GOS via Ubuntu flashen

Vorrede – Stand April 2026

GrapheneOS können Sie auf zwei Wegen auf Ihrem Pixel-Smartphone installieren:

a) den auf WebUSB basierenden Installer als empfohlene Methode für die meisten User:innen

b) über die Befehlszeile. Dieser Installationsweg richtet sich an sehr erfahrene Nutzer:innen.

GraphenOS warnt davor, Installationsanleitungen von Drittanbietern zu nutzen, weil diese oft veraltet und häufig irreführende Ratschläge enthielten.

Nun sehen Sie hier genau eine solche Installationsanleitung, vor der GrapheneOS warnt.

Diese Anleitung soll Sie nur beim Befolgen der Anleitung auf GrapheneOS unterstützen.

Es gilt immer das, was GrapheneOS selbst in englischer Sprache zur Verfügung stellt. Sie könnten sich die Origialseite von GrapheneOS auch direkt übersetzen lassen.

Der Aufruf des Webinstallers soll nur über die Original-Seite erfolgen.

Dazu öffnen Sie einen zweiten Tab in Ihrem Browser: Tab 1 enthält diese Anleitung auf digiprax.maniabel.work; Tab 2 ist das GrapheneOS-Original.

GrapheneOS empfiehlt: Wenn Sie Probleme mit dem Installationsprozess haben, wenden Sie sich an den offiziellen GrapheneOS-Chatkanal, um Hilfe zu erhalten. Dort sind fast immer Personen verfügbar, die bereit sind, zu helfen. Versuchen Sie vor dem Fragen nach Hilfe, den Leitfaden eigenständig zu befolgen, und bitten Sie dann um Unterstützung bei allen Punkten, bei denen Sie hängen bleiben.

Es gelten folgende Regeln:

Kein BackUp – kein Mitleid.

Alles, was Sie auf Ihrem Rechner und Smartphone tun, geschieht allein unter Ihrer Verantwortung.
Maniabel trägt nicht die Verantwortung für das Misslingen eines Installationsprozesses.

WARNUNG:

Unter seltenen, aber möglichen Umständen kann es sein, dass der Installationsprozess von GrapheneOS irreversibel fehlschlägt. Das bedeutet, dass Ihr Smartphone dann zu Edelschrott wird. Die Garantie gilt dann oft auch als erloschen.

Überlegen Sie es sich also sehr genau, ob Sie dazu bereit sind, GrapheneOS zu installieren!

Die Kurzfassung via WebInstaller auf grapheneOS.org

Nachfolgend finden Sie die Links, die direkt auf die Seiten von grapheneOS führen.

• Voraussetzungen schaffen
• OEM-Entsperrung aktivieren
• Flashen als Nicht-Root
• Starten der Bootloader-Oberfläche auf dem Pixel
• Verbindung zwischen Computer und Pixel-Gerä#t herstellen
• Bootloader entsperren
• Herunterladen des Factory-Image
• Factory-Image installieren
• Locking the bootloader
• Nach der Installation
  • Booten
  • OEM-Entsperrung deaktivieren
  • Installation verifizieren
  • Weiterführende Informationen
  • Rückwärtsgang: GrapheneOS durch das Stock-Android ersetzen GrapheneOS with the stock OS

Voraussetzungen

• PC mit einer der folgenden Linux-Versionen mit allen Updates auf physischer Hardware
  • Arch Linux
  • Debian 12, 13
  • Ubuntu 22.04 LTS, Ubuntu 24.04 LTS, Ubuntu 25.04
  • Linux Mint 21 (folgen Sie den Anweisungen für Ubuntu 22.04 LTS)
  • Linux Mint 22 (folgen Sie den Anweisungen für Ubuntu 24.04 LTS)
  • Linux Mint Debian Edition 6 (folgen Sie den Anweisungen für Debian 12)
• PC mit 2 GB freiem Arbeitsspeicher
• PC mit 32 GB freiem Speicherplatz auf SSD oder HDD
• USB-Kabel zur Verbindung zwischen Pixel und Windows-PC, Original des Pixels oder qualifizierter (!) Drittanbieter.
• Anschluss direkt am PC
  • Desktop-PC: hintere Anschlüsse
  • Kein Hub!
  • Keine virtuelle Maschine, da USB-Passthrough oft unzuverlässig ist!
• Offiziell unterstützte Browser für die Web-Installationsmethode, immer voll aktualisiert:
  • Chromium, jedoch nicht in Verbindung mit Ubuntu (Snap-Paket ohne funktionierenden WebUSB)
  • Google Chrome
  • Microsoft Edge
  • Brave Browser – als Browser der Wahl
    Achtung! In Brave die Shields für den Installationsprozess deaktivieren!
  • Verwenden Sie keinen Inkognito- oder anderen privaten Browservorgang

Das Pixel

Eigentlich logisch, aber es muss erwähnt werden: Sie brauchen natürlich ein Pixel-Smartphone, den GrapheneOS läuft aktuell nur auf den Pixels von Google. In der Zukunft könnten dann auch Motorola-Geräte mit GrapheneOS erhältlich sein.

Unterstützt werden die folgenden Pixels:

Pixel 10 Pro Fold (rango), Pixel 10 Pro XL (mustang), Pixel 10 Pro (blazer), Pixel 10 (frankel), Pixel 9a (tegu), Pixel 9 Pro Fold (comet), Pixel 9 Pro XL (komodo), Pixel 9 Pro (caiman), Pixel 9 (tokay), Pixel 8a (akita), Pixel 8 Pro (husky), Pixel 8 (shiba), Pixel Fold (felix), Pixel Tablet (tangorpro), Pixel 7a (lynx), Pixel 7 Pro (cheetah), Pixel 7 (panther), Pixel 6a (bluejay), Pixel 6 Pro (raven), Pixel 6 (oriole),

Empfohlen werden Pixels ab Pixel 8.

Das Pixel soll ein freies, nicht an den Mobilfunkanbieter gebundenes Smartphone sein.

Die Mobilfunkbetreiber-ID aktiviert betreiberspezifische Konfigurationen im Standard-Betriebssystem, einschließlich der Deaktivierung von Mobilfunkanbieter- und Bootloader-Entsperrung. Smartphones, die nach 2016 in Deutschland gekauft worden sind, enthalten zumeist keine Mobilfunkanbieterbindung mehr.

Aktualisieren Sie Ihr Pixel vor der Installation auf den aktuellen Softwarestand.

Umgehung von fwupd-Fehlern auf Linux-Distributionen

Die Software fwupd, die auf Linux-Distributionen häufig zum Aktualisieren von Firmware verwendet wird, ist dafür bekannt, fälschlicherweise Verbindungen zu beliebigen Geräten über das Fastboot-Protokoll herzustellen. Dies blockiert die Nutzung dieser Geräte für ihren vorgesehenen Zweck und Sie könnten dadurch eine Fehlermeldung erhalten, dass das Pixel schon in Verwendung sei. Das soll nicht geschehen. Daher müssen Sie für die Zeit des Flash-Prozesses diese Software vorübergehend deaktivieren:

sudo systemctl stop fwupd.service

Dies deaktiviert den Dienst nicht dauerhaft; er wird beim nächsten Neustart des Systems erneut gestartet.

Booten in die Bootloader-Schnittstelle

Sie müssen Ihr Gerät in die Bootloader-Schnittstelle booten.

Das Ausschalten des Gerätes sollte über den Softwareschalter erfolgen, den sie nach zweimaligen Wischen auf dem Bildschirm rechts unten finden.

Starten Sie Ihr Pixel neu UND halten Sie die Minus-Lautstärke-Taste nach unten gedrückt, während das Gerät hochfährt.

Sie halten die Minus-Lautstärke-Taste so lange nach unten gedrückt, bis das Pixel in die Bootloader-Schnittstelle bootet.

Alternativ schalten Sie das Gerät aus und starten es dann neu, wobei Sie während des Boot-Vorgangs die Minus-Lautstärke-Taste nach unten gedrückt halten. (Den Boot-Vorgang starten Sie mit der Power-Taste.)

Dieser Schritt ist erst abgeschlossen, wenn Ihr Gerät ein rotes Warn-Dreieck und die Worte „Fastboot Mode“ anzeigt.

ACHTUNG: Sie dürfen die Power-Taste des Geräts nicht drücken, um den Menüpunkt „Start“ zu aktivieren, da das Gerät im Fastboot-Modus pausiert bleiben muss, damit sich der Installer im nächsten Schritt damit verbinden kann.

Gerät verbinden

Verbinden Sie das Gerät mit dem Computer durch das USB-Kabel. Achten Sie auf einen festen Sitz. Verzichten Sie auf Adapter.

Falls Sie ein Pixel-Tablet verwenden, trennen Sie es zuvor vom Dock!

Jetzt wird es ernst!

Prüfen Sie:

• PC ist am Stromnetz angeschlossen
• WLAN läuft stabil

Bootloader entsperren

Entsperren Sie den Bootloader, um das Flashen des Betriebssystems und der Firmware zu ermöglichen. Drücken Sie dazu auf der Website von GrapheneOS den blauen Button mit der Aufschrift: „Unlock bootloader“ (deutsch: Bootloader entsperren)

Der Befehl muss auf dem Pixel bestätigt werden und löscht alle Daten. Verwenden Sie eine der Lautstärketasten, um die Auswahl auf „Akzeptieren“ zu ändern, und die Power-Taste zur Bestätigung.

https://grapheneos.org/install/web#unlocking-the-bootloader

Herunterladen der Betriebssystem Images von GrapheneOS

Sie laden nun die GrapheneOS-Abbilder herunter.

Die Verbindung zwischen Pixel und PC ist stabil, das WLAN/LAN funktioniert stabil?

Klicken sie auf den blauen Button mit der Bezeichnung

„Download release“

Je nach Verbindung kann dieser Prozess länger oder kürzer dauern. Haben Sie Geduld! Auch wenn es so aussieht, als ob nicht passiert: Das täuscht!

Beobachten Sie den blauen Fortschrittsbalken, der folgend immer dann erscheint, wenn das Pixel via PC mit dem Internet agiert oder das Betriebssystem diverse Operationen durchführt.

https://grapheneos.org/install/web#obtaining_factory_images

Flashen der Factory Images

Nach dem Download der Betriebssystem-Abbilder erfolgt das Flashen auf das Pixel:

Die Erstinstallation erfolgt durch das Flashen der GrapheneOS-Images. Dies wird die bestehende Betriebssystem-Installation ersetzen und alle vorhandenen Daten löschen. Ein Wiederherstellen privater Daten ist danach nicht mehr möglich. Alles weg!

Klicken Sie den blauen Button

„Release flashen“

Warten Sie, bis der Flash-Vorgang abgeschlossen ist. (GEDULD!) Dieser übernimmt automatisch das Flashen der Firmware, den Neustart in die Bootloader-Schnittstelle und das Flashen des Betriebssystems.

Der Bildschirm wird mal blendend hell, dann wieder dunkel und es scheint viel Betrieb im System zu sein. Interagieren Sie nicht mit dem Gerät, bis das Flash-Skript beendet ist. Nichts anfassen! Fahren Sie dann fort, den Bootloader zu sperren, bevor Sie das Gerät verwenden, da das Sperren erneut alle Daten löscht.

Sie könnten den Bootloader auch später schließen, aber dann löscht GrapheneOS alle Apps und Daten. Das ist kein Bug, das gehört zur Sicherheit des Betriebssystems!

https://grapheneos.org/install/web#flashing-factory-images

Bootloader sperren

Im Bootloader-Menü setzen Sie ihn auf „gesperrt“: Klicken sie den blauen Butten mit der Bezeichnung

„Bootloader sperren“

Der Befehl muss auf dem Gerät bestätigt werden und löscht alle Daten. Verwenden Sie eine der Lautstärketasten, um die Auswahl auf „Akzeptieren“ zu wechseln, und die Ein-/Aus-Taste zur Bestätigung.

Das Sperren des Bootloaders ist wichtig, da es einen vollständigen verifizierten Start ermöglicht. Es verhindert außerdem die Verwendung von fastboot zum Flashen, Formatieren oder Löschen von Partitionen. Der verifizierte Start erkennt Änderungen an allen OS-Partitionen und verhindert das Lesen von modifizierten oder beschädigten Daten. Werden Änderungen erkannt, werden Fehlerkorrekturdaten verwendet, um die ursprünglichen Daten wiederherzustellen, woraufhin diese erneut verifiziert werden. Dies macht den verifizierten Start robust gegenüber nicht-bösartiger Beschädigung.

https://grapheneos.org/install/web#locking_the_bootloader

Entfernen Sie jetzt das USB-Kabel vom Pixel.

Nach der Installation

Booten

Sie haben GrapheneOS nun erfolgreich installiert und können es starten. Durch Drücken der Ein-/Aus-Taste mit der standardmäßig ausgewählten Option „Start“ im Bootloader-Menü wird das Betriebssystem gestartet.

Deaktivieren von OEM-Entsperrung

Während der ersten Einrichtung enthält der letzte Bildschirm einen Schalter für OEM-Entsperrung, der standardmäßig aktiviert ist. Dies deaktiviert die OEM-Entsperrung, was empfohlen wird.

Wenn Sie die OEM-Entsperrung in Zukunft aktivieren oder deaktivieren müssen, kann dies im Menü für Entwicklereinstellungen innerhalb des Betriebssystems erfolgen.

Installation überprüfen

Die durch unterstützte Geräte bereitgestellten Funktionen für verifizierten Start und Attestierung können verwendet werden, um zu verifizieren, dass Hardware, Firmware und GrapheneOS-Installation echt sind. Selbst wenn der Computer, den Sie zum Flashen von GrapheneOS verwendet haben, kompromittiert war und ein Angreifer GrapheneOS durch ihre eigene bösartige OS-Version ersetzt hat, kann dies mit diesen Funktionen erkannt werden.

Die Wahrscheinlichkeit ist hoch, dass nur sehr erfahrene Nutzer:innen diesen Schritt vollziehen werden. Ich verweise auf die grapheneOS-Website:

https://grapheneos.org/install/web#verifying-installation

Geschafft! Genießen Sie nun ihr datenschutzfreundliches Pixel-Endgerät. Machen Sie sich nun mit dem Gerät vertraut.