LineageOS – Datenschutz ungleich Sicherheit

LineageOS ist oftmals die einzige Möglichkeit, ein alternatives Betriebssystem auf Android-Hardware aufzuspielen. LineageOS hat viele Probleme und auf manches wurde hier im Blog bereits eingegangen. Wichtig ist ein Verständnis für den Unterschied von Sicherheit und Datenschutz.

In der neuen Serie zu GrapheneOS und vor allem im ersten Teil hatte ich einen extrem kritischen Blick auf LineageOS und vergleichbare Systeme wie Murena bzw. /e/ geworfen. Der Grund dafür ist schlicht und ergreifend: Sie sind nicht sicher. Sie sind sogar unsicherer als die meisten Stock Android-Systeme. Mit diesen Aussagen hatte ich für Verunsicherung gesorgt und möchte das deshalb noch ein wenig präzisieren.

Die an LineageOS beteiligten Entwickler leisten tolle Arbeit und viele der Geräte-Maintainer bemühen sich sehr die Geräte bestmöglich zu unterstützen und mehr als nur die AOSP-Updates weiterzureichen. Von dieser tollen Arbeit habe ich z. B. bei meinem Samsung Galaxy S10 das ganze Jahr profitiert. Diese Entwickler können aber nur mit den Möglichkeiten arbeiten, die ihnen die Hardware bietet. Vor allem im Bereich der Sicherheit führt das nicht weit.

Grundsätzlich ist hier der Unterschied von Datenschutz und Sicherheit zu beachten, der durch eine pauschale Verwendung beider Begriffe und ihrer permanenten Vermengungen vielen nicht ganz klar ist.

Beim Datenschutz geht es schlicht darum, dass mit meinen Daten kein Schindluder getrieben wird. Das Versprechen natürlich alle Unternehmen, aber weil es nicht überprüfbar ist, gibt es das Prinzip der Datensparsamkeit. Das bedeutet, Daten, die nicht erhoben werden, können auch nicht missbräuchlich verwendet oder entwendet werden. Datensparsamkeit als Prinzip gerät immer stärker aus dem Blickfeld, vor allem wenn digitale Werbung ins Spiel kommt. Android ist in seiner normalen Variante so ziemlich das exakte Gegenteil von Datensparsamkeit.

Nutzt man also ein LineageOS ohne Play Services und Play Store und überwiegend oder gar ausschließlich mit freien Apps von F-Droid, dann minimiert man die Datenabflüsse vor allem zu Google immens. Das gilt aber wirklich nur dann. Sobald man den Play Store nutzt oder massiv proprietäre Apps mit den obligatorischen Bibliotheken von Google, Facebook & Co, sind die Datenschutzgewinne schnell dahin. LineageOS ist in seiner Basisvariante ohne Play-Dienste für den Datenschutz ziemlich gut geeignet. Ein paar kleinere Handgriffe, um die letzten Datenabflüsse an Google zu unterbinden, kann man als Anwender selbst noch erledigen, aber die Standardkonfiguration ist ziemlich gut.

Bei der Sicherheit geht es weniger um Telemetriedaten oder Tracking im Internet, sondern um wirklichen Abfluss von gespeicherten Daten, möglicherweise gar die Kompromittierung des Geräts mit dem Ziel, den Besitzer zu überwachen. Die Liste der Opfer in der Pegasus-Affäre sollte einem vor Augen führen, dass der potenziell betroffene Personenkreis größer ist, als man so denkt. Diese Form der Überwachung wird vermutlich eher zu- denn abnehmen. Der auch in Europa zu beobachtende Aufstieg der Autokratien mit ihren vielen imaginierten internen und externen Feinden dürfte seinen Teil dazu beitragen. Viele der NSO-Opfer hätten nicht gedacht, dass sie gezielt überwacht werden. Und hier kommen die Nachteile von LineageOS zum Tragen.

Der Übersichtlichkeit fasse ich die wichtigsten Probleme in einer Liste zusammen:

  • Bestenfalls besitzt man ein offiziell unterstütztes Gerät, ansonsten bezieht man bereits das Betriebssystem über Foren wie XDA Developers und damit über eine definitiv nicht vertrauenswürdige Quelle.
  • LineageOS garantiert keine Updatezeiträume. Geräte können jederzeit ohne Angabe von Gründen aus dem Support fallen und erhalten dann keine Sicherheitsupdates mehr. Wenn der Maintainer nur zeitweilig das Interesse verliert, fällt das dem Anwender vermutlich nicht mal auf, weil die wöchentlichen LinageOS-Updates trotzdem kommen – halt nur ohne die monatlichen Herstellerupdates.
  • Fehlende Updates von Firmware und schlimmstenfalls sogar Kernel machen das Smartphone, abhängig vom Modell, Monat für Monat angreifbarer.
  • Für die Installation muss man den Bootloader öffnen, der danach auch nicht mehr geschlossen werden kann. Der verifizierte Start ist damit unmöglich und es ist für Angreifer mit physischem Zugriff auf das Gerät relativ leicht das System zu manipulieren.
  • Viele auf XDA Developers verbreiteten Betriebssysteme deaktivieren gar die dateibasierte Verschlüsselung von Android, um über ein Recovery wie TWRP jederzeit auf die Daten zugreifen zu können. Wodurch aber eben selbst blutige Anfänger problemlos per Anleitung aus dem Netz Daten vom Gerät auslesen könnten.
  • Die nicht zu erklärende Beliebtheit des “Rootens” führt zu noch mehr Problemen. Der Anwender hat nun Rootrechte auf seinem System, die er mit dubiosen Tools wie Magisk eingezogen hat. Damit kann der Anwender per Definition einfach alles mit dem Gerät anstellen. Das gilt natürlich auch für Schadsoftware, die man sich irgendwie einfängt.

Aus diesen Gründen ist LineageOS unter den richtigen Voraussetzungen zwar gut für den Datenschutz, aber schlecht bis katastrophal für die Sicherheit. Das ist ein nicht aufzulösender Widerspruch mit dem Anwender leben müssen, so sie nicht Hardware oder Betriebssystem wechseln möchten. Ob das jetzt ein Problem darstellt, hängt von den Einsatzszenarien und der individuellen Risikoanalyse ab.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.
  1. “Der Grund dafür liegt im Unterschied von Datenschutz und Sicherheit, der durch eine pauschale Verwendung beider Begriffe und ihrer permanenten Vermengungen vielen nicht ganz klar ist.”

    Und da trägst Du selber dazu bei indem Du zwischen “Datensicherheit” und “Sicherheit” wechselst wie Bernd-August als gäb’s kein Morgen. Wording ist wichtig. Du könntest Deinen Teil dazu beitragen indem Du jetzt mal so langsam präzise wirst…

    btw: Dein Post fängt an mit “LineageOS ist oftmals die einzige Möglichkeit…” DANKE. FERTIG. AUS. Hier ist die gesamte Diskussion beendet. GrapheneOS ist schlicht keine Option! Das ist ein OS das ausschließlich Google-Hardware supported. Mit anderen Worten: es ist KEINE Option!

    Dumm im Internet rumhusten können wir alle (beweis ich ja grad selbst), vllt bau’st Du einfach mal ein OS dass es besser macht? Nein? Ja gut. Dann halt nich…

    • “Und da trägst Du selber dazu bei indem Du zwischen „Datensicherheit“ und „Sicherheit“ wechselst wie Bernd-August als gäb’s kein Morgen. Wording ist wichtig. Du könntest Deinen Teil dazu beitragen indem Du jetzt mal so langsam präzise wirst…”

      Was ist an diesem Blogpost unpräzise?

      “Hier ist die gesamte Diskussion beendet. GrapheneOS ist schlicht keine Option! Das ist ein OS das ausschließlich Google-Hardware supported. Mit anderen Worten: es ist KEINE Option!”

      Warum ist das keine Option?

      “Dumm im Internet rumhusten können wir alle (beweis ich ja grad selbst), vllt bau’st Du einfach mal ein OS dass es besser macht? Nein? Ja gut. Dann halt nich…”

      Warum dieses Totschlagargument? Warum soll ich etwas selbst entwickeln, wenn es mit GrapheneOS und CalyxOS zwei gute Optionen gibt? Mal abgesehen davon, dass viele der oben geschilderten Sicherheitsprobleme strukturell bedingt sind und sich nicht ändern lassen, wenn man diese Hardware kauft.

      • Respekt, dass du so gefasst reagierst. Und unverständlich, dass Anna so einen Hals bekommen hat. Bzgl. LineageOS nennst du Contra-Argumente, ohne auszuschließen, dass es auch Pro-Argumente gibt oder dass es bei anderen Alternativen *noch mehr* Contra-Argumente gäbe. Offenbar ist es schwer auszuhalten, dass es kein Schwarz-Weiß bzw. keine eindeutig beste Option gibt.

        Für mich war es sehr hiflreich, dass du die Contra-Argumente mal an einer Stelle auflistest. Mir fehlt sogar noch der Punkt, dass selbst Builts für offiziell unterstützte Geräte von keinem Laien und vermutlich auch von so gut wie keinem Entwickler, der ihn verwendet, überprüft werden. Vielleicht noch, von welchem Code der Built kommt, aber was genau im Code sich verändert hat? Oder irre ich mich da?

  2. Es gibt Geräte, wie z.B. das Fairphone 3(+), bei dem nach der Installation von LineageOS der Bootloader wieder geschlossen werden kann. Das ist aber in der Tat die Ausnahme.

    • Danke für den Hinweis. Das wusste ich nicht und ist sehr interessant, weil es ein sehr wichtiges Problem behebt. Ich behalte das für die Zukunft im Hinterkopf.

      Das erweitert den Bereich der Möglichkeiten für jene Anwender, die verständlicherweise keine Google-Hardware erwerben möchten.

  3. Ich möchte noch iodéOS reinwerfen. Das basiert auf LineageOS, hat aber zusätzlich einen integrierten Werbeblocker, einen App Manager wo man die vorinstallierten Apps wieder deinstallieren kann (u.a. sind F-Droid und Aurora Store) und erzwingt eine Geräteverschlüsselung. Unterstützt werden Smartphones, die sie auch über die Webseite verkaufen (u.a auch das S9, was beim offiziellen LineageOS-Support rausgeflogen sind). In Verbindung mit einem Fairphone fallen so einige der aufgelistene Probleme weg.

  4. “Die nicht zu erklärende Beliebtheit des „Rootens“”.
    Weshalb hat man denn auf den gewöhnlichen Betriebssystemen wie Windows oder Macos von Hause aus root Zugriff?
    Es ist wie überall im Leben, mit sachlicher Unkenntniss kann man ungewollt und unbemerkt Schaden anrichten.

    • Und genau so lange versucht jeder mit Ahnung von Sicherheit, den Leuten die tägliche Arbeit mit diesen Adminaccounts auszureden. Das ist also kein Argument.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel