CalyxOS: Android-Custom-ROM legt Entwicklung auf Eis – monatelang keine Updates

Das Google-freie Android-Custom-ROM CalyxOS steckt in einer schweren Krise.
In einer Mitteilung an die Community gab das Entwicklerteam bekannt, dass gleich zwei zentrale Köpfe das Projekt verlassen haben. Die Folge: Keine Sicherheits- oder Funktionsupdates für bis zu sechs Monate.

Führungswechsel bringt Entwicklung zum Stillstand

Laut der Bekanntmachung hat Nicholas Merrill, Präsident und Gründer des Calyx Institute, die Organisation verlassen, um sich neuen Projekten zu widmen.
Auch Chirayu Desai, technischer Leiter von CalyxOS, hat seinen Abschied bekanntgegeben. In einem Reddit-Post schrieb er:

„Android verändert sich – also dachte ich, es ist Zeit, dass ich mich auch verändere.“

Der Weggang der beiden hinterlässt eine deutliche Lücke. Das verbleibende Team kündigt eine Übergangsphase an, in der es sich intern neu organisieren will – unter Beibehaltung der bisherigen Sicherheitsprozesse. Ziel sei es, Transparenz und Sicherheit durch besseres Design, optimierte Kommunikation und modernisierte Infrastruktur zu steigern.

Keine Updates bis zu einem halben Jahr

Geplante Maßnahmen sind unter anderem:

• Modernisierung der technischen Infrastruktur für die CalyxOS-Entwicklung
• Stabilisierung der Update-Zyklen für die mehr als 25 unterstützten Geräte
• Überarbeitung und Aktualisierung der Dokumentation, Wikis und Benutzerhandbücher

Nach eigenen Schätzungen wird dieser Prozess vier bis sechs Monate dauern. Erst danach soll wieder das angestrebte Sicherheitsniveau erreicht werden.

Sicherheitsrisiko für bestehende Nutzer

Während dieser Umstrukturierung passiert etwas Kritisches:
CalyxOS stellt den Signier- und Verifikationsprozess auf neue Signaturschlüssel um.
Das hat zur Folge:

• Bestehende CalyxOS-Geräte erhalten in dieser Zeit keine Sicherheitsupdates
• Neue Nutzer können vorerst keine CalyxOS-Versionen herunterladen

Das Team warnt ausdrücklich, dass in dieser Phase keine aktuellen Sicherheitspatches des Android Open Source Project (AOSP) oder der Gerätehersteller eingespielt werden.
Man verstehe, wenn Nutzer in der Zwischenzeit zu einer anderen Android-Distribution wechseln, die weiterhin regelmäßige Updates liefert.

Wichtiger Hinweis zu zukünftigen Updates

Durch den geplanten Wechsel der Signaturschlüssel ist ein direktes OTA-Update von der aktuell installierten CalyxOS-Version auf die kommende, „gesicherte“ Version nicht möglich.
Alle bestehenden Installationen – ebenso wie Neuinstallationen während der Übergangsphase – müssen später komplett neu geflasht werden, sobald die neue Version verfügbar ist.
Dabei werden alle Daten gelöscht, weshalb ein vollständiges Backup (z. B. mit Seedvault) vorab unbedingt empfohlen wird.

Risikoanalyse & Empfehlung: CalyxOS ohne Sicherheitsupdates weiter nutzen

1. Aktuelle Situation

CalyxOS erhält in der Übergangsphase vier bis sechs Monate lang keine Sicherheitsupdates.
In dieser Zeit bleiben bekannte und unbekannte Sicherheitslücken in Android und den Gerätetreibern offen.
Die Gefahr steigt, je älter die Software wird, da monatlich neue Schwachstellen veröffentlicht und oft aktiv ausgenutzt werden.

2. Haupt-Risiken

1. Schadsoftware & Exploits
   • Ohne aktuelle Patches kann ein Angreifer bekannte Lücken gezielt ausnutzen.
   • Besonders kritisch: Lücken in WebView/Browser, Bluetooth, WLAN oder Medienbibliotheken.
2. Zugriff auf persönliche Daten
   • Bei kompromittiertem System können gespeicherte Passwörter, Nachrichten oder 2FA-Tokens abgegriffen werden.
3. Gerätemissbrauch
   • Angreifer könnten das Gerät als Teil eines Botnets nutzen oder heimlich Mikrofon/Kamera aktivieren.
4. Kein OTA-Update auf die neue Version
   • Später ist ein kompletter Neu-Flash nötig (inkl. Datenlöschung).

3. Risikoeinschätzung für normale Nutzer

• Niedrig bis mittel, wenn:
  • Gerät nur privat genutzt wird
  • Keine Installation unbekannter Apps
  • Vorsichtiger Umgang mit Links, Anhängen und öffentlichen WLANs
• Mittel bis hoch, wenn:
  • Viel Surfen im Internet
  • Nutzung unsicherer Apps oder APK-Seiten
  • Berufliche Nutzung mit sensiblen Daten

4. Empfehlung

• Variante A – Vorsichtig bleiben & warten
  • Gerät bis zur neuen Version behalten, aber:
    • Nur Apps aus F-Droid oder Play Store mit gutem Ruf installieren
    • Browser und sicherheitskritische Apps (Signal, Element, etc.) regelmäßig intern updaten
    • Unbekannte WLANs und Bluetooth möglichst deaktivieren
    • Kein Banking, keine sensiblen Logins in dieser Zeit, wenn möglich
  • Vor Neuinstallation: Seedvault-Backup erstellen und extern sichern (USB, SD, Nextcloud).
• Variante B – Sofort wechseln
  • Umgehen der Sicherheitslücke durch Wechsel auf GrapheneOS, /e/ OS oder Stock Android.
  • Backup via Seedvault oder Neo Backup, anschließend direkt sicherere Plattform nutzen.

Wer keine besonders sensiblen Daten auf dem Gerät hat und vorsichtig mit Internet & Apps umgeht, kann CalyxOS noch einige Monate nutzen – sollte sich aber bewusst sein, dass das Risiko mit jedem Monat ohne Updates steigt.
Für sicherheitsbewusste Nutzer ist ein sofortiger Wechsel die bessere Wahl.

Hilfe beim Wechsel

Für Nutzer, die CalyxOS dennoch deinstallieren möchten, kündigt das Team Unterstützung an:
Es gibt man Anleitung zur Sicherung und Wiederherstellung von Smartphones mit Seedvault veröffentlichen – sowohl für den Umstieg auf Standard-Android als auch auf andere Custom-ROMs oder auf die neue CalyxOS Version nach der Übergangsphase

https://calyxos.org/docs/guide/apps/seedvault

Diese Anleitung hilft aber herzlich wenig, wenn man z.B. auf GrapheneOS umsteigen will, den damit es die Seedvault Version von CalyxOS nicht vollständig kompatibel.

Auch wir von yourdevice.ch bitten aktive Hilfe beim Wechsel auf GrapheneOS an. Kunden können manuelle Backups Zuhause machen und das Telefon danach einsenden. Wir spielen dann GrapheneOS für alle Kunden auf, die sich ein Phone mit CalyxOS bei uns gekauft haben und erhalten einen persönlichen Rabatt und zahlen nur 49CHF anstatt 79CHF für die Installation für GrapheneOS. Bitte dazu Email an: info@yourdevice.ch

Nützliche Links für manuelle Backups auf GrapheneOS:

https://yourdevice.ch/daten-auf-customrom-mit-calyxos-grapheneos-uebertragen/

https://yourdevice.ch/android-backup-mit-nextcloud/

https://yourdevice.ch/nextcloud-kalender-mit-android-synchronisieren/

https://yourdevice.ch/kontakte-synchronisieren-mit-nextcloud-android-und-thunderbird/

Fazit

CalyxOS befindet sich aktuell in einer kritischen Übergangsphase, in der keine Sicherheitsupdates bereitgestellt werden.
Der Wechsel der Signaturschlüssel bedeutet, dass bestehende Installationen später nicht per OTA aktualisiert werden können – ein kompletter Neu-Flash mit anschließendem Daten-Import (z. B. via Seedvault) wird zwingend nötig sein.

Für Nutzer stellt sich jetzt die Frage: bleiben oder wechseln?
Wer sein Gerät nur privat nutzt, vorsichtig mit Apps und Internet umgeht und keine hochsensiblen Daten speichert, kann CalyxOS vorübergehend weiterverwenden – sollte sich aber der wachsenden Risiken bewusst sein und zum Release der neuen Version vorbereitet sein.
Wer dagegen beruflich oder mit sensiblen Informationen arbeitet oder maximale Sicherheit benötigt, sollte sofort auf eine aktiv gepflegte Android-Distribution wie GrapheneOS.

Egal für welchen Weg man sich entscheidet: Ein vollständiges Backup ist sinnvoll – nur so lässt sich später ein reibungsloser Wechsel sicherstellen.

Man kann das ganze auch positiv sehen, und es als Gelegenheit wahrnehmen, endlich auf das deutlich sicherere GrapheneOS umzusteigen.