Relevante GrapheneOS‑Features im Kontext des Sicherheitsberichts 2026

1. Modem‑Isolation

GrapheneOS trennt das Mobilfunk‑Modem vollständig vom Betriebssystem.
Damit werden stille Standortabfragen, IMEI‑Tracking und Baseband‑Exploits massiv erschwert.
Dies adressiert direkt die Risiken aus Lauschangriff und BND Hacking (stille Ortung, Funk‑Exploits).

2. Keine Cloud‑Telemetrie

GrapheneOS sendet keine Nutzerdaten an Google oder andere Anbieter.
Es existieren keine versteckten Datenpfade, keine automatischen Backups, keine Metadatenabflüsse.
Das reduziert die Risiken aus EU eEvidence und BND Hacking (Cloud‑Zugriffe, Herausgabeanordnungen).

3. Verified Boot

Jede Systemkomponente wird kryptografisch geprüft.
Manipulationen durch Bundestrojaner, persistente Malware oder Supply‑Chain‑Angriffe werden erkannt oder blockiert.
Dies adressiert die Risiken aus BND Hacking, Subzero und Chatkontrolle (clientseitige Manipulation).

4. Gehärteter Kernel

GrapheneOS nutzt einen stark gehärteten Linux‑Kernel mit Memory‑Safety‑Verbesserungen, Exploit‑Mitigations und restriktiven Standardrechten.
Das erschwert Zero‑Day‑Angriffe, wie sie in Subzero und BND Hacking beschrieben werden.

5. Strikte App‑Sandboxing‑Mechanismen

Jede App ist isoliert, kann keine Screenshots, Keylogging oder Credential‑Dumping durchführen.
Das schützt vor clientseitigen Scanning‑Modulen (Chatkontrolle) und vor Trojanern (Subzero).

6. Restriktive Berechtigungsmodelle

GrapheneOS erweitert Android um feinere Kontrolle über Sensoren, Netzwerkzugriffe, Identifikatoren und Hintergrundaktivitäten.
Das reduziert Angriffsflächen für stille Ortung, Metadatenabflüsse und Scanning‑Module.

7. MAC‑Randomisierung und Netzwerk‑Härtung

GrapheneOS randomisiert Netzwerk‑IDs und unterstützt DoH/DoT sowie Tor‑Routing.
Das erschwert Tracking über WLAN‑Netze und zentrale Überwachungspunkte wie DE‑CIX (BND Hacking).

8. Keine proprietären Cloud‑Abhängigkeiten

GrapheneOS zwingt keine Google‑Konten auf und nutzt keine proprietären Sicherheitsmodule für kritische Funktionen.
Das reduziert Risiken aus EU eEvidence und Firmware‑Subsysteme.

9. Reproduzierbare Builds

Der Systemzustand ist überprüfbar und auditierbar.
Das verhindert versteckte Codepfade wie bei Chatkontrolle oder manipulierter Firmware.

10. Streng getrennte Nutzerprofile

GrapheneOS ermöglicht echte Trennung von Rollen, Identitäten und Arbeitsbereichen.
Das reduziert Risiken aus BND Hacking (Zugriff auf sensible Daten über kompromittierte Apps).

11. Lokale Schlüsselverwaltung

Schlüssel bleiben auf dem Gerät und werden nicht in Cloud‑Systeme ausgelagert.
Das schützt vor Herausgabeanordnungen und Cloud‑Exfiltration (EU eEvidence).

12. Keine Hintergrundprozesse

GrapheneOS minimiert systemweite Dienste und verhindert versteckte Module.
Das adressiert Risiken aus Subzero und Chatkontrolle (unsichtbare Prozesse, Scanning‑Pfade).

Kurzfazit

Der Sicherheitsbericht beschreibt eine Bedrohungslage, die klassische Smartphones strukturell nicht abwehren können: stille Ortung, staatliche Zero‑Days, Cloud‑Zugriffe, clientseitiges Scanning, unsichtbare Firmware‑Subsysteme.
Die im Bericht genannten technischen Gegenmaßnahmen decken sich nahezu vollständig mit der Architektur von GrapheneOS.

Vergleich: GrapheneOS, iOS und Android

Thema GrapheneOS iOS Android
Kontrolle über das Gerät Vollständig lokal, keine Cloud‑Pflicht, keine Herstellerbindung. Apple‑Konto zwingend, Cloud‑Integration tief verankert. Google‑Konto praktisch zwingend, Hersteller‑Dienste variieren.
Angriffsfläche Gehärtet, stark reduziert, restriktive Berechtigungen. Größer durch viele Systemdienste. Sehr groß, viele Hersteller‑Apps, fragmentierte Qualität.
Versteckte Datenpfade Keine Telemetrie, keine Hintergrundübertragung. Mehrere Ebenen von Telemetrie. Google‑Dienste + Hersteller‑Telemetrie.
Remote‑Zugriffe Keine externen Fernzugriffe, kein MDM‑Agent. Apple kann Geräte sperren, deaktivieren, orten. Google, Hersteller und MDM‑Systeme haben Zugriffe.
Integritätskette Vollständig prüfbar und auditierbar. Proprietär, nicht prüfbar. Fragmentiert, nicht durchgehend prüfbar.
Löschung im Notfall Sofortige vollständige Löschung auf Knopfdruck. Löschung über Apple‑Dienste. Löschung abhängig von Google‑Diensten.
Einsatz für vertrauliche Kommunikation Dafür entwickelt, keine Cloud‑Abhängigkeit. Nicht primär dafür ausgelegt. Nicht primär dafür ausgelegt.

Zusammenfassung der sicherheitsrelevanten Eigenschaften von GrapheneOS im Kontext des Sicherheitsberichts 2026. Für die Installation von GrapheneOS verwenden wir bei Storsender ausschließlich hardwarebereinigte Arbeitsrechner ohne aktive Out‑of‑Band‑Management‑Subsysteme wie die Intel Management Engine. Diese Systeme sind deutlich sicherer als die in der IT üblicherweise eingesetzten Geräte.

Nächster Schritt

Bereitstellung für Wien anfordern.

Vertrauliches Erstgespräch anfragen