App Stores unter GrapheneOS – wem du vertrauen solltest (und wem nicht)

Ein falsches Sicherheitsgefühl

Nur weil eine App funktioniert, heißt das nicht, dass sie sauber installiert wurde. Viele Nutzer konzentrieren sich bei GrapheneOS ausschließlich auf Berechtigungen. Das ist wichtig – aber unvollständig. Die Quelle einer App ist mindestens genauso entscheidend wie die Frage, auf welche Sensoren oder Daten sie zugreifen darf. Eine App ist nicht einfach nur eine App.

• Die Quelle bestimmt, wer sie gebaut hat
• Die Signatur bestimmt, wer Updates ausliefern darf
• Die Update-Kette bestimmt, ob Manipulation überhaupt auffallen würde

Signaturen und Prüfsummen sind kein Nerdkram. Sie sind die Basis jedes ernsthaften Sicherheitsmodells.

Wie App-Vertrauen unter GrapheneOS entsteht

GrapheneOS folgt einem einfachen, aber strengen Prinzip: Die App-Signatur ist die Identität des Entwicklers.

• Jede App wird mit einem kryptografischen Schlüssel signiert
• Jedes Update muss exakt dieselbe Signatur tragen
• Ändert sich die Signatur, gilt das Update als fremd

Wird diese Kette gebrochen, gibt es nur zwei Möglichkeiten:

1. Der Entwickler hat den Schlüssel verloren
2. Oder jemand anderes liefert plötzlich Code aus

Beides ist aus Sicherheitssicht ein Problem. Diese Logik ist die Grundlage dafür, warum manche App Stores unter GrapheneOS sinnvoll sind – und andere nicht.

Die empfohlene Store-Hierarchie unter GrapheneOS

1. GrapheneOS App Store – der sichere Standard

Der GrapheneOS App Store ist die erste und wichtigste Anlaufstelle. Er ist auf GrapheneOS standardmäßig vorinstalliert und heißt auf dem Gerät schlicht „App Store“.

Warum?

• Systemnah integriert
• Minimaler Funktionsumfang
• Verifizierte Builds
• Keine Tracker
• Kein Account
• Keine versteckten Abhängigkeiten

Alles, was hier angeboten wird, ist bewusst ausgewählt und sicher eingebunden.

Merksatz:
Alles, was im GrapheneOS App Store verfügbar ist, ist der sichere Standard.

2. Accrescent – klein, aber extrem sauber

Accrescent ist vielen Nutzern unbekannt, spielt aber sicherheitstechnisch in einer eigenen Liga. Accrescent sollte direkt aus dem GrapheneOS App Store installiert werden – genau dafür ist er gedacht.

Merkmale:

• Fokus auf reproduzierbare Builds
• Strikte Signaturprüfung
• Keine Zwischenhändler
• Keine Massen-Distribution

Typisches Beispiel: App Verifier.
Accrescent bietet nur wenige Apps an – aber genau das ist der Punkt. Kein App-Zoo. Keine Spielereien. Nur überprüfbarer Code.

3. Obtainium – ein Werkzeug für Fortgeschrittene

Obtainium ist mächtig – und genau deshalb gefährlich, wenn man nicht weiß, was man tut. Obtainium wird nicht über klassische App Stores, sondern direkt über das offizielle GitHub-Repository des Projekts installiert.

Vorteile:

• Direkter Bezug vom Entwickler
• GitHub-, GitLab- oder Release-Feeds
• Keine Store-Zwischeninstanzen

Risiken:

• Falsche Repositories
• Falsche Architektur
• Fehlerhafte Release-Zuordnung
• Keine automatische Plausibilitätsprüfung

Kernaussage:
Obtainium ist ein Skalpell, kein Küchenmesser. Wer es nutzt, übernimmt selbst die Verantwortung für die Quelle.

4. F-Droid – situativ nutzbar, aber mit Einschränkungen

F-Droid wird oft pauschal als „sicher“ wahrgenommen. Das ist zu kurz gedacht.

• Ja: Open Source, Transparente Builds.
• Aber: Verzögerte Updates, Rebuilds durch Dritte, Teilweise andere Signaturen als beim Original-Entwickler.

F-Droid kann sinnvoll sein:

• Wenn es keine bessere Quelle gibt
• Für einfache, nicht sicherheitskritische Tools

Für sensible Anwendungen ist F-Droid jedoch nicht erste Wahl.

Warum der Aurora Store problematisch ist

Aurora ist bequem. Und genau das ist sein Problem. Sachliche Gründe zur Vorsicht:

• Fremde App-Signaturen
• Unklare Update-Kette
• Umgehung des regulären Play-Ökosystems
• Kein sauberes Vertrauensmodell

„Der Aurora Store ist nicht deshalb problematisch, weil er nachweislich schädliche Apps verteilt, sondern weil er das strenge Signatur- und Update-Vertrauensmodell des originalen Play Stores technisch umgeht. Dadurch wird die kryptografische Vertrauenskette für den Nutzer weniger transparent und schwächer abgesichert.“

Merksatz:
Bequemlichkeit ist kein Sicherheitskonzept. Wer Wert auf saubere Herkunft und überprüfbare Updates legt, sollte Aurora meiden.

Benutzerprofile – die unterschätzte Superkraft von GrapheneOS

GrapheneOS erlaubt echte Trennung auf Betriebssystem-Ebene.

Mehrere Benutzerprofile
Eigenschaften:

• Physische Trennung von Apps und Daten
• Kein Zugriff zwischen Profilen
• Eigene App Stores pro Profil

Typische Einsatzszenarien: Alltag vs. Banking, Privat vs. Arbeit, Google-frei vs. Google-isoliert.

App-Klonen über Profile
Dasselbe App-Paket kann:

• In verschiedenen Profilen installiert werden
• Mit unterschiedlichen Konten
• Mit völlig getrennten Daten

Ideal für: Messenger, Social Media, Test-Accounts.

Arbeitsprofil mit Shelter – gezielte Isolation

Shelter ermöglicht das Anlegen eines Arbeitsprofils innerhalb eines Benutzerprofils.

Wichtige Eigenschaften:

• Logische Trennung von Apps
• Keine gegenseitige Einsicht
• Benachrichtigungen funktionieren zuverlässig

Typischer Einsatz: Google Play Store, Google Play Services.

So lassen sich Google-Abhängigkeiten isolieren, ohne auf Push-Benachrichtigungen zu verzichten. Wichtig: Nicht perfekt, aber massiv besser als eine ungefilterte Integration.

Entscheidungslogik für App-Quellen

Eine einfache mentale Checkliste:

• Gibt es die App im GrapheneOS App Store? → nutzen
• Gibt es sie in Accrescent? → nutzen
• Offizielle Quelle + Obtainium? → nur bei Verständnis
• Nur F-Droid verfügbar? → abwägen
• Aurora nötig? → Alternativen suchen

Zap Store – ein neues, experimentelles Ökosystem

Neben den klassischen App-Quellen entsteht aktuell ein völlig neues Modell: der Zap Store. Der Zap Store kommt aus der Nostr-Community und verfolgt einen grundlegend anderen Ansatz als Google Play oder Apple App Store.

Kernideen:

• Entwickler veröffentlichen ihre Apps selbst
• Die Identität basiert auf kryptografischen Schlüsseln (Nostr-Keys)
• Vertrauen entsteht nicht durch eine zentrale Instanz, sondern durch Signaturen und Reputation
• Keine Kontrolle durch Google oder Apple

Der Zap Store ist:

• Noch jung
• Technisch und organisatorisch im Aufbau

Es ist noch kein kompletter Ersatz, aber ein guter Anfang und sehr vielversprechend.

• Er ist ein exzellentes Radar für neue, freiheitliche und experimentelle Apps
• Er zeigt, wohin sich alternative Ökosysteme entwickeln können
• Er ist besonders interessant für Nutzer, die sich bewusst außerhalb zentraler Plattformen bewegen wollen

Wichtig:

• Zap Store basiert stärker auf Vertrauen und Eigenverantwortung
• Er richtet sich klar an informierte Nutzer.

Ich habe einen eigenen Artikel dazu geschrieben, da es den Rahmen hier sprengen würde. Alle Links findest du weiter unten, in der Box für weiterführende Artikel.

Fazit

GrapheneOS zwingt niemanden zu Sicherheit. Es stellt Werkzeuge bereit. Ob daraus echte Sicherheit entsteht, hängt allein von den Entscheidungen des Nutzers ab. Wer Kontrolle will, muss Verantwortung übernehmen.