secure-os.org
Alle AnleitungenQubes OSTailsWhonixGehärtetes LinuxFestplattenverschlüsselungBedrohungsmodell
linux

Wayland vs X11: Was ist sicherer? (2026)

secure-os· Aktualisiert 9. Juli 2026· 3 Min. Lesezeit #linux#wayland#x11#hardening
Ein Code-Editor-Fenster auf einem Bildschirm in warmem Licht

Auf einem sicherheitsorientierten Linux-Desktop entscheidet eine Komponente leise, ob eine App eine andere ausspähen kann: der Anzeigeserver. Jahrzehntelang war das X11 (das X Window System), in den 1980ern ohne jede Isolation zwischen Programmen entworfen. Wayland ist der moderne Ersatz, genau dafür gebaut. Hier ist, was jedes tut, die ehrlichen Vorbehalte und warum ein gehärteter Desktop Wayland bevorzugen sollte.

Das Kernproblem von X11

X11 wurde für eine Welt vertrauenswürdiger Programme auf einer geteilten Maschine gebaut, also gibt es jeder verbundenen App Zugriff auf fast alles auf deinem Bildschirm. Unter X11 kann jedes laufende Programm per Design:

  • Jeden Tastenanschlag protokollieren, den du in einem beliebigen Fenster tippst, ohne besondere Rechte.
  • Den Inhalt jedes anderen Fensters erfassen, einschließlich eines Passwortmanagers oder eines Banking-Tabs.
  • Synthetische Eingaben einschleusen in andere Anwendungen, klickend und tippend, als wärst du es.

Das ist kein Fehler - so funktioniert X11, und Standardwerkzeuge wie xdotool und xinput bauen darauf. Die Folge für die Sicherheit ist ernst: eine einzige bösartige oder kompromittierte App in einer X11-Sitzung kann alles andere, was du tust, beobachten und steuern.

Ein Code-Editor-Fenster auf einem Bildschirm - unter X11 kann jede andere laufende App den Inhalt dieses Fensters und deine Tastenanschläge lesen.

Wie Wayland das ändert

Wayland dreht den Standard um. Eine Wayland-App kann normalerweise nur ihre eigenen Fenster und die an sie gerichtete Eingabe sehen - nicht die Fenster anderer Apps und nicht deine globalen Tastenanschläge. Der Compositor vermittelt alles, es gibt also kein geteiltes Freibad. Einen Screenshot zu machen oder deinen Bildschirm zu teilen erfordert ein explizites Portal (über xdg-desktop-portal), das um deine Zustimmung bittet.

Das zählt mehr, als es zunächst scheint. Anwendungs-Sandboxes wie Firejail und Flatpak sind nur so stark wie die Anzeigeschicht darunter: unter X11 kann eine gesandboxte App weiterhin über den Anzeigeserver Tasten protokollieren und den Bildschirm abgreifen und die Sandbox leise aushebeln. Wayland schließt diesen Fluchtweg.

Eine beleuchtete Tastatur unter einem terminalartigen Bildschirm - unter X11 kann jedes laufende Programm still jede Taste protokollieren, die du drückst; Wayland blockiert das standardmäßig.

Die ehrlichen Vorbehalte

Wayland ist eine echte Verbesserung, kein Zauberschild. Sei dir über die Grenzen im Klaren:

  • XWayland. Viele Apps laufen weiterhin über XWayland, eine X11-Kompatibilitätsschicht. Apps innerhalb von XWayland können sich weiterhin gegenseitig ausspähen - aber nicht native Wayland-Apps. Halte sensible Apps auf nativem Wayland, wo du kannst.
  • Manche Werkzeuge brauchen breiten Zugriff. Bildschirmrekorder, Remote-Desktop, Automatisierung und Barrierefreiheitswerkzeuge brauchen berechtigt mehr. Dafür gibt es Portale, aber die Erfahrung ist rauer als X11s Alles-erlaubt-Modell.
  • Es ist Anzeige-Isolation, keine Prozess-Isolation. Wayland stoppt das Ausspähen von Bildschirm und Tastatur; es stoppt nicht eine bösartige App, die als dein Benutzer läuft und deine Dateien liest. Kombiniere es mit einer Sandbox und einem klaren Bedrohungsmodell.

Welche Desktops standardmäßig Wayland nutzen

Auf modernen Distributionen nutzen GNOME und KDE Plasma standardmäßig Wayland (Fedora, aktuelles Ubuntu und andere). Manche Setups starten weiterhin eine X11-Sitzung - ältere Installationen oder bestimmte, weitgehend gelöste Treiber-Sonderfälle. Du kannst deine Sitzung prüfen mit:

echo $XDG_SESSION_TYPE   # gibt "wayland" oder "x11" aus

Solltest du wechseln?

Für einen sicherheitsbewussten Desktop ja: bevorzuge eine Wayland-Sitzung und führe sensible Apps nativ statt über XWayland aus. Es entfernt eine ganze Klasse alltäglichen Ausspähens und ergänzt den Rest deines Setups - Vollverschlüsselung der Festplatte, Anwendungs-Sandboxes und die Maßnahmen in unserem Linux-Hardening-Leitfaden. Betrachte es als eine bewusst gewählte Schicht, keine Wunderwaffe.

Das Fazit

X11s offenes Design lässt jede App deinen gesamten Desktop beobachten - deine Tastenanschläge und jedes Fenster. Wayland schließt das, indem es Apps isoliert und Bildschirmaufnahme hinter explizite Zustimmung stellt. Bevorzuge Wayland, halte sensible Apps von XWayland fern und kombiniere es mit einer Sandbox und einem Bedrohungsmodell. Es ist kein Allheilmittel, aber es beseitigt einen der einfachsten Wege für eine schlechte App, alles auszuspähen, was du tust.