Ich könnte günstig ein fast neues Chromebook bekommen. Kann man ein Chromebook ähnlich wie ein Google Pixel “entgoogeln” und datenschutzfreundlich aufsetzen? Oder kann man das Chrome-OS einfach durch eine andere Linux-Distribution ersetzen?
auf neueren Chromebooks lässt sich eine virtuelle Linux-Umgebung aktivieren, in der man problemlos Programme wie Firefox, Thunderbird oder Gimp installiert.
https://www.heise.de/ratgeber/Wie-Sie-von-Windows-auf-ChromeOS-umsteigen-10499029.html (kostenpflichtig)
Wir gehen der Frage nach, wie man vollwertige Linux-Distributionen parallel zu (Dualboot) oder anstelle von ChromeOS installiert, welche Chromebook-Modelle dafür überhaupt geeignet sind und was Sie dabei beachten müssen.
Ist beides allerdings nicht das, was Du in der ersten Frage gemeint hast, also ein Setup wie bei einem Pixelphone mit Graphene. Frage 2 lässt sich mit ja beantworten (wenn man denn das “einfach” in der Frage streicht 
).
PS: Artikel 1 ist hinter einer Paywall (lässt sich aber aktuell am Kiosk in der c’t bequem durchblättern), Artikel 2 ist frei verfügbar.
Was genau verstehst du unter “entgooglebar”? Du kannst folgende Schritte tun:
- Zur Anmeldung einen Burner-Account nutzen, der mit nichts anderem verknüpft ist
- Lokales Passwort für die Festplattenverschlüsselung verwenden
- Telemetrie deaktivieren (oder gar nicht erst einschalten)
- Play Store und Google Drive-Integration deaktivieren
- Chrome-Browser datenschutzfreundlich einrichten (wie jeden anderen Browser auch: uBlock Origin nutzen, Third-Party-Cookies deaktivieren, sicheres DNS verwenden usw.)
- Optional: Linux-Entwicklungsumgebung installieren und Linux-Programme nutzen (alles was bei Debian dabei ist geht out of the box)
ChromeOS durch eine andere Linux-Distro ersetzen bringt imho wenig, weil du damit den sehr mächtigen Schutzmechanismus verified boot sowie das read-only Dateisystem und nahtlose Updates verwirkst und durch fehlendes Sandboxing generell die Sicherheit deutlich reduzierst.
Wenn du kein Problem damit hast das Ding zu flashen - es gelten die üblichen Warnhinweise - ist https://docs.chrultrabook.com dein Freund. Danach hast du ein “normales” UEFI und kannst Linux wie gewohnt vom Stick installieren.
Sollte dein Gerät einen Hardware-Schreibschutz für die Firmware haben musst du an die Hardware ran, Youtube lohnt sich da vorab. Wie heikel das ganze ist hängt im Prinzip davon ab wie zugänglich der Akku ist. Der muss kurz abgesteckt werden.
Das Script von mrchromebox bietet ein Backup der original Firmware auf ein USB Geräte vor dem Flashvorgang an. Man könnte also zurück, hab das nur noch nie gemacht
Mach das nur wenn du weißt was du da tust !!!
Geschrieben auf einem i5 chromebook, 8gb ram. Vanilla Arch + Plasma 6
1 „Gefällt mir“
Leider bei modernen Geräten nicht mehr so “einfach”.
Hier wird meist ein Debug-Kabel gebraucht (sog. “SuzyQable”), welche nicht (mehr) erhältlich sind. Kann man sich aber relativ einfach selber bauen, man braucht ein USB-C Male Breakout Board, zwei passende Widerstände (22k & 56k Ohm), ein altes USB-Kabel und muss löten können.
Habe das ganze selber erst vor kurzem gemacht und kann es bedenkenlos empfehlen. Es gibt ein praktisch narrensicheres Skript fürs Flashen. Nur das Basteln des Kabels (falls erforderlich) ist eine kleine Hürde und verursacht ca. 10€ Materialkosten.
Alle Infos findest du hier: mrchromebox.tech
Dem würde ich unter dem Gesichtspunkt des Datenschutzes deutlich widersprechen. Ich gehe jede Wette ein, dass ein eigens installiertes Linux-System bei weitem datenschutzfreundlicher ist, als es ein ChromeOS je sein könnte.
Sicherheitstechnisch hast du natürlich recht. Das ist effektiv die gleiche Abwägung wie bei Custom-ROMs vs Stock-Android vor GrapheneOS.
Für das Sicherheitsrisiko eines “normalen” Menschen würde ich stets den Gewinn an Datenschutz vorziehen. Wobei man read-only (bzw. immutable) und Sandboxing auch unter Linux haben kann, falls man das möchte/braucht. (99% aller Leute benutzen ja auch kein Chromebook als PC wegen der Sicherheit)
Die in meinen Augen einzig wirklich wichtige Schutzmaßnahme bei einem Laptop, welches außer Haus benutzt wird, ist ein verschlüsseltes Dateisystem zum Schutz bei Diebstahl/Verlust.
Hast du irgendwelche Quellen oder Belege für diese Behauptung? Bauchgefühl zählt nicht. Ich gehe jede Wette ein, dass ein frisch installiertes modernes Linux (wie Fedora) mit vorinstalliertem Firefox, und allen per default aktivierten (!) Optionen wie Telemetrie, Studien, Werbung usw., signifikant weniger datenschutzfreundlich ist als ein chromeOS, bei dem du 5 Minuten lang ein paar Einstellungen geändert hast.
Zudem hat Linux höchstens ein sehr rudimentäres Sandboxing, was ich ebenfalls begründet zu Datenschutz zähle. Jemals während Corona Zoom, Teams oder Skype auf Linux genutzt? → diese Software hat seitdem vollen Zugriff auf dein home-Verzeichnis. Ohne Hürde. JEDE nachinstallierte Drittsoftware hat auf Linux vollen Zugriff auf dein home-Verzeichnis, weil es da einfach keine Barriere gibt. Flatpak verwenden hilft nicht, weil die meisten Flatpaks ebenfalls extrem permissiv sind.
Ich hab lieber ein unkaputtbares, stets intaktes System, welches sich in 5 Minuten datenschutzfreundlich konfigurieren lässt. Und niemand hindert mich daran, statt Google Workspace Proton-Produkte oder Nextcloud mit Collabora oder andere freie Software zu nutzen.
Es hängt vom Gerät ab, das ist auf seiner (mrchromebox) Seite und chrultrabook (auch seine) ausführlich erklärt.
Ich habe mehrere HP Chromebooks mit der C50 WriteProtection geflashed, ein spezielles Kabel habe ich dafür nie benötigt (dass sowas existieren soll ist mir bekannt). Wenn der Akku abgesteckt und das Gerät am Netzteilist ist kann geflashed werden.
Da wir uns hier auch in einem Sicherheitsforum befinden:
Wenn man Google vertraut ist das ganz klar, aus der Sicherheitsperspektive ein Rückschritt. Es bräuchte mind. ein geschütztes UEFI das signierte Images kann und LUKS um an das Niveau eines Stock-Chromebooks ranzukommen.
Wenns um Datenschutz geht oder drum ein geeignetes Gerät mal richtig auszufahren bist du mit Linux bare metal natürlich weit vorne.
edt: Rechtschreibung + (mrchromebox) eingefügt
Warum ist das so, kannst du das mit irgendwas belegen? Bitte kein Bauchgefühl oder Hörensagen. Warum genau ist deiner Meinung nach der Datenschutz bei einem unspezifizierten Linux “natürlich weit vorne”?
Bei einem proprietären Betriebssystem wie ChromeOS und dem Entwickler Google kommt es aus meiner Sicht eigentlich nur auf dein Bauchgefühl an. Ob die ganzen Einstellungsmöglichkeiten auch den beschriebenen Effekt haben ist vertrauenssache.
Grüße
1 „Gefällt mir“
Natürlich nicht, habe das in meinen Augen auch klar als persönliche Einschätzung gekennzeichnet.
Hast du denn umgekehrt dafür Belege? Selbst wenn auf allen Ebenen Telemetrie hier aktiv wäre, dann gibt es immernoch zwei sehr wichtige Unterschiede:
-
Liegen die Daten verteilt vor. Was ich auf dem System mache, bekommt Mozilla nicht und was ich im Browser mache wird weder KDE noch andere Systemtelemetrie mitbekommen.
-
Baut meines Wissens nach keine dieser Organisationen komplexe Profile über mich. Macht bei KDE etc. auch wenig Sinn, da sie nicht im Werbegeschäft sind.
Außerdem kommt noch dazu, dass mir dort nirgendwo wirklich aggresive Telemetrie bekannt wäre (dank Open Source wüsste man das ja), welche z.B. jeden Programmstart verfolgt. Wenn ich außerdem einem Nutzer die Privacy-Einstellungen bei Chrome(OS) zutraue, dann kann er auch bei Firefox die Telemetrie ausschalten.
Da hast du natürlich recht, allerdings setzt das voraus, dass ich solche Software nutze. Nichts davon käme mir so aufs System, aus genau den genannten Gründen.
Mit Teams kenne ich mich nicht aus, Zoom kann man auch problemfrei im Browser verwenden.
Dein gutes Recht, dich dafür zu entscheiden, ist wie ich zuvor geschrieben habe immer eine persönliche Abwägung. Mit dem letzten Halbsatz wäre ich ohne Belege aber vorsichtig. Denn: hälst du die PlayServices auf Android für datenschutzfreundlich konfigurierbar?
Ich nicht, und bin überzeugt, dass das auf ChromeOS nicht anders ist.
Na die Lösung für den Linux Desktop, die auch nur annähernd an das Sicherheitsmodell von ChromeOS und Android heran kommt und gleichzeitig noch gut benutzbar bleibt, möchte ich mal sehen.
Was Du suchst, könnte FydeOS sein:
FydeOS basiert ja auf ChromiumOS. Ich hatte @Dennis77 so interpretiert, dass er mit seinem Kommentar ein „normales“ Desktop Linux meint, nicht einen ChromiumOS- oder AOSP-Fork. Hast du zufällig Erfahrung mit FydeOS?
Wäre mir auch nicht bekannt (am ehesten noch QubesOS, aber da scheiterts an der Benutzbarkeit für 0815-Anwender) und zwar aus gutem Grund:
Am Ende des Tages reden wir doch über Systeme für völlig verschiedene Anwendungszwecke:
- Arbeite ich in der Cloud und benutze das Gerät quasi ausschließlich als Internetzugang (Netbook), dann funktioniert ein System wie ChromeOS/FydeOS für mich wunderbar und kann seine Stärken ausspielen
- Benutze ich das Gerät dagegen zum lokalen Arbeiten, ist ChromeOS schlicht ungeeignet. Da ist es ja systemimmanent, dass Programme Zugriff aufs gesamte Dateisystem haben. Letztlich brauchen das ja auch die allermeisten Programme und wenn ich das limitieren will, weil ich einem Programm nicht traue, dann gibt es auch Lösungen, aber wie hier bereits korrekt festgestellt wurde, aktuell nicht für Otto-Normal-Anwender weil Flatpak werkseitig meist zu lax konfiguriert ist (eben wegen der Benutzbarkeit).
Ein Zugriff auf das gesamte Dateisystem sollte nicht erforderlich sein. Das hat sich nur dadurch eingebürgert, weil die Entwickler der Programme es einfach gewöhnt waren und es einfach war. Hätte es eine Kraft wie Google im Linux-Desktop-Bereich gegeben, die Apps in ein Sandboxingsystem zwingt, sähe das ganz anders aus. Zugriff auf sensible Daten, wie Benutzerdateien, gäbe es dann nur über feingranulare, dafür vorgesehene APIs und Broker die den Zugriff kontrollieren und den Nutzer situativ um Erlaubnis fragen. Wenn das gut gemacht ist, kann man nahezu alle Anwendungsfälle abdecken und Sicherheit mit Benutzbarkeit kombinieren.
Fände ich auch gut, glaube aber nicht daran, dass sich das durchgesetzt hätte oder heute durchsetzen würde.
Man erinnere sich an die Reaktionen auf die UAC unter Vista oder den Umgang der meisten mit Cookie-Bannern. Schon auf Android machen die wenigsten die ich kenne wirklich vom Berechtigungsmanagement gebrauch und nicken vielmehr alles einfach ab, weil es sie nervt.
Hat jemand hier in der Runde FydeOS im Einsatz? Wenn ja, als Haupt-OS oder als Zweit-OS? Mich würden ebenfalls Erfahrungen interessieren.
1 „Gefällt mir“
Der einzige Punkt in Sachen Datenschutz ist, es ist nicht Chrome. Mit einem Browser seiner Wahl ist man aus dem Crostini-Containter für mich genauso gut aufgestellt wie bare-metal debian, v.a. wenn dort im Browser (oder containerweit) VPN läuft.
Zum Android-Container kann ich nichts sagen.
Chromebooks sind super, ich mag die Philosophie die dahinter steckt möglichst wenig lokal zu speichern, das Gerät ist im Prinzip nur ein sicherer Cloudzugang, hier eben mit der gcloud und Chrome realisiert. V.a. das Ding läuft einfach problemlos.
Wenn man - mehr oder weniger geplant - gerätespzifisch (i5 cpu) oder weil die EOL erreicht ist das Gerät in eine Linux-Kiste verwandelt um dort z.B. e2e verschlüsselten Cloudzugang zu realisieren oder einen anderen Grund (die Szene ist bei Reddit zu finden: r/chrultrabook) hat ist Spielerei und sicher nicht für den professionellen Einsatz geeignet.
Die Möglichkeit zu erwähnen sollte der Vollständigkeit halber in den Thread.
Nie gehört, aber das schau ich mir gerne an.
Habe nur die gcloud durch eine verschlüsselte cloud auf arch ersetzt, sonst nichts mit der ultrabook oder ricer Szene zu tun.
Anmerkung: habe keine Ahnung wie in deutschsprachigen Foren mit dem Wort “ricer” umgegangen wird. Da gibt es eine Diskussion