Hat Google Zugriff auf Pixel Phones mit GrapheneOS
Es ist das immer gleiche Argument, das uns in der Beratung, in Foren und in Kommentarspalten begegnet: „GrapheneOS auf einem Pixel ist doch reine Augenwischerei. Das Telefon kommt von Google, also hat Google ohnehin vollen Zugriff auf das Gerät." Auf den ersten Blick klingt das plausibel. Wer die Hardware baut, kontrolliert sie doch – oder?
In Wirklichkeit verwechselt dieses Argument zwei grundverschiedene Dinge: wer ein Gerät herstellt und wer die Software darauf kontrolliert. Wir wollen diesen Mythos in diesem Artikel technisch sauber auseinandernehmen, ehrlich bei den Grenzen bleiben (denn nichts ist zu 100 Prozent sicher) und am Ende klar einordnen, was tatsächlich möglich ist – und was nicht. Vorweg: Großflächige, automatisierte Überwachung über euer GrapheneOS-Pixel ist nicht möglich. Was bleibt, sind teure, gezielte Angriffe gegen Einzelpersonen. Der Unterschied ist entscheidend.
Der Denkfehler: Hardware-Hersteller ist nicht gleich Software-Kontrolle
Google fertigt die Pixel-Geräte nicht einmal selbst – das tun Auftragsfertiger. Vor allem aber: Wer ein Stück Hardware produziert, hat damit noch lange keinen dauerhaften Zugang zu dem, was später darauf läuft. Genau hier setzt GrapheneOS an. Es ersetzt das komplette Betriebssystem. Was nach dem Flashen auf dem Gerät läuft, ist nicht mehr Googles Android, sondern ein quelloffenes, gehärtetes System, das ihr selbst kontrolliert.
Der entscheidende Mechanismus dahinter heißt Verified Boot – und er funktioniert auf den Pixels ausgerechnet besonders gut.
Verified Boot mit euren eigenen Schlüsseln
Bei einem handelsüblichen Smartphone ist der Bootloader auf die Schlüssel des Herstellers verriegelt. Beim Pixel lässt sich der Bootloader jedoch entsperren, GrapheneOS flashen – und danach wieder verriegeln. Und das ist der springende Punkt: Beim erneuten Verriegeln übernimmt das Gerät die kryptografischen Schlüssel von GrapheneOS, nicht die von Google.
Verified Boot prüft beim Start jede Stufe der Boot-Kette kryptografisch, bevor sie ausgeführt wird. Der dedizierte Sicherheitschip im Pixel – der Titan M2 – erzwingt dabei, dass nur Software startet, die mit genau dem Schlüssel signiert ist, auf den ihr das Gerät verriegelt habt. Lädt jemand manipulierten Code oder versucht, ein anderes System unterzuschieben, schlägt die Prüfung fehl und das Gerät warnt euch oder bootet gar nicht erst. Der Witz daran: Googles Signaturschlüssel sind in dieser Vertrauenskette für das Betriebssystem schlicht nicht mehr enthalten. Das Pixel vertraut nach dem Relock GrapheneOS – nicht Google.
Die Hardware, die Google liefert, arbeitet damit für euch: Der von Google verbaute Sicherheitschip schützt ein System, das Google nicht mehr kontrolliert. Das ist keine Ironie, sondern saubere Sicherheitsarchitektur.
Kein Google im System
Der zweite Baustein ist ebenso wichtig. Standardmäßig laufen auf GrapheneOS keine Google Play Services. Es gibt keine eingebaute Telemetrie, keine Werbe-ID, keine automatischen Cloud-Backups zu Google, keine im Hintergrund mitlaufenden Google-Dienste mit Systemrechten.
Wer Play Services braucht, kann sie als sogenannte sandboxed Play Services nachinstallieren. Und auch hier ist die Architektur entscheidend: Diese laufen dann als ganz normale, unprivilegierte App in einer Sandbox – ohne Sonderrechte, ohne Zugriff auf andere Apps, ohne Systemberechtigungen, die ihnen GrapheneOS nicht ausdrücklich erteilt. Sie sehen genau so viel wie jede andere App, der ihr nichts erlaubt habt: nämlich praktisch nichts. Damit fällt der gesamte Mechanismus weg, über den Mainstream-Android Daten im großen Stil sammelt.
Genau das ist der entscheidende Hebel gegen Massenüberwachung: Sie funktioniert über systematische Datensammlung – Telemetrie, Cloud-Sync, Geräte-IDs, vorinstallierte Dienste mit Tiefenzugriff. GrapheneOS entfernt diese Vektoren. Damit ist die Voraussetzung für flächendeckendes, automatisiertes Mitlesen schlicht nicht mehr gegeben.
Das Modem-Argument: was der Baseband wirklich kann
Jetzt zum technisch anspruchsvollsten Teil, an dem sich die meisten Ängste festmachen: dem Modem, auch Baseband genannt. Der Vorwurf lautet, das Mobilfunk-Modem laufe mit geschlossener Firmware und habe „Zugriff auf alles, was durchgeht". Daraus wird dann gefolgert, Google, Provider oder Behörden könnten über das Modem das gesamte Gerät einsehen.
Hier müssen wir präzise sein, denn an dem Argument ist ein wahrer Kern – aber die Schlussfolgerung ist falsch.
Wahr ist: Die Modem-Firmware ist proprietär. Niemand außerhalb des Herstellers kann sie vollständig auditieren. Das ist eine reale, verbleibende Vertrauensannahme, und seriöse Sicherheitsforschung verschweigt das auch nicht.
Falsch ist die Annahme, dieses Modem könne deshalb beliebig auf den Hauptspeicher und eure Daten zugreifen. Auf den offiziell unterstützten Geräten ist der Baseband isoliert. Eine sogenannte IOMMU (Input-Output Memory Management Unit) sitzt zwischen Modem und Arbeitsspeicher und beschränkt den Speicherzugriff des Modems auf einen winzigen, klar abgegrenzten Bereich – nämlich auf internen Modemspeicher und exakt den Speicher, den die Treiber bewusst mit ihm teilen. Historisch hatte der Baseband per Direct Memory Access tatsächlich vollen Zugriff auf das RAM des Hauptprozessors; ein kompromittiertes Modem konnte damit das ganze System unterlaufen. Genau diese Schwachstelle schließt die IOMMU-Isolation.
Wichtig ist dabei ein oft missverstandener Punkt: Ob eine Komponente auf einem separaten Chip sitzt, sagt nichts über ihre Isolation aus. Entscheidend ist, dass die Treiber sie als nicht vertrauenswürdig behandeln und ihren Zugriff hart begrenzen. Genau das leisten die Pixel-Plattform und GrapheneOS. Auf den aktuellen Qualcomm-basierten Geräten sind außerdem WLAN und Bluetooth als isolierte, sandboxed Prozesse umgesetzt, statt auf einem schlecht eingehegten Zusatzchip zu laufen.
Was das Modem also sehen kann, ist der Netzwerkverkehr, der über den Mobilfunk läuft. Was es nicht kann, ist euren Speicher auslesen, eure Dateien exfiltrieren oder beliebig das Hauptsystem übernehmen – solange die Isolation hält.
Damit ist aber erst die eine Hälfte des Modem-Arguments beantwortet, nämlich der gefürchtete Datenzugriff. Die zweite Hälfte ist die Sorge vor einem „Killswitch": Könnte jemand über das Modem nicht eure Daten lesen, sondern euer Gerät einfach fernabschalten – und das massenhaft? Diese Frage gehört sauber getrennt, weil sie ein ganz anderes Bedrohungsmodell beschreibt.
Der Killswitch-Mythos: Netz abschalten ist nicht gleich Handy fernsteuern
Hinter der Killswitch-Angst stecken in Wahrheit drei völlig verschiedene Dinge, die ständig zu einem einzigen Schreckgespenst vermischt werden. Sortieren wir sie.
Erstens: die Netzsperre. Ja, ein Mobilfunknetz kann euch den Dienst verweigern – einzelne Geräte über eine IMEI-Sperre, ganze Regionen über eine Abschaltung der Funkzellen. Solche flächendeckenden Netz-Blackouts hat es real gegeben, und sie sind tatsächlich „massenhaft" möglich. Aber: Das ist eine Dienstverweigerung, kein Fernzugriff. Das Netz hört auf, euch zu bedienen – niemand übernimmt dabei euer Gerät, liest eure Daten oder „brickt" die Hardware. Euer Telefon funktioniert weiter, nur eben ohne Mobilfunk: WLAN, lokale Apps, gespeicherte Daten bleiben nutzbar. Und das Wichtigste: Davon ist jedes Telefon gleichermaßen betroffen, völlig unabhängig vom Betriebssystem. GrapheneOS kann eine Netzabschaltung nicht verhindern – aber es wird dabei auch nicht gesondert herausgegriffen. Wer gegen genau dieses Szenario gewappnet sein will, setzt auf netzunabhängige Kanäle: WLAN, Mesh, Offline-Funktionen.
Zweitens: der Diebstahlschutz-Killswitch. Seit einigen Jahren ist in mehreren Rechtsräumen ein Anti-Diebstahl-Killswitch vorgeschrieben – also die Möglichkeit, ein verlorenes Gerät aus der Ferne zu sperren oder zu löschen. Wichtig zu verstehen: Dieser Mechanismus sitzt nicht im Modem, sondern auf Betriebssystem- und Cloud-Ebene und hängt an eurem Konto, bei Stock-Android also an Googles „Find My Device". Auf GrapheneOS ohne Google-Dienste existiert dieser Google-Haken schlicht nicht. Ironischerweise entfernt GrapheneOS damit genau den Fernabschalt-Vektor, den viele fürchten.
Drittens: die geheime Modem-Backdoor zum Fernbricken. Das ist der eigentliche Kern des Mythos – und der Teil, der dem Vertrauensmodell der Hardware widerspricht. Die Firmware des Modems wird ausschließlich mit Schlüsseln signiert und validiert, die allein der Chip-Hersteller Qualcomm besitzt. Nur Qualcomm kann diese Firmware überhaupt aktualisieren. Ein beliebiger Provider, ein Geheimdienst oder ein Angreifer kann dem Modem also nicht einfach eine manipulierte „Abschalt-Firmware" unterschieben. Auf GrapheneOS kommt erschwerend hinzu: Die Radio- und Modem-Firmware ist Teil des signierten GrapheneOS-Update-Pakets, das euer Gerät kryptografisch prüft, bevor es es akzeptiert. Es gibt keinen Kanal, über den der Mobilfunkanbieter dem Modem im laufenden Betrieb beliebige Firmware nach Belieben aufzwingt. Und selbst wenn ein Modem kompromittiert würde, hält die IOMMU-Isolation es davon ab, das Hauptsystem zu bricken oder eure Daten zu greifen – es könnte im schlimmsten Fall den Mobilfunk stören, mehr nicht.
Der ehrliche Restpunkt ist die SIM-Karte. Sie ist ein eigener kleiner Computer mit eigenem Prozessor, und der Carrier kann ihr über das Netz Befehle senden – eine Angriffsfläche, die in der Vergangenheit für gezielte Angriffe der „Simjacker"-Klasse genutzt wurde. Aber auch hier gilt: Das war zielgerichtet gegen Einzelpersonen, der mögliche Schaden beschränkte sich auf Standort und Geräte-Kennungen, und die SIM kann weder euren Speicher auslesen noch das Gerät lahmlegen. Wer das ausschließen will, kann die SIM entfernen oder das Gerät rein über WLAN betreiben.
Unterm Strich: „Massenhaftes Lahmlegen" ist nur als Netzabschaltung real – also als Dienstverweigerung, die jedes Gerät gleich trifft und niemandem Zugriff auf eure Daten gibt. Ein heimlicher, fern auslösbarer Modem-Killswitch, der gezielt eure Geräte brickt oder übernimmt, passt dagegen nicht ins signierte, isolierte Vertrauensmodell – und wäre, würde er existieren, durch genau die Forensik- und Netzwerkanalysen längst aufgefallen, die GrapheneOS so transparent machen.
Was der Provider sieht – und was verschlüsselt bleibt
Trennen wir sauber zwischen zwei Ebenen, denn auch hier wird viel durcheinandergeworfen.
Auf der Netzwerkebene sehen euer Mobilfunkanbieter und damit potenziell auch Behörden bestimmte Metadaten – und das gilt für jedes Mobiltelefon der Welt, völlig unabhängig vom Betriebssystem. Dazu gehören: in welche Funkzelle ihr eingebucht seid (und damit grob euer Standort), Verbindungszeitpunkte, Gesprächs- und SMS-Metadaten und mit welchen IP-Adressen ihr sprecht. Das ist Physik und Funktionsweise des Mobilfunknetzes, kein GrapheneOS-Versäumnis. Wer auch diese Metadaten reduzieren will, braucht ein VPN oder Tor – und für den Standort gegenüber dem Provider hilft letztlich nur, das Gerät auszuschalten oder ohne SIM zu betreiben.
Auf der Inhaltsebene sieht hingegen weder der Provider noch das Modem den Klartext eurer Kommunikation. Moderne Verbindungen sind Ende-zu-Ende oder zumindest per TLS verschlüsselt. Selbst ein bösartiges Modem oder ein neugieriger Provider bekommt verschlüsselten Datenstrom zu sehen, keinen lesbaren Inhalt. Die viel zitierte Angst „die sehen alles" verwechselt Metadaten mit Inhalten. Wer mitliest, dass ihr mit einem Server gesprochen habt, weiß noch lange nicht, was ihr gesagt habt.
Was Wireshark tatsächlich zeigt
Damit zum Wireshark-Argument, das oft falsch herum erzählt wird. Behauptet wird, Mitschnitte würden beweisen, dass Google über das Modem alles einsieht. Tatsächlich zeigen Netzwerkanalysen das Gegenteil.
Wer den Datenverkehr eines GrapheneOS-Geräts mitschneidet, stellt fest: Es gibt keine ständigen Verbindungen zu Google-Servern. Ohne Play Services telefoniert das System nicht nach Hause. Konnektivitätsprüfungen und Update-Abfragen gehen an die Server von GrapheneOS, nicht an Google. Dienste, die unter Stock-Android über Google laufen würden, fehlen schlicht. Ein Mitschnitt belegt also nicht die Überwachung, sondern ihre Abwesenheit – er zeigt ein System, das eben gerade nicht permanent Telemetrie streamt.
Was ein Mitschnitt nicht leisten kann, ist ein Blick in die proprietäre Modem-Firmware selbst. Aber genau deshalb ist die IOMMU-Isolation so wichtig: Sie sorgt dafür, dass das, was ihr nicht vollständig auditieren könnt, auch nicht beliebig auf den Rest des Systems zugreifen kann. Ihr müsst dem Modem nicht blind vertrauen – ihr sperrt es ein.
Der empirische Beweis: der Cellebrite-Leak
An dieser Stelle hört die Theorie auf und werden die Fakten unbequem für die Mythos-Erzähler. Wenn Google über die Hardware „vollen Zugriff" auf Pixel-Geräte hätte, dann müsste sich diese Annahme in der Praxis zeigen – und sie tut genau das Gegenteil.
Ende 2025 tauchten geleakte Unterlagen der Forensik-Firma Cellebrite auf. Cellebrite baut jene Werkzeuge, mit denen Strafverfolgungsbehörden weltweit gesperrte Smartphones auslesen. Die durchgesickerte „Support-Matrix" listet auf, welche Geräte und Zustände sich knacken lassen. Das Ergebnis: Pixel-Geräte mit Stock-Android lassen sich in bestimmten Zuständen zumindest teilweise auslesen – dieselben Pixel-Geräte mit GrapheneOS dagegen widerstehen den Werkzeugen weitgehend. Für GrapheneOS-Versionen ab Ende 2022 fand Cellebrite den Unterlagen zufolge keinen funktionierenden technischen Zugang.
Lasst diesen Punkt kurz sacken. Dieselbe Google-Hardware. Einmal mit Googles System, einmal mit GrapheneOS. Das eine lässt sich teilweise auslesen, das andere stoppt eines der weltweit fortschrittlichsten Forensik-Systeme. Das ist der direkte, empirische Beleg dafür, dass nicht der Hardware-Hersteller den Zugriff kontrolliert, sondern das Betriebssystem.
Und es entlarvt die „Google-Backdoor"-These gleich doppelt: Erstens würde keine Behörde teure Cellebrite-Lizenzen kaufen, gäbe es einen bequemen Hintereingang über Google. Zweitens würde so ein Hintereingang die Pixel-Geräte auch nicht ausgerechnet dann scheitern lassen, wenn GrapheneOS darauf läuft.
Ehrlich bleiben: nichts ist zu 100 Prozent sicher
Genau diese Ehrlichkeit gehört zu einer seriösen Einordnung dazu, und wir machen euch hier nichts vor. Absolute Sicherheit gibt es nicht. Es existieren Exploits, auch gegen gehärtete Systeme. Baseband-Schwachstellen, Zero-Click-Angriffe der Pegasus-Klasse, physischer Zugriff mit Spezialhardware – das alles ist real.
Entscheidend ist aber die Natur dieser Angriffe. Sie sind:
teuer, oft im Bereich von Millionenbeträgen pro Ziel; spezialisiert und individualisiert, also auf eine konkrete Person zugeschnitten; häufig an bestimmte Bedingungen geknüpft, etwa physischen Zugriff oder einen bestimmten Gerätezustand; und sie sind nicht skalierbar. Man kann sie gegen einzelne, hochrangige Ziele richten, aber nicht gegen die gesamte Bevölkerung gleichzeitig ausrollen.
Genau das ist der Kern: Massenüberwachung und gezielte Kompromittierung sind zwei verschiedene Bedrohungsmodelle. Massenüberwachung lebt von automatisierter, flächendeckender Datensammlung – und genau die schaltet GrapheneOS aus, indem es Telemetrie, Google-Dienste und Sammelschnittstellen entfernt. Gezielte Angriffe bleiben theoretisch möglich, kosten aber pro Person so viel Aufwand, dass sie niemand breit einsetzt.
GrapheneOS reduziert sogar diese Restfläche aktiv: durch hardwarebasiertes Memory Tagging, einen gehärteten Speicherallokator, einen automatischen Neustart in den besonders geschützten Zustand vor der ersten Entsperrung nach längerer Inaktivität, abschaltbares USB bei gesperrtem Gerät, einen LTE-only-Modus zur Verkleinerung der Modem-Angriffsfläche und vieles mehr. Wer sein Bedrohungsmodell kennt, kann hier sehr weit drehen.
Fazit
Die Behauptung „Google hat über das Pixel ohnehin vollen Zugriff" hält keiner technischen Prüfung stand. Verified Boot verriegelt das Gerät auf eure Schlüssel, nicht auf Googles. Ohne Play Services und Telemetrie fällt die gesamte Infrastruktur für Massendatensammlung weg. Das Modem ist per IOMMU isoliert und kommt nicht beliebig an euren Speicher. Netzwerk-Mitschnitte belegen die Abwesenheit von Google-Verbindungen, nicht deren Existenz. Und der Cellebrite-Leak liefert den empirischen Schlussstein: Auf identischer Hardware schlägt GrapheneOS die Forensik, Stock-Android nicht.
Was bleibt, ist die ehrliche Wahrheit, die für jede Technik gilt: Es gibt keine absolute Sicherheit. Aber der Unterschied zwischen „theoretisch durch einen teuren, gezielten Angriff verwundbar" und „permanent flächendeckend überwacht" ist gewaltig. GrapheneOS verschiebt euch klar in die erste Kategorie. Für nahezu jedes realistische Bedrohungsmodell ist ein Pixel mit GrapheneOS damit nicht „Verarsche", sondern eine der stärksten Kombinationen, die ihr heute kaufen könnt. Wer mehr über GrapheneOS erfahren will, kommt mal hier vorbei, oder liest unseren ausführlichen GoS Guide und findet heraus, dass die Bedienungen sich von einem normalen Android Smartphone kaum unterscheidet.
