Wechsel von Von iOS zu GrapheneOS

Autor : Gerd Raudenbusch
Stand : 17.09.2024

Inhalt

• Motivation
• Daten befreien
  • Backup-Rechner vorbereiten
  • Dateien
  • Fotoalbum
  • Musik
  • Lesezeichen
  • Kontakte
  • Kalender
  • Passwörter
  • Nachrichten-Feeds
• Einrichtung auf GrapheneOS
• Eigenen Cloudserver nutzen
  • Cloud-Software
  • Cloud-Hardware

---

Motivation

Apple iOS und Google Android sind sicher die am meisten verbreiteten Betriebssysteme für die Mobilgeräte dieser Hersteller.

Beides sind leistungsfähige Betriebssysteme, die sich heute gegenseitig nicht mehr viel nehmen. Doch wer sich unbedarft so ein Mobilgerät kauft und es wie vorgesehen verwendet, der sollte wissen : Er geht in ein digitales Gefängnis, welches der Kontrolle und Willkür des Herstellers unterliegt.

Daß insbesondere Apple dieses Gefängnis als "Schutz" verkauft, ist angesichts der höheren Preise noch ein zusätzlicher Hohn. Der Benutzer hat nicht auf alle Speicherbereiche seines Besitzes Zugriff. Dies kann auch seine eigenen Daten betreffen, die ungefragt verschlüsselt sind. Die Art und Weise, wie Apple Leistungsmerkmale implementiert, und bestimmte Mißstände bis heute nicht behoben hat, erscheinen auch aus nüchterner Perspektive manchmal fast schon hinterhältig.

Jeder Nutzer eines Mobilgeräts fragt sich früher oder später von Zeit zu Zeit, was Apple oder Google denn so alles von seinem Leben mitbekommt, was den Konzern eigentlich überhaupt nichts angeht, etwa in einer Form, wie es jüngst bei Tesla bekannt wurde.

Das kann und sollte man beenden.

Auf einem mit GrapheneOS betriebenen Gerät kann man wirklich frei sein :

• Es gibt keine zwingende Registrierung bei Google oder irgendeinem einem anderen Hersteller mehr.
• Die Kommunikation jeder einzelnen App kann auf DNS- und IP-Ebene vollständig protokolliert und gesteuert werden, ebenso ihre Zugriffe auf Speicher und Sensoren.
• VPN-Dienste machen nun wirklich Sinn, da sie nicht länger kleckern, wie bei Apple und Google, indem sie einfach am VPN vorbei "nach Hause" kommunizieren.
• Die eigenen Videos, Bilder, Browser-Lesezeichen, sowie die Passwörter, Kontakt- und Kalenderdaten sind nicht länger in der Cloud eingesperrt, sondern können auf Wunsch transparent ausgelesen werden.
• Er werden nicht ungefragt Benutzerverläufe protokolliert, wie z. B. in der Dateien-App von Apple.
• Datenverbindungen werden nicht einfach irgendwann getrennt, um ein eigenes Backup zu erschweren.
• Es können auch Push-Services anderer Hersteller verwendet werden, um das Sammeln von Metadaten (wer wann mit wem) über die eigene Nachrichten-Kommunikation im Zaum zu halten, oder gleich komplett darauf zu verzichten.
• Tor-basierte Techniken, z. B. tox-Messenger werden nicht von den Appstores ferngehalten, um die Anwender-Sicherheit zu schwächen.
• Die Apps funktionieren auch im Hintergrund perfekt.
• Man wird nicht länger zu proprietären Barrieren gezwungen, sondern kann durchgehen interoperable Standards verwenden.

GrapheneOS ist quelloffen (Open Source). Das bedeutet : Es gibt nichts zu verheimlichen ! Jeder kann sehen, was es wie tut.

Man kann GrapheneOS auf einem Google Pixel entweder selbst installieren oder ein solches betriebsbereites Gerät als "Nitrophone" kaufen.

Daten befreien

Backup-Rechner vorbereiten

Ein Backup sollte man sowieso regelmäßig machen. Am einfachsten ist, die eigenen Daten des Iphones auf einem Rechner zu sichern. Gleich vorweg : iTunes dürfte dabei wenig bis gar nicht hilfreich sein. Stattdessen schließt man an den Rechner erstmal eine Backup-Festplatte an und startet einen SSH-Dienst. An dieser Stelle könnten bei Windows-Benutzern Fragen offen sein, wie dies zu tun ist :

• Powershell installieren
• Mit der rechten Maustaste auf das Startmenü klicken und "Windows PowerShell (Administrator)" auswählen
• OpenSSH installieren mit dem Kommando :

  Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0
  

• Dienst starten mit dem Befehl

  Start-Service sshd
  

• Prüfen, ob er läuft mit :

  Get-Service sshd
  

  (da sollte "Running" als Status angezeigt werden
• Autostart des Dienstes einrichten :

  Set-Service -Name sshd -StartupType 'Automatic'
  

• Windows-Firewall anpassen :

  New-NetFirewallRule -Name 'OpenSSH-Server' -DisplayName 'OpenSSH Server' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22
  

Nun sollte der Rechner im WLAN vom Iphone aus über eine SSH-Client-App wie z. B. File Browser (auch SFTP-Client oder SCP-Client genannt) auf Port 22 unter seiner aktuellen internen IP-Adresse mit den Benutzernamen und Passwörtern der Benutzerkonten erreichbar sein, die dort bereits eingerichtet sind. Auch die Textastic-App hat einen sehr zuverlässigen SFTP-Client.

Es zahlt sich nun aus, wenn man sich in der Vergangenheit an interoperable Datenformate gehalten hat, die auf jeder wichtigen Plattform (Linux, Windows, macOS, iOS, Android) verwendbar sind :

Datentyp	Format	iOS-Quelle	Android-Ziel
Passwörter	.kdbx-Format (keepass)	Manuell vom Apple-Schlüsselbund nach iOSKeePass, von dort in Datei	z. B. KeePassDX
Webbrowser-Lesezeichen	.html-Format (Netscape-Standard)	Von iCloud nach Firefox, von dort in Datei	Browser mit Importfähigkeit, z. B. Brave
Kontakte	.vcf-Dateiformat, cardDAV-Übertragungsprotokoll	von iCloud nach Thunderbird, von dort in Datei	Kontakte-App
Kalender	.ics-Dateiformat, calDAV-Übertragungsprotokoll	von iCloud nach Thunderbird, von dort in Datei	Kalender-App
Verschlüsselte Daten	Veracrypt-Format	Von Dateisystem nach CryptoDisks, von dort in Container-Datei	z. B. EDS lite
Nachrichten-Feeds	.opml-Dateiformat, RSS-Übertragungsprotokoll	z. B NetNewsWire	z. B. Feeder
Texte und Notizen	.md-Format (Markdown)	z. B. mWeb	z. B. Markor

Wer sich um die Verwendung dieser Formate nicht bemüht hat, der muss es jetzt tun. Ein kleiner Trost dürfte sein, daß der nächste Umzug bzw. das nächste Backup sehr viel leichter von der Hand gehen wird und diese Daten nun auf jeder großen Plattform verarbeitet werden können.

Und jetzt heißt es : "Pack' Deine Sachen !"

Dateien

Dem unbedarften Apple-Benutzer dürfte kaum noch klar sein, daß er auf seinem Mobilgerät auch Zugriff auf ein eigenes Dateisystem hat. Dies wird durch die Dateien-App gewährleistet. In den Verzeichnissen sollte man zusammensuchen, was man braucht, um es in ZIP-Archive zu packen :

• Das Menü oben rechts (Kreis mit drei Punkten) erlaubt das Anlegen neuer Ordner
• Ganze Ordner können über das Kontextmenü komprimiert werden (Ordner lange gedrückt halten und "Komprimieren" auswählen)
• Kopieren oder Verschieben von Inhalten geht, indem man über das Drei-Punkt-Menü oben rechts zunächst die Inhalte auswählt. In diesem Markierungsmodus öffnet man dann das Kontextmenü durch langes Drücken auf die grau markierte Auswahl und wählt "Kopieren" oder "Bewegen" (=Verschieben). Das Einfügen geht, indem man zum Zielordner navigiert, ganz nach unten scrollt, die weiße Fläche unter dem letzten Eintrag gedrückt hält und dann "Einsetzen" zum kopieren oder "Objekte hierher bewegen" zum Verschieben auswählt.

Die Archive kann man schließlich per SSH auf die Backup-Festplatte des Rechners schieben. Sie sollten die durchschnittliche Größe von ca. 20GB nicht überschreiten, denn nach ca. 180 min. werden die Verbindungen getrennt.

Fotoalbum

Fotos und Videos kann man mit der App File Browser aus der Fotoalbum ins zugängliche Dateisystem kopieren. Anschließend kann man dort ein ZIP-Archiv erstellen und es per SSH auf die Backup-Festplatte des Rechners schieben.

Musik

Wie fast jeder Musik-Dienst, so sperrt auch Apple seine Inhalte komplett und unzugänglich ein, obwohl jeder das Recht auf eine private Kopie hat ! Die Regelungen zur Privatkopie im Urheberrecht sind in § 53 UrhG aufgeführt. Darin heißt es :

»Zulässig sind einzelne Vervielfältigungen eines Werkes durch eine natürliche Person zum privaten Gebrauch auf beliebigen Trägern, sofern sie weder unmittelbar noch mittelbar Erwerbszwecken dienen, soweit nicht zur Vervielfältigung eine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage verwendet wird.«

Man kann die Playlists und Musikalben seiner gekauften Musik z. B. mit Songshift von Apple Music oder Spotify in ein Youtube-Konto ziehen und die Playlists mit yt-dlp von dort herunterladen, um sie mit einem normalen Player jederzeit offline hören zu können. Das Herunterladen von Youtube ist aktuell gerade wieder illegal; die andauernden rechtlichen Kämpfe ändern dies von Zeit zu Zeit.

Lesezeichen

Die Webbrowser-Lesezeichen von Safari muss man in die iCloud ziehen, um sie wie von Apple beschrieben zu exportieren. Manche Browser, wie DuckDuckGo, Brave oder iCab beherrschen aber den Import und Export ins Netscape-Format von sich aus.

Kontakte

Kontakte muss man in die iCloud ziehen, um sie wie von Apple beschrieben zu exportieren. Die in der iCloud befindlichen Kontakte kann man über CardDAV herunterladen. Dazu empfiehlt es sich, den quelloffenen Emailclient Thunderbird auf dem Rechner zu installieren. Dort installiert man das Addon "Cardbook" :

• In Thunderbird über das Drei-Strich-Menü → "Add-ons" → "Add-ons" nach "CardBook" suchen installieren
• Den Cardbook-Tab über die Menüleiste öffnen.
• Auf das Drei-Strich-Menü links klicken und "Adressbuch" → "Neues Adressbuch" wählen.
• Dann "Im Netzwerk" auswählen und auf "Weiter" klicken
• Die URL zur iCloud eingeben : https://contacts.icloud.com und die iCloud-Anmeldedaten verwenden
• Nach dem Beenden des Wizards werden die Kontakte synchronisiert und man kann sie in Thunderbird im gängigen .vcf-Dateiformat herunterladen.

Kalender

Kalender muss man in die iCloud ziehen, um sie wie von Apple beschrieben zu exportieren. Auch die CalDAV-URL für die eigenen iCloud-Kalender kann im iCloud-Portal erfahren :

• Kalender-App öffnen
• Auf das ausgegraute Wireless-Symbol klicken, dann auf "Öffentlicher Kalender". Die URL beginnt mit webcal.

Passwörter

Ein interoperabler und quelloffener Passwort-Manager ist keepass. Nach der Installation von iOSKeePass auf dem Iphone füllt man dessen Datenbank mit den eigenen Zugangsdaten aus dem Schlüsselbund und exportiert die keepass-Datenbank ins Dateisystem, um sie per SSH auf die Backup-Festplatte des Rechners zu schieben.

Noch ein Tipp zur generellen Angst vor Passwort-Managern : Wer Angst hat, daß beim Knacken der Passwort-Datenbank in falschen Händen die eigene Sicherheit in Gefahr ist, der benutzt sog. Doppelblind-Passwörter : Er läßt den Passwort-Manager nur den ersten Teil des Passworts ausfüllen und behält einen weiteren, einfachen aber geheimen Teil für sich im Kopf, den er bei jeder Aufforderung selbst dazu eingibt.

Nachrichten-Feeds

Mit Web Feeds liest man ganz einfach und auch anonym seine eigene, persönlich komponierte, digitale Tageszeitung. Es ist absolut nicht akzeptabel, sich für diesen Zweck bei einem Feed-Anbieter zu registrieren oder Nachrichten-Apps zu installieren. Sobald man iOS-Feedreader, wie z. B. NewsNetwire, Reeder 5 oder News Explorer benutzt, die den OPML-Export unterstützen, kann man diese Datei über den Backup-Rechner zum Mobilgerät mit GrapheneOS schieben und dort z. B. mit Feeder oder Flym öffnen.

Einrichtung auf GrapheneOS

Nach der initialen Inbetriebnahme von GrapheneOS sollte man sich per WLAN mit dem Backup-Rechner im gleichen Netz befinden.

Mit GrapheneOS hat man Zugriff auf eine große Palette an Appstores. Folgene Appstores können die anfänglichen Bedürfnisse decken :

• F-Droid ist ein installierbarer Katalog mit FOSS-Apps (Free and Open Source Software) für Android. Dort findet man unter anderem die folgenden Apps :
  • FTPClient ist ein einfacher Client für FTP, FTPS und SFTP-Verbindungen. Mit ihm kann man die Verbindung zum vorbereiteten Backup-Rechner herstellen, und alle notwendigen Daten auf das neue Mobilgerät kopieren.
  • KeePassDX ist die entsprechende Android-Implementierung des beliebten Passwort-Managers, in die die eigene Datenbank importiert werden kann.
  • EDS lite macht Veracrypt-Container benutzbar.
  • RethinkDNS sorgt für die ultimative Netzwerk-Sicherheit. Nachdem man einen vertrauenswürdigen DNS-Resolver (z. B. Freifunk mit der URL https://doh.ffmuc.net/dns-query) eingerichtet hat, kann man einen VPN-Dienst mit Wireguard als Proxy dazuschalten. Beispielsweise ist das Lifetime-Angebot für Unlimited VPN von Keepsolid dafür geeignet, da man auf der Seite des Anbieters verschiedenste VPN-Konfigurationsprofile generieren kann. Es wäre völlig unverhältnismäßig, die Kosten für einen solchen VPN-Dienst jährlich zu ertragen. Auf die VPN-Apps der Anbieter sollte man strikt pfeifen, sie enthalten oftmals Dark Patterns. Zum Schluss kann man seine DNS-Blocklisten konfigurieren und testen, ob man geschützt ist.
  • Zum Messaging empfiehlt sich Deltachat, Element für Matrix und Conversations für XMPP. (Zwar kann Fluffychat mehrere Matrix-Konten verwalten, kann aber nicht aus dem Hintergrund neue Nachrichten signalisieren).
  • Wer seine Kontakte in einer vertrauenswürdigen Cloud pflegt, kann Kontakte mit DAVx sychronisieren.
  • Wer webCal-Kalender abonnieren will, kann sie mit ICSx synchronisieren.
  • Syncthing synchronisiert beliebige lokale Ordner des Dateisystems mit einem Syncthing-Server.
  • Feeder ist ein ausgezeichneter RSS-Feed-Reader für Nachrichten, der OPML-Import und -Export beherrscht.
  • Markor ist ein solider Markdown-Writer.
  • VLC-Player ist ein bewährter Player für Musik und Videos.
• APKPure ist ein Appstore, mit dem man jedes APK-Angebot bei Google Play anonym herunterladen kann.
  • Tor Browser ist der Standard-Browser für das Tor-Netzwerk.
  • Orbot ermöglicht eine noch vielfältigere Nutzung des Tor-Netzwerks, z. B. als DNS-Proxy oder HTTP-Proxy in der RethinkDNS-App. Dafür muss man in den Einstellungen von Orbot den "Power-User-Modus" aktivieren, um mit dem VPN-Slot nicht in Konflikt zu geraten, der bereits von RethinkDNS belegt ist.
  • Brave gibt es leider nicht im F-Droid Store. Der Browser ist zuverlässig und erlaubt den Import von Lesezeichen aus einer HTML-Datei.
  • aCalendar ist eine hervorragende Kalender-App.
  • Galerie ist eine adäquate App zu Betrachtung und Verwaltung von Videos und Bildern.

Dies ist i. d. R. ausreichend, um sich für den Anfang heimisch fühlen zu können. Weitere Apps kann man bei Bedarf nachinstallieren.

Eigenen Cloudserver nutzen

Die großen Anbieter brüsten sich damit, daß sie unsere Geräte in ihrer Cloud so gut vernetzen, daß wir "gar nicht spüren, voneinander getrennt zu sein". Dabei braucht man sie für dieses Benutzererlebnis überhaupt nicht !

Cloud-Software

• Syncthing hält im Hintergrund Dateien und Bilder synchron und ist zusammen mit der App im F-Droid Store ein selbst hostbares Pendant zur iCloud oder Google Cloud.
• Radicale ist ein leichtgewichter calDAV- und cardDAV-Server.
• Nextcloud ist eine selbst hostbare Kolaborationsplattform, die neben calDAV- und cardDAV-Server auch das gemeinsame Bearbeiten und Teilen von Dateien und Bildern ermöglicht.
• Freedombox ist ein Paket, das eine ganze umfangreiche Sammlung von Diensten (Emailserver, Matrixserver, Jabberserver, Webproxy, VPN-Server, Medienserver, uvm.) bereitstellt und diese mit einer anwenderfreundlichen grafischen Oberfläche steuerbar macht.

Cloud-Hardware

• Freedombox kann auch komplett mit Hardware anschlussbereit erworben werden.
• Ein Raspberry Pi bietet ebenfalls jede Menge Spielraum für diese Serverdienste
• Ein gemieteter virtueller privater Server im Netz ist eine weitere Möglichkeit und bietet noch bessere Übertragungsgeschwindigkeiten.

---

Zurück zur Hauptseite