Umstieg auf GrapheneOS und FDroid Apps

Hallo liebes Forum,

auch bei mir steht ein „Wechsel“ an, hin zu mehr Datenschutz/Selbstbestimmung.

Ich bin seit knapp 25 Jahren im Apple Kosmos und eigentlich sehr zufrieden. Trotzdem will ich mich in das Abenteuer googlefreies Android stürzen

Ich mag es minimalistisch weshalb ich aktuell nur ein iPhone und ein iPad benutze. Letzteres leider mit Apps bei denen ich noch unsicher bin wie ich diese ersetzen kann weil ich sie beruflich benötige (Sketchup & Procreate).

Deshalb starte ich jetzt erstmal mit dem Smartphone (und da mit einem günstigen/älteren Modell um alles zu testen).

Im Folgenden also einmal mein aktueller Plan:

Gerät: Pixel 6a
Betriebssystem: GrapheneOS

Appstore: Droid-ify (Was hat es mit dem Graphene „Apps“ Store(?) auf sich?)
Browser: Vanadium (?)
Email: Tuta App oder Posteo + FairEmail (?)
Kalender: Tuta App oder Posteo + App (?)
Notizen: NotallyX oder Easy Notes (?)
Messenger: Signal bzw. Molly (zu welcher Variante würdet ihr raten?)
Video: NewPipe
Musik: Spotube
Podcasts: AntennaPod
Kamera: Graphene App oder OpenCamera (?)
Karten/Navigation: Organic Maps (Klappt das mit Auto Navigation?)

Folgende Apps überlege ich gerade noch wie ich sie genau ersetze:

E-Auto Ladeapp (z.B. EWE Go) → EV Map + physische Plastikkarte
Banking App → Über Browser (GLS Bank)
SecureGo Plus → Zurück zum physischen Tan-Generator
Kleinanzeigen → Nutze ich wirklich viel, gibt aber wohl keine Alternative/Workaround…!?
DHL App → Kauf der Paketmarken über Browser
Calculator# → Ein Taschenrechner „in dem“ man Fotos/Videos/Dokumente verstecken kann an die man durch eine Pin rankommt. Gibt es etwas in der Art bei FDroid?
Paypal → Werde ich wohl löschen und (Sofort)Überweisungen nutzen
Apple Pay → Zurück zur physischen Plastikkarte bzw. Überweisung
iCloud → Eventuell zurück zur Sicherung auf Festplatten zuhause
AppleCarPlay → AndroidAuto wohl auch nur mit Google wie ich das sehe…

Soweit mal meine Gedanken! Freue mich sehr über Tipps/Hilfe/Anregungen von euch Profis!

Wenn du Unified Push (energiesparender; man muss dem Molly-Socket-Betreiber (kann man auch selbst hosten) vertrauen) verwenden möchtest, Molly FOSS und eigenes Hosting oder adminforge. Wenn du WebSocket nutzen möchtest TwinHelix Signal FOSS.

Für Mail und Kalender würde ich Mailbox.org bevorzugen. Außer Du bist schon auf Posteo festgelegt. Tuta mag ich nicht weil ich die Bindung an die App nicht mag und Fairemail liebe.
Für Musik empfehle ich Metrolist.
Warum Verzicht auf Banking app?
Als Kamera würde ich Google Cam nutzen. Macht mit Abstand die besten Bilder. Aber natürlich Internetberechtigung entziehen. Besonders elegant mit Google Photos app.

Dein Interesse an Alternativen in allen Ehren, aber dir ist schon bekannt, dass du auf GrapheneOS ein „googlefreies“ Hauptprofil haben kannst, und darin ein vertrauliches Profil mit Play Store, welches du nur sporadisch aktivierst? Darin könntest du eine ganze Menge der genannten Apps verwahren.

Mach dir das Leben nicht unnötig schwer - ich sehe sonst schon den nächsten „ich bin überfordert mit meinem Umstieg“-Thread hier aufpoppen

Machs dir nicht zu kompliziert und identifiziere die Apps/Provider, die du als Basis nutzt und brauchst.

Eine der möglichen App-Übesichten:
https://www.kuketz-blog.de/empfehlungsecke/#android
https://sideofburritos.com/docs/setup-guides/what-i-use/
https://github.com/pluja/awesome-privacy?tab=readme-ov-file#android

Den GOS-Appstore und Accrescent kannste auch gut nutzen. Finde F-Droid bzw. Neo-Store immer noch am Besten was die Übersicht und Filter angeht. Dort bei Bedarf weiter Repository einbinden.

@Mail
Überleg dir einfach welche Dienste und Geräre du weiterhin nutzt. Nutzt weiterhin i(Pad)OS-Geräte, andere Androids, Mails auf dem Desktop usw? Dann dürfte es sehr wichtig sein, dass du beim Thema Kalender (CalDav), Kontakte (CardDav) sehr flexibel bist. Zu dem Zeitpunkt, als ich ich informiert hatte, viel Tuta mangels mancher Funktionen (Teilbarekeit usw) raus. Übrig blieb Posteo und Mailbox. Mailbox lohnt sich, wenn du mit anderen Kollaborieren möchtest. Posteo hat alles was man als einzelner braucht und ist mit 1€/Monat unschlagbar günstig.
Letztendlich kommt es aber drauf an welche Funktionen du brauchst und möchtest.

Posteo/Mailbox kannste auch weiter nutzen, solltest du doch zurück zu iOS wechseln. Kontakte, Mail und Kalender kannste dort mittlerweile problemlos einbinden und nutzen.

@Signal/Molly
https://github.com/mollyim/mollyim-android?tab=readme-ov-file#free-and-open-source
→ Molly-Foss

@Browser
Kommt drauf an. Nutzt den Browser am Handy eher nur wenig, oder für Vieles und häufig? Grundsätzlich ist Vanadium solide und ausreichend.

@Kamera
Einfach ausprobieren!

@Karten
GoogleMaps ist leider unschlagbar was Verkehrsdaten angeht.
Aber bei einer der Alternatives kann man wohl ein Overlay nutzen und hat dann die GoogleMaps Verkehrsdaten.
Letztendlich würde ich das einfach ausprobieren.
Für einfach mal was nachschauen kann auch OpenStreetMaps per Browser reichen.

@Daten verstecken
Einfach ein anderes Profil nutzen, oder das vertrauliche Profil nutzen. Mit InterProfile kannste die Daten bei Bedarf mit anderen Profilen teilen (per passwort und verschlüsselt übertragen).

@iCloud
Vielleicht StorageShare oder StorageBox von Hetzner z.B.
Oder NextCloud
https://www.kuketz-blog.de/mit-der-nextcloud-in-die-digitale-unabhaengigkeit-nextcloud-teil-1/
Beides ergänzt mit „Cryptomator“.
Oder/und „Ente“ für Fotos.
https://www.kuketz-blog.de/ente-datenschutzfreundliche-alternative-zu-google-und-apple-photos/

@CarPlay
Vielleicht reicht einfach die BT-Verbindung für Musik?

@Passwörter!?
Den Punkt sehe ich bei dir nicht:
KeePassDX oder Bitwarden (EU).

Da bin ich als Laie schon überfordert Muss ich mich wohl nochmal etwas einlesen…
Welche Variante nutzt du bzw würdest du empfehlen (weil am sichersten)?

Bei mir ist es aktuell genau das Gegenteil. Habe mir die Tuta App dank kostenlosem Account schonmal angeschaut und fand sie für meine Bedürfnisse super. Fairemail dagegen eher unübersichtlich bzw mit zu vielen Optionen für einen Laien wie mich Spricht sonst noch etwas gegen Tuta? Danke für die anderen Tipps!

Ja das ist mir bewusst… Würde es gerne erstmal ganz ohne versuchen mit der beschriebenen Option falls ich es nicht schaffe. Aber ich bin guter Dinge und ich mag Herausforderungen

Danke für die Gedanken und die Links! Und ja, KeePassDX steht eigentlich auch auf der Liste

Hast Du schon mal Magic Earth ausprobiert?
Ist die beste Alternative zu GMaps bisher.

Super interessantes thema. Ist ähnlich wie bei mir. Ich verzichte nicht auf ipad und iphone, habe aber auch ein Pixel mit grapheneOS. Nutze das Hauptprofil googlefrei. Das klappt auch soweit ganz gut. Allerdings kann ich auf einige Apps nicht verzichten. So habe ich mir im vertraulichen Bereich die Googledienste eingerichtet. Ich nutze den Bereich nur für den Moment und deaktiviere ihn dann wieder. Dort läuft zB whatsapp.. (Solange ich den Bereich nicht sperre)
Am anfang wollte ich auch alles googlefrei haben aber man kann sich das eben mit dem vertraulichen Bereich einfacher machen bzw sich langsam rantasten.

Molly FOSS (dabei hatte ich am Anfang sogar Signal-FOSS genutzt und hatte kaum Unterschied bei der Akkulaufzeit feststellen können (aber ein bisschen habe ich mir schon eingebildet)) mit adminforge Molly-Socket. Nein, ich habe kein Bock einen eigenen Molly-Socket zu hosten.

TwinHelix Signal-FOSS, falls dir die Akkukapazität reicht (die WebSocket-Implementierung von Signal, die TwinHelix Signal-FOSS und auch Molly-FOSS weiter verwenden, zieht sehr viel Akku). Falls dir der Akku zu schnell leer geht, Molly-FOSS mit adminforge Molly-Socket.

originales Signal-FOSS
Privatsphäre freundlicher als Signal wäre aber TwinHelix Signal-FOSS.
(Fett meine EDITS)

Signal-FOSS schreibt selber: „This is an unofficial client with no guarantees of timely (or any) updates.“

Unter diesem Aspekt ist Signal-FOSS definitiv nicht sicherer als das normale Signal. Außerdem musst du einer weiteren Partei vollständig vertrauen, was gerade beim Hauptmessenger vielleicht nochmal überdacht werden sollte.

Tatsächlich sind die Upates aber zuverlässiger (einmal in der Woche) als die von Molly und Molly-FOSS (alle zwei Wochen). Signal selbst gibt auch nur jede Woche bis zu alle zwei Wochen ein stabiles Update raus. Die neueste Version von TwinHelix Signal-FOSS gibt es kurze Zeit danach (normalerweise nach mindestens einem Tag; im Höchstfall nach einer Woche). TwinHelix bietet auch dann ein (als Beta markiertes) Update nach einer Woche heraus, wenn bis dahin Signal noch kein neues stabiles herausgegeben und hat und in naher Zukunft keines kommen wird.

Ich habe dennoch meinen Beitrag angepasst, wobei die Updatefrequenz des Forks TwinHelix Signal-FOSS nicht wirklich schlechter ist, als das Original (anders als bei Molly und Molly-FOSS).

Zum Updatestatus: TwinHelix Signal-FOSS bietet seit gestern Signal 7.40.2 an (davor 7.39.4), welches auch als offizielles stabiles bei Signal markiert ist (bis vor kurzem (auf jeden Fall Dienstag; vielleicht auch gestern) war noch 7.39.5 die letzte stabile Version (die auf dem Signal-GitHub gar nicht angeboten wurde)). Signal selbst bietet seit gestern die instabile Nachfolgeversion 7.41.0 an.

Aber privatsphärefreundlicher, weil OpenStreetMap statt Google Maps verwendet wird.

Das halte ich mehr für ein ideologisches Problem. Es erfährt halt nur jemand anders den Standort des (anonymisierten) Nutzers.

Für Molly und Mollysocket muss man dem Betreiber nur wenig Vertrauen entgegenbringen. Mollysocket wird lediglich informiert, dass Nachrichten für die App eingetroffen sind. Dafür wird Mollysocket und dem Betreiber des Mollysocket kein Schlüssel für die Nachrichten gegeben. Sollte der Mollysocketbetreiber was herausfinden wollen, gelangt er lediglich an die Info dass Nachrichten oder ein Event zum App aufwecken angekommen ist.

Damit Mollysocket gut funktioniert braucht man auch einen UnifiedPush-Provider. Es gibt drei gute zur Auswahl: NTFY, NextPush und noch einer der über die Mozilla-Server läuft. Ich würde nur NTFY und NextPush empfehlen. Wenn du ohnehin degoogelst, wirst du für Googledocs-Ersatz/MS364-Ersatz wahrscheinlich ein Nextcloud haben, das kann dann auch gleichzeitig dein UnifiedPush-Provider sein wenn du NextPush als app auf dem Handy und auf dem Server aktivierst.

Zu dem Handy: Nimm’ besser ein 7a oder aktueller, das 6a ist spürbar langsamer und das trübt dann schon den Gesamteindruck, gerade wenn du von Apple kommst.

Ob die Alphabet Inc. oder die OpenStreetMap Foundation meine genaue IP mit meinem genauen Standort kennt, halt ich doch für einen großen (nicht nur ideologischen) Unterschied.

Ja vielleicht doch die bessere Idee. Suche schon seit Tagen aber habe leider noch keines gefunden… Will hier zufällig jemand ein Pixel 6a oder 7a loswerden?

Full Ack, Es ist ja auch bereits ein riesen Unterschied ob man Google nutzt, oder Apple oder GrapheneOS:

• Bei Google schließt man einen Vertrag, der bereits beinhaltet, dass die Daten Google gehören und sie mehr oder minder damit machen was sie wollen. Rechtliche Grenzen werden seit Jahren ausgetestet indem diese erstmal überschritten werden.
• Bei Apple wird wenigstens per Vertrag behauptet man würde auf die Daten nicht oder nur in geringem Umfang zugreifen. Weitergabe an die tausende Werbepartner ist nur sehr eingeschränkt. Bei Apple wird die rechtliche Grenze nur selten bis garnicht überschritten.
• Bei GrapheneOS landen die Daten häufig erstmal nirgendwo, es werden einfach wenig bis keine Daten erhoben. Die OpenSource Projekte haben keine Vermarktung der Daten des Nutzers, die Motivation die Daten zu sammeln ist deswegen sehr gering.
• Das gschriebene oben bezieht sich auf die ganze legale Vermarktung deiner Daten. Wenn dein Datenschutzbedarf so groß ist, dass Geheimdienste nicht mitlesen können sollen, dann solltest du möglichst wenig Digitaltechnik nutzen, am besten garkeine. Da gibt es keine „sicheren Methoden“ bzw ist der Aufwand sehr groß. Was wir „Normalos“ aber loswerden bzw. eindämmen können sind diese ganzen fiesen Geschäftsmodelle und Manipulationsmodelle die darauf basieren möglichst viel von uns an Daten zu erheben und zu verkaufen. Was wir dabei steuern können ist:

1. Wie frisch die Daten sind,
2. wie umfangreich diese Daten sind,
3. wie korrekt diese Daten sind.

Also, deswegen ist es wirklich nicht das gleiche ob OpenStreetmap die Daten hat oder google. Google macht klar (per Vertrag), dass sie alles auswerten was irgendwie legal ist. Viele Opensourceprojekte machen mit dir keinen extra Vertrag und erheben die Daten erstmal garnicht. Sparsamer geht es nicht.

Nutzt du keinen VPN?

Nein (außer für YouTube und ein paar wenige andere Seite). Warum sollte ich (wenn man das gleiche VPN auf alle Webseiten streut, ist der Effekt nahezu null)? Außerdem funktioniert dann ja gerade das Standortteil-Freature nicht, um das es ja bei der Google Maps oder OpenStreetMap-Implemtierung geht.
@Toom Warum antwortest du mir und nicht Wellenbrecher?

Es geht darum das der Betreiber nur den Weg bis zum VPN Anbieter verfolgen kann. Das macht eigentlich immer Sinn?

Wenn genügend andere Leute diesen VPN-Server nutzen nicht. Zudem ginge es, z.b. per RethinkDNS, unterschiedliche Server für unterschiedliche Apps zu verwenden.