Verwendet hier jemand CalyxOS oder GrapheneOS?

Aus vielen Gründen befinden sich Custom-ROMs im schweren Fahrwasser. Nicht nur Google macht ihnen das Leben schwer, sondern auch ihre internen Prozesse.>

Das ist ein Meinungsartikel.

Bei den beiden im Titel genannten Betriebssystemen handelt es sich um Custom-ROMs für Smartphones. Sie basieren auf LineageOS, welches wiederum auf Googles Android Open Source Project (AOSP) baut. CalyxOS konzentriert sich auf Datenschutz, Sicherheit und Barrierefreiheit. Der Fokus liegt auf einer möglichst unkomplizierten Installation. Gleiches gilt für GrapheneOS, welches bei der Sicherheit noch eine Schippe drauflegt und nur auf Googles Pixel‑Geräten läuft. Die beiden Betriebssysteme gelten als erste Wahl, wenn einem Datenschutz, Sicherheit und Privatsphäre wichtig sind. Der Sicherheitsexperte Mike Kuketz bezeichnet GrapheneOS als den Goldstandard. Von CalyxOS hält er nicht ganz so viel:

Insgesamt ist CalyxOS sicherlich kein schlechtes Custom-ROM, sondern bietet ein stimmiges Gesamtpaket, mit dem Nutzer, die ihre Abhängigkeit von Google (stark) reduzieren möchten, einen guten Start haben dürften.

Doch den Google-freien Custom-ROMs bläst der Wind aus verschiedenen Richtungen ins Gesicht.

Google macht die Schotten dicht

Google hat beschlossen, die aktive Entwicklung von Android vollständig in private interne Branches zu verlagern. Das bedeutet:

Keine Echtzeit-Einblicke mehr in den Entwicklungsprozess über die öffentliche AOSP-Plattform.
Der Quellcode wird erst nach der offiziellen Veröffentlichung eines neuen Android-Releases öffentlich gemacht.
Der öffentliche AOSP-Entwicklungszweig wird nicht mehr gepflegt – nur noch finale Versionen erscheinen dort.

Dahinter steckt eine strategische Absicht: Google möchte mehr Kontrolle über das Android-Ökosystem gewinnen und den Zugang zu frühen Versionen stärker regulieren.

Die Portierung von Android auf andere Geräte – insbesondere durch Drittanbieter oder Custom-ROM-Projekte wie LineageOS – wird dadurch deutlich aufwendiger:

Keine Device-Trees und Treiber-Binaries mehr für Pixel-Geräte im AOSP.
Entwickler müssen nun selbst reverse-engineeren, um Android auf bestimmte Hardware zu portieren.
Der Kernel-Quellcode wird mit squashed Commit-History veröffentlicht, was die Nachverfolgung von Änderungen erschwert.

Android bleibt formell Open Source, da der finale Code weiterhin unter der Apache-2.0-Lizenz veröffentlicht wird. Aber die Entwicklung ist nun vollständig geschlossen, was die Offenheit und Zusammenarbeit stark einschränkt. Für GrapheneOS bedeutet das, dass die Pixel-Geräte nicht mehr die offensten und sichersten Geräte sind. Das Team ist dabei, sich nach anderen Lieferanten umzusehen, mit dem Ziel, GrapheneOS auf einer dedizierten Plattform anbieten zu können.

Die oben genannten Änderungen betreffen nicht nur GrapheneOS, sondern alle Android-basierten Custom-ROM Projekte.

But wait, there is more

Bisher hat Google die Installation von Apps aus anderen Quellen als dem offiziellen App Store von Google recht einfach gemacht und Benutzern und Entwicklern ermöglicht, Apps zu installieren, die sonst vielleicht nicht verfügbar wären. Nun beginnt Google, das Sideloading einzuschränken. Dazu gehört, dass Entwickler künftig ihre Identität bei Google verifizieren müssen, bevor sie Apps im Play Store platzieren können. Was beudetet das?

Nur verifizierte Entwickler dürfen Apps auf zertifizierten Android-Geräten installieren – unabhängig davon, ob die App über den Play Store oder per Sideloading kommt.
Die Verifizierung erfolgt über eine neue Android Developer Console, in der Entwickler ihre Identität (Name, Adresse, ID etc.) sowie ihre App-Paketnamen und Signaturschlüssel registrieren müssen.
Die Massnahme startet in Brasilien, Indonesien, Singapur und Thailand im September 2026 und wird 2027 weltweit ausgerollt.

Die Massnahmen haben direkte Auswirkungen auf F-Droid und Open-Source-Apps. Entwickler müssen sich offiziell registrieren und ihre Identität nachweisen, was viele unabhängige oder anonyme Entwickler ausschliessen könnte. F-Droid, das auf nichtkommerzielle und freie Software spezialisiert ist, wäre dadurch stark eingeschränkt, da nicht verifizierte Apps auf den meisten Android-Geräten blockiert würden. Zwar soll es eine vereinfachte Verifizierung für Hobbyisten geben, doch die Details sind noch unklar. Insgesamt droht eine Einschränkung der Offenheit und Vielfalt im Android-Ökosystem.

Bei CalyxOS gibt es hausgemachte Probleme

Als wären die oben genannten Einschränkungen nicht schon schlimm genug, beginnt das Calyx Institute damit, eigene Sargnägel einzuschlagen:

Nachdem der bisherige Chefentwickler Chirayu Desai im Juli 2025 bekanntgab, das Team von CalyxOS zu verlassen, wurde im August auch der Rückzug von Präsident und Gründer Nicholas Merrill bekanntgegeben. Bis zur weiteren Neuausrichtung des Projekts wurden daraufhin alle Updates pausiert und Installationsmöglichkeiten zurückgezogen.

Diese Formulierung aus der Wikipedia, ist korrekt, verschweigt jedoch die Hintergründe und wahren Probleme. Eine anonyme Quelle schreibt:

Offenbar hat der frühere Leiter die Organisation verlassen und man vertraut ihm nicht mehr. Dies ist die wahrscheinlichste Erklärung, die zweitwahrscheinlichste ist, dass sie die Bedeutung der Verfügbarkeit als Teil der drei Säulen der Sicherheit nicht gut genug verstehen. Das sieht nach einem totalen Wrack aus.

Eine andere anonyme Quelle sagt:

Es scheint kein Vertrauen zwischen Nicholas Merrill, dem Gründer und ehemaligen Leiter, und dem derzeitigen Vorstand des Calyx-Instituts zu bestehen. Es gibt verschiedene Versionen darüber, was vorgefallen ist, und selbst für Leute, die sehr in Calyx involviert sind, ist es schwierig, sich eine Meinung zu bilden.

Ja, aber bei GrapheneOS ist doch alles in Ordnung?

Nein, ist es nicht. Sie haben natürlich auch mit den Problemen zu kämpfen, die ich weiter oben genannt habe. Hinzu kommen der nun nachteilige Fokus auf Pixel-Geräte und die Suche nach neuen Anbietern.

Der (ehemalige) Hauptentwickler von GrapheneOS ist Daniel Micay, ein Sicherheitsforscher mit Schwerpunkt auf mobiler Privatsphäre und Betriebssystem-Härtung. Ursprünglich war er Mitbegründer und Entwickler von CopperheadOS, wurde jedoch 2018 nach internen Konflikten über Lizenzfragen aus dem Unternehmen ausgeschlossen. Anschliessend gründete er GrapheneOS als Fortsetzung seines Android-Hardening-Projekts.

Micay ist bekannt für seine kompromisslose Haltung in Sicherheitsfragen, aber auch für sein konfliktreiches Verhalten in der Community. Im Mai 2023 trat er als Lead-Entwickler und Direktor der GrapheneOS Foundation zurück, unter anderem wegen zunehmender Belästigungen.

Im Gegensatz zur aktuellen Problematik bei CalyxOS, wo der ehemalige Projektleiter Nicolas Merrill offenbar die Signierschlüssel nicht übergeben hat, ist bei GrapheneOS ein solcher Vorfall nicht dokumentiert. Micay hat zwar das Projekt verlassen, aber die Übergabe scheint geordnet verlaufen zu sein. Die CalyxOS-Situation zeigt, wie kritisch es ist, Schlüssel und Infrastruktur nicht an Einzelpersonen zu binden – ein Punkt, den GrapheneOS durch seine strukturierte Foundation und transparente Entwicklung offenbar besser gelöst hat.

Vergleicht man die Governance-Strukturen der beiden Organisationen, ergeben sich diese Unterschiede bei der Schlüsselproblematik:

CalyxOS: Die Signierschlüssel liegen bei einer Person.
GrapheneOS: Nutzt ein strukturiertes, dokumentiertes Verfahren zur Schlüsselverwaltung. Die Infrastruktur ist so aufgebaut, dass sie nicht von Einzelpersonen abhängig ist.

Das Fazit zu diesem Artikel überlasse ich euch.

Diesen Beitrag habe ich als Meinungsartikel deklariert, weil er auf vielen Quellen basiert, die ich nicht alle überprüfen konnte.

Titelbild: https://pixabay.com/photos/shipwreck-ocean-thunderstorm-sea-6609824/

Quellen:

https://de.wikipedia.org/wiki/CalyxOS

https://de.wikipedia.org/wiki/GrapheneOS

https://de.wikipedia.org/wiki/LineageOS

https://de.wikipedia.org/wiki/Android_(Betriebssystem)#Verf%C3%BCgbarkeit_der_Quellen

https://www.kuketz-blog.de/grapheneos-der-goldstandard-unter-den-android-roms-custom-roms-teil7/

https://www.kuketz-blog.de/calyxos-de-googled-geht-anders-custom-roms-teil2/

https://www.ctol.digital/news/android-open-source-google-development-lockdown/

https://www.zdnet.com/article/google-will-now-keep-android-development-a-secret-until-official-release/

https://www.androidpolice.com/google-taking-android-development-private-aosp/

https://www.analyticsinsight.net/news/google-ends-public-android-development-what-it-means-for-developers

https://www.androidauthority.com/google-not-killing-aosp-3566882/

https://liliputing.com/lilbits-google-to-block-sideloading-of-apps-from-unverified-developers/

https://calyxos.org/news/2025/08/01/a-letter-to-our-community/

https://www.soldierx.com/hdb/Daniel-Micay

Share the Post:

Systemfreie Devuan GNU/Linux 6.0-Distribution auf Basis von Debian 13 ist erschienen "Trixie" – 9to5Linux

Die Devuan-Entwickler kündigten an. die Veröffentlichung der Devuan GNU/Linux 6.0 “Daedalus” Distribution als 100%ige Ableitung des Debian GNU/Linux Betriebssystems ohne

Vom Mikrofon aufnehmen

Manchmal gibt es einfache Anforderungen, bei denen man sich wundert, warum es dafür keine Lösungen gibt. Doch bei Linux gibt