Hi! Ich kann leider nicht alles perfekt beantworten, aber ein paar Ideen habe ich:
Benutzerprofile
Die Idee, verschiedene Apps auf verschiedene Profile zu verteilen, ist grundsätzlich super! Genau dafür sind sie schließlich da. Ich bin mir nicht ganz sicher, ob ich deinen Plan komplett verstanden habe, also prophylaktisch oder auch für eventuelle andere Lesende, eine kleine Warnung: Man sollte aufpassen, es nicht zu übertreiben. Auch wenn man auf GrapheneOS relativ gut mit verschiedenen Profilen arbeiten kann, kann es doch etwas aufwendig werden. Zugegeben, da spreche ich aus Erfahrung.
Kompartmentalisierung Methodik
Der optimale Grad der Kompartmentalisierung variiert individuell. Wenigstens ein grobes Grundkonzept, bestenfalls orientiert an einem Threat Model, dürfte aber meistens sinnvoll sein. Isolation als Selbstzweck macht spätestens dann keinen Spaß mehr, wenn man das zwanzigste Profil mit jeweils einer App einrichtet, während der Aluhut immer heißer glüht. Mein Vorschlag ist, vom Grundgedanken her nach Anwendungsbereichen (Privat/Arbeit/Pseudonym/Anonym), Privatsphärenschutz (Sandboxed Google Play/kein Google) und/oder Sicherheitsrisiko zu gliedern. Bei den meisten dürfte der Hauptfaktor schlicht sein, ob Google Play Services (z. B. für Banking Apps oder Push-Benachrichtigungen) installiert sind.
Eine Idee ist, das Administratorprofil nicht großartig zu benutzen und stattdessen für verschiedene use cases entsprechende Profile zu haben. Das verstärkt die Isolation und Sicherheit. Außerdem hat man damit die beste Kontrolle darüber, was wann läuft und was nicht. Viel mehr Aufwand ist es nicht, aber ob es den Wert ist, muss jeder selbst wissen.
Aurora / F-Droid
Worauf ich hinaus will (falls ich es richtig verstanden habe): Ich sehe nicht unbedingt einen Grund, aus dem man prinzipiell Aurora und F-Droid in verschiedene Profile aufteilen sollte. Weder Aurora noch F-Droid benötigen Google Play Services und beide sollten keine Daten an Google leaken. Falls du einzelnen Apps misstraust, kannst du in beiden Fällen die Berechtigungen entsprechend einschränken. Wenn Apps Privatsphäre- oder Sicherheitsrisiken darstellen, ist die Verwendung eines separaten Profils zweifelsohne ratsam, aber das hat erst einmal nichts mit Aurora / F-Droid zu tun. Du kannst es aber auf jeden Fall trotzdem so machen, ich möchte dir da nicht in die Parade fahren:) Ich dachte nur, ich gebe es mal zu bedenken.
App Downloads
Aurora
Aurora ist im Prinzip der Playstore, aber es werden weniger Daten an Google gesendet, und die sind dann dafür anonymisiert. Es könnte so schön sein, aber leider hatte Aurora in der letzten Zeit immer wieder technische Probleme. Wenn für dich alles funktioniert, gibt es keinen Grund zur Sorge, und ich glaube, es gibt sogar Updates im Hintergrund. Schau einfach nach einer Woche mal nach, ob die Updates geklappt haben oder nicht.
Gekaufte Apps
Ich habe selbst noch nie versucht, gekaufte Apps über Aurora herunterzuladen. In der Theorie solltest du dich in Aurora mit deinem Google Account anmelden und sie damit dann herunterladen können. Updates sollten dann wieder ganz normal funktionieren. Da viele gekauften Apps aber Google Play Services zur Verifizierung deines Kaufes zu benötigen scheinen, kann es gut sein, dass die App dann am Ende doch nicht funktioniert. Für diese Art von Apps, wie auch Banking Apps, ist die Lösung dann tatsächlich einfach Google Play Services in einem separaten Nutzerprofil.
Updates & Sicherheit
Updates sind leider ein allgemeines Problem, da sie auf F-Droid nicht automatisch funktionieren. Du bekommst dann eine Benachrichtigung, muss die App öffnen und manuell updaten. Das ist schlecht und deswegen gibt es auch in der letzten Zeit vermehrt Bestrebungen, eine Lösung zu finden. Hat man ohnehin GrapheneOS, ist es in vielen Fällen legitim, einfach Sandboxed Google Play zu benutzen. Damit braucht man sich auch mit den restlichen Sicherheitsproblemen von F-Droid nicht herumzuschlagen. Was Google am Ende bekommt, ist nicht sonderlich viel und lässt sich auch weiter einschränken. Spätestens sobald die Netzwerkberechtigung entzogen ist, spioniert es sich relativ schlecht. Dafür bietet es verbesserte Nutzbarkeit und Sicherheit. Mag einigen nicht in den Kram passen, kann ich auch verstehen, eine Überlegung ist es aber wert. Dafür gibt’s diese Funktion schließlich. Zu dem Thema noch ein paar Links:
https://discuss.privacyguides.net/t/benefits-using-neostore-instead-of-fdroid-auroradroid/4493
https://discuss.privacyguides.net/t/best-ways-to-obtain-apps-on-android-and-is-revoking-the-network-permission-enough-grapheneos/1952/3
https://discuss.grapheneos.org/d/4689-any-actual-reason-why-i-shouldnt-install-sandboxed-google-play-services/17
Accrescent
Es gibt aber noch weitere Möglichkeiten wie Accrescent. Von der Webseite:
Accrescent is a private and secure Android app store built with modern features in mind. It aims to provide a developer-friendly platform and pleasant user experience while enforcing modern security and privacy practices and offering robust validity guarantees for installed apps.
Accrescent, ist sicher, quelloffen und gut aussehend;) Das Problem ist, dass es bisher kaum Apps gibt.
Obtainium
Bis sich das ändert, benutze und empfehle ich den Gewillten für alles andere Obtainium.
Get Android App Updates Directly From the Source. Obtainium allows you to install and update Apps directly from their releases pages, and receive notifications when new releases are made available.
Obtainium ist aktuell etwas komplizierter, aber hat großes Potenzial. Der Gedanke ist, dass du dir die Apps direkt von den Entwicklern runterlädst. Das klappt normalerweise über einen GitHub-Link, den du einmal in die App reinkopieren musst.
Es werden aber noch viel mehr Quellen unterstützt, inklusive beispielsweise F-Droid (offiziell und third party repos), APKPure oder Websitedownloads. Das bedeutet, dass du alle Apps über Obtainium runterladen kannst, egal ob F-Droid, Playstore, GitHub oder ganz wild aus dem Internet.
Es gibt hier auch noch keinen (zuverlässigen) unattended update support, aber das Projekt ist recht neu und macht quasi täglich Fortschritte. Hier auch nochmal ein Link:
https://discuss.privacyguides.net/t/obtainium-android-app-downloader/295
Cloud Synchronisation
Da habe ich nicht viel Erfahrung mit. Da ich jeder Apps über Storage Scopes nur Zugang zu einem eigenen Ordner gebe, ist automatische Synchronisation nur begrenzt möglich. Je nach Datei schiebe ich es deswegen einfach in Proton Drive, oder mach es manuell mit USB-Stick. Syncthing wäre eine weitere Option, aber ich vermute, dass Cryptomator für deine Anwendung besser geeignet ist.
Wahrscheinlich weißt du es ohnehin besser als ich:)
Backup
Hab’ ich noch nie gemacht, aber es gibt eine entsprechende Funktion unter Settings/System/Backup. Vielleicht findest du diesen Link aufschlussreich:
https://discuss.grapheneos.org/d/15-how-do-i-backup-my-phone
Abschluss
Ich hoffe, ich konnte dir ein wenig helfen. Wenn es anfangs etwas viel ist, kannst du dich dem ganzen auch Schritt für Schritt nähern. Meiner Erfahrung nach ist es besser, einzelne Aspekte erst zu verstehen und in der Nutzung eine langfristig gute Lösung zu finden (die man natürlich trotzdem noch nachjustieren kann), bevor man sich dem nächsten Problem annimmt. Geht aber natürlich auch anders.
Egal auf welchem Level du dich bewegen solltest, GrapheneOS bietet dir aktuell überall so ziemlich das Optimum. Und wenn es wirklich mal hakt, gerne im GrapheneOS Discussion Forum (GOS Usage Guide), anderen Foren wie Privacy Guides (PG Knowledge Base / Recommendations) oder einfach bei mir nachfragen!^^