproblemen arbeiten. Sie zeigt, dass solche Projekte verletzlich sind, weil sie an einzelnen Menschen hängen. Und sie zeigt, dass eine Architektur, die wirklich hält, auch dann hält, wenn ihre Erfinder nicht mehr da sind.

Für jeden Berufsgeheimnisträger und jeden Journalisten, der seine Verantwortung ernst nimmt, ist GrapheneOS heute keine Spezialisten-Frage mehr. Es ist eine sehr praktische Antwort auf eine sehr alltägliche Lage: was passiert, wenn dein Smartphone in falsche Hände gerät. Die Antwort kann sein „es wird ausgelesen“. Sie kann auch sein „es schweigt“. Welche Antwort du willst, entscheidest du, wenn du dein nächstes Gerät kaufst.⛵

Franz-Martin ist Gründer von Fleet Daten & Systems Consulting und seit über vier Jahrzehnten in der Software-Entwicklung. Er schreibt auf fleet-data.de über Sicherheit, Architektur und die Frage, was zivile Werkzeuge können müssen, um zu halten. Kontakt: Franz-Martin.Herstell@fleet-data.de

© 2026 Fleet Daten & Systems Consulting | fleet-data.de Dieser Beitrag stellt keine Rechts- oder Steuerberatung dar.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.