GrapheneOS verlässt OVH: "Frankreich ist kein sicheres Land für Privacy-Projekte"
Das Entwicklerteam hinter dem auf Datenschutz und Sicherheit ausgerichteten Open-Source-Betriebssystem GrapheneOS kehrt dem französischen Hostinganbieter OVH den Rücken. Wie die GrapheneOS-Entwickler in Beiträgen auf X(öffnet im neuen Fenster) und Mastodon(öffnet im neuen Fenster) schildern, hat das Team derzeit keine aktiven Server mehr in Frankreich. Von OVH wolle man sich mit weiteren Maßnahmen vollständig trennen.
"Frankreich ist kein sicheres Land für quelloffene Privacy-Projekte" , begründen die Entwickler ihre Entscheidung. Die französische Regierung fordere Hintertüren in der Verschlüsselung und für den Gerätezugriff. Tatsächlich sichere Geräte seien in dem Land nicht länger zulässig.
"Wir fühlen uns nicht einmal sicher, OVH für eine statische Webseite mit Servern in Kanada/den USA über deren kanadische/US-amerikanische Tochtergesellschaften zu nutzen" , schreibt das Entwicklerteam weiter.
GrapheneOS im Visier der Strafverfolgung
Quelle der Bedenken scheinen Berichte mehrerer französischer Medien(öffnet im neuen Fenster) zu sein, darunter einer der Tageszeitung Le Parisien(öffnet im neuen Fenster) . Darin wird GrapheneOS als "Geheimwaffe" bezeichnet, mit der Drogenhändler und andere Kriminelle ihre Daten vor der Polizei schützten. Dass sich das Betriebssystem im Vergleich zum Standard-Android besonders schwer knacken lässt, hatte zuletzt eine geleakte Präsentationsfolie des Forensikdienstleisters Cellebrite gezeigt .
Einige Führungskräfte französischer Strafverfolgungsbehörden sollen ihre Einsatzkräfte den Medienberichten zufolge angewiesen haben, insbesondere mit GrapheneOS ausgestattete Pixel-Smartphones grundsätzlich als sehr verdächtig zu behandeln.
Auch falsche Behauptungen über GrapheneOS seien dabei aufgestellt worden, betont das Entwicklerteam. Welche Aussagen damit genau gemeint sind, schildern die Entwickler nicht. In einem früheren X-Beitrag(öffnet im neuen Fenster) hoben sie aber hervor, dass deutlich weniger als ein Prozent der Nutzerschaft von GrapheneOS einen kriminellen Hintergrund habe. "Das ist ein Rundungsfehler" , so das Team weiter. Die Mehrheit der Kriminellen nutze ganz normale Geräte mit Android oder iOS.
Umzüge zu anderen Hostern
Folglich stehen bei GrapheneOS in nächster Zeit einige Umzüge sowie zugehörige Rotationen für TLS- und DNSSEC-Keys sowie Let's-Encrypt-Kontoschlüssel an. Back-ups will das GrapheneOS-Team vorerst bei OVH liegen lassen, da diese ohnehin verschlüsselt seien.
Derzeit noch bei OVH in Kanada gehostete Server für Dienste wie E-Mail, Matrix, Mastodon und ein Diskussionsforum sollen kurzfristig auf den Karlsruher Hoster Netcup oder einen vergleichbaren Anbieter verlagert werden. Langfristig sollen diese Systeme auf Server in der kanadischen Stadt Toronto umziehen. Mit Hauptwebseite und Netzwerkserver wolle man zu den Anbietern Vultr und BuyVM wechseln.
Die Update-Mirrors des GrapheneOS-Projekts werden den Angaben zufolge derzeit auf gesponserten Servern von Reliablesite (Los Angeles, Miami) und Tempest (London) gehostet. Bei dem Serverstandort in London soll es sich nur um eine temporäre Lösung handeln. Es sind aber wohl weitere Update-Mirrors in Arbeit.
"Warum geben sie nicht Google die Schuld?"
Das GrapheneOS-Team moniert in seiner Mitteilung auch, zuletzt vermehrt auf mehreren Kanälen attackiert worden zu sein. Die Rede ist von "fortwährender Verleumdung und Belästigung" sowie Übergriffen auf die Chatrooms des Projekts. "Es ist derzeit eine schwierige Zeit und wir sind für jede Unterstützung dankbar" , so die Entwickler.
Die Forderungen Frankreichs umzusetzen, stufe man derweil als unmöglich ein, da der Zugriffsschutz von GrapheneOS entsprechend den Hardwareanforderungen des Betriebssystems über das in den kompatiblen Pixel-Geräten(öffnet im neuen Fenster) verbaute Secure Element implementiert sei. "Warum geben sie nicht Google die Schuld?" , fragen die Entwickler vor diesem Hintergrund.
In den USA und Kanada fühlten sich die GrapheneOS-Entwickler hingegen vorerst sicher. Dort sei die Verweigerung der Angabe einer PIN oder eines Passworts als Teil des Rechts geschützt, sich nicht selbst zu belasten. In Frankreich kriminalisiere man ein solches Verhalten aber inzwischen.