hab ich doch im OP geschrieben, das Teil soll nur Medien aus dem lokalen Netzwerk streamen.
Ich wohn am Land, wir haben hier nur kack internet, für 4K streams usw. reicht das nicht wirklich, drum nehm ich Blurays. Ausserdem mach ich amateurfotografie und videos in HDR, und Windows spielt so zeug net gescheit ab drum jetzt son streaminggerät.
Ok, welche Logindaten sind dann so sensibel, dass eine zusätzliche Verschlüsselung eingerichtet werden muss?
Naja z.B. die Passwörter für die Netzressourcen.
Natürlich ist das Ding keine riesen Sicherheitslücke.
Hab aber halt auch sportlichen Ehrgeiz.
Es geht hier um die technischen Möglichkeiten, nicht um Sinn oder Unsinn der Maßnahme an sich.
Da sind leider keine vorhanden. Zumindest nicht für eine FDE. Du kannst höchstens per Drittapp persönliche Medien im Speicher per sicherem Ordner schützen.
Ja, FDE ging ich ja von anfang an nicht von aus.
Die Daten, die die apps so aufschreiben, die hätt ich gern verschlüsselt. Persönliche Medien werden nicht aufs gerät kommen, das is wie gesagt nur zum streamen aus dem LAN gedacht.
Ich lese hier ganz deutlich raus, dass du mit Android generell absolut nicht vertraut bist.
Betrachten wir zunächst deine Datenpartition im Gesamten: Um Zugriff von außen zu bekommen, muss physischer Zugang zum Gerät vorhanden sein. Sollte das geschehen, kann man die Daten nicht auslesen, weil sie von Hause aus verschlüsselt sind und das sogar sehr gut. Eine Brute Force-Atracke könnte bei der besten Hardware mehrere tausend Jahre in Anspruch nehmen, um die Verschlüsselung zu knacken. Da wird man doch eher auf Exploits oder Software wie Cellebrite zurückgreifen müssen, die nicht viele Personen besitzen. Davon mal abgesehen, dass solche Personen kein Interesse an deiner TV Box haben.
Dieses Szenario können wir wohl ausschließen, da du keine Person von öffentlichem Interesse bist, die Staatsgeheimnisse besitzt.
Nun zu deinem internen Speicher und der Handhabung von Appdaten innerhalb des Android OS: Android verwendet ein Sandbox-System. Das bedeutet, durch die Verwendung von Linux-Zugriffsrechten ist es Apps nicht gestattet, die Appdaten anderer Apps zu lesen. Eine App kann ausschließlich auf die eigenen Appdaten zugreifen. Dies kann nur durch Rootrechte ausgehebelt werden, die per se nicht in Android integriert sind. Es gibt schlichtweg keine Binary „su“.
Also brauchst du nicht zu steuern, wie und wo die Appdaten landen. Du kannst es auch nicht, weil dir die Zugriffsrechte dazu fehlen. Du kannst noch nicht einmal auf /data, geschweige denn auf die darunterliegenden Ordner mit den Appdaten zugreifen.
Selbst dein Zugriff auf den internen Speicher (der physisch /data/media/* ist), wird im Android OS durch ein temporär gemountetes Dateisystem namens /storage/emulated/* geregelt. Aus diesem Dateisystem kommst du nicht raus, um auf /data oder die Unterordner zuzugreifen. Es geht nicht.
Jetzt meine Frage: Wovor willst du dich schützen? Weder du noch Dritte sind in der Lage, auf deine Appdaten zugreifen zu können.
Mit Verrenkungen habe ich das schon geschafft.
OT:
WireGuard bzw. NetGuard hat bisher nur bei einem der Teile nicht funktioniert. MDM-Software geht auch nicht immer.
So, erstmal Danke für die ausführliche Erklärung von Android! 
Ja, ich kenn mich mit Android quasi gar nicht aus.
Das klingt schonmal alles sehr gut.
Also ich hab mittlerweile meinen managed switch hier und werd morgen nen VLAN/Port Isolation einrichten, so dass die Android Box gar nicht mehr bis zum Gateway kommt.
Da die Box ansonsten wie gesagt eh nicht mit dem internet kommunizieren wird ausser fuer das einmalige Downloaden von Apps wie KODI fürs Medienstreaming im Heimnetz sollte das System gegen Angriffe aus dem Netz schonmal recht gut geschützt sein.
Ansonsten zu deiner Frage:
Mir gehts tatsächlich primär um Schutz vor einem Angreifer mit physischem Zugriff auf das Gerät. Eine quasi „Air Gap“ ist zwar keine wasserdichte Lösung gegen Angreifer aus dem netz, denn vermutlich wird die Box sehr selten mal ans netz duerfen fuer ein Update.
Aber es ist gut genug, es sind ja keine hochsensiblen Daten, aber dennoch will ich eben einen sehr guten Schutz herstellen.
Der Physische Zugriff wäre weiterhin möglich, da ich bisher noch keine gute Option gefunden habe ein Passwort auf dem Gerät einzurichten.
Denn wenn ich deinen Beschreibungen folge, dann sind die Daten verschlüsselt und ohne dass jemand entweder an den Schlüssel herankommt oder eben einfach das Gerät im „geöffneten Zustand“ in die Finger bekommt kriegt er keine Daten raus - ausser verschlüsseltem Gibberish.
Aber da das Gerät wie gesagt bisher keinen Passwortschutz hat würde es reichen, wenn jemand die Box mopst und dann einfach bei sich einschaltet. Das Gerät fährt hoch und er/sie/es koennte auf alles zugreifen, da das System einfach offen daliegt ohne Passwortschutz oder vergleichbares.
Hierfür würde ich gerne eine Lösung finden ^^
Du hast dort schon keine Lösung bekommen
https://www.computerbase.de/forum/threads/verschluesselung-fuer-android-tv-box.2236063/
und hier wirst du auch keine bekommen, weil es nicht möglich ist. Google hat leider den Use Case nicht in Betracht gezogen, dass jmd eine Android TV Box bei dir zu Hause klaut und dadurch sensible Daten stehlen könnte. Vermutlich deswegen, weil die Häufigkeit solcher Fälle gegen Null tendiert.
Davon abgesehen, wird eine App von Dritten nie Schutz bieten können, weil sie viel zu leicht auszuhebeln ist. Ich muss einfach nur den abgesicherten Modus starten und schon sind alle Drittapps deaktiviert und damit wäre dein Schutz wirkungslos.
Wenn du wirklich Leute in dein Haus/Wohnung lässt, die die Absicht haben, dich zu beklauen, dann ist deine Android TV Box doch wohl das allerkleinste Problem, oder nicht? 
Ich denke, so was hier würde dir mehr Schutz bieten:
https://www.obi.de/p/1353895/cmi-geldkassette-gross?wt_mc=ogs…
Höhö diese kleinen Metallwürfel sind eher als Honigtopf geeignet wo man was reinlegt was den Einbrecher dazu bringt schnell wieder abzuhauen ehe er an wirklich wertvolle Sachen rankommt
Bei Tresoren muss man schon beim Fachmann kaufen und tief in die Tasche greifen. Sonst zeigen die nur „hier liegen die wertsachen, bitte mitnehmen“.
Noch ein letztes mal zum Thema:
Okay, also ne wirklich gute Lösung krieg ich mit so ner android box also nicht.
Sagen wir mal ich lösche regelmäßig die App Daten. Also Ich setz die App etwa zurück oder sag eben „bitte lösche alles was du so angelegt hast“.
Diese gelöschten Daten sollten dann doch, wenn ich deine Erklärung des Sandbox Systems richtig verstanden habe, auch im eingeschalteten Zustand quasi „unlesbar“ sein?
Denn sie werden ja nicht mehr durch die App angesteuert und entschlüsselt?
Die Schlüssel sind nicht pro App, sondern pro Benutzerprofil.
okay, dacht ich mir fast
Du wirfst hier einiges durcheinander.
Das Sandbox System wird durch linuxbasierte Zugriffsrechte gesteuert und hat nichts mit der Verschlüsselung zu tun. Apps können aufgrund der Zugriffsrechte nur auf die eigenen Appdaten zugreifen und mehr nicht.
Die Verschlüsselung bezieht sich auf die gesamte Datenpartition und nur auf diese. Systempartitionen sind nicht verschlüsselt.
Auf der Datenpartition befindet sich z.B. auch der interne Speicher, der nicht durch das Sandbox System geschützt ist. Hier darf jede App auf die gespeicherten Daten zugreifen, sofern sie die Berechtigung dazu hat.
Werden Daten innerhalb des Sandbox Systems (geschützter Appbereich) oder aber auch im internen Speicher gelöscht, sind sie aufgrund der Verschlüsselung weg, da alle aktuellen Versionen von Android mit einer Filebased Encryption arbeiten. Dadurch werden die Rohdaten, die auf die Datenpartition geschrieben werden, einzeln mithilfe eines eigenen Keys, der vom Master Key abgeleitet wird, verschlüsselt.
Werden Daten gelöscht, wird der Eintrag in der Partitionstabelle gelöscht und damit auch der entsprechende Key, weil er nicht mehr benötigt wird. In einem Dateibrowser ist also die Datei nicht mehr auffindbar und somit weg.
Du kannst aber auch mit den Rohdaten (sofern Zugriff durch einen geöffneten Bootloader besteht) nichts anfangen, weil diese ja verschlüsselt sind und der Key nicht mehr existiert.
Also ja, die gelöschten Daten sind unlesbar. Aber eben nur aufgrund der hier genannten Punkte.
Danke, sehr aufschlussreich!
Gibt es eine Möglichkeit herauszufinden, ob eine App ihre Daten ins Sandbox system schreibt oder in den ungeschützten internen Speicher?
Bisher ging ich davon aus, dass der interne Speicher nur für Daten wäre, die ich von aussen selbst ins System einführe, bspw. Mediendateien.
In den Systembereich wird vermutlich nur das Betriebssystem schreiben, bspw. Ereignisprotokolle o.ä? Kodi bspw. wird wohl kaum was in den Systembereich schreiben oder? xD
Eine App speichert ihre Appdaten immer im geschützten Bereich. Ausnahmen sind die Daten, die du explizit über die App selbst im internen Speicher speicherst, wie z.B. bearbeitete Bilder etc.
Das ist einer der Verwendungszwecke neben s.o.
Systembereich ist hier der falsche Begriff. Bis auf die Datenpartition werden alle anderen Partitionen als Systempartitionen bezeichnet. Nicht jede Systempartition stellt ein Dateisystem dar, quf dem sich Daten speichern lassen. Manche Partitionen sind auch ganz einfach nur Binaries, die ausgeführt werden, wie z.B. der Bootloader. Aber alle Systempartitionen sind schreibgeschützt.
Allerdings gibt es auf der Datenpartition bestimmte Verzeichnisse, auf die nur das Betriebssystem zugreifen kann. Dort werden z.B. die Systemeinstellungen gespeichert.
Prinzipiell wird auf der Datenpartition alles gespeichert, was nach dem ersten Boot (sei es nach Kauf oder nach einem Reset) an Daten anfällt.