Apps- und Speicherbereiche auf Android isolieren

Auf Android können User- und Arbeitsprofile genutzt werden um Apps und Speicherbereiche von einander zu trennen. Jedes dieser Profile hat einen eigenen Dokumenten- oder Medienspeicher, Kontakte und Kalender. Die Nutzung von zusätzlichen Profilen kann besonderes da nützlich sein, wo eine App nicht ohne Zugriff auf einen oder mehr dieser Bereiche funktioniert, man jedoch nicht gleich Zugriff auf alle Bilder/Kontakte/… gewähren möchte, oder wenn man dieselbe Messenger-App für verschiedene Telefon-Nummern installieren möchte.

Jedes User- oder Arbeitsprofil hat auch seine eigenen VPN-Einstellungen. Das erlaubt es auch, verschiedene Profile parallel mit verschiedenen VPN-Optionen oder -Anbietern zu nutzen.

Nur bei CalyxOS kann das Eigentümerprofil optional einen „globalen“ VPN festlegen, über den der Datenverkehr aller Profile geleitet wird.

1. Userprofile

Jedes User-Profil ist mit einem eigenen Sperre (Muster/PIN/Passwort) gesichert und der Speicherbereich mit dieser Sperre verschlüsselt, wenn eine gesetzt ist.

1.1 Funktionen

Man muss hin- und her switchen um es zu nutzen und bei jedem Wechsel den jeweiligen User von neuem Entsperren. Das kann umständlich sein, kann aber auch von Vorteil sein: So kann ich etwa einer Person mein Telefon mit einem entsperrten Zweit-User reichen, ohne Zugriff auf mein reguläres Profil zu gewähren.
Die Daten zwischen den Userprofilen zu übertragen ist ohne zusätzliche Apps zur Datensynchronisierung nicht möglich: Einfach rüberkopieren wie von einem Ordner in einen anderen geht nicht.
Der „Eigentümer“-User kann den anderen User-Profilen die Verwendung das Tätigen von Anrufen oder SMS per Mobilfunk verbieten.

Bei GrapheneOS kann eingestellt werden dass Benachrichtigungen in anderen Userprofilen angezeigt werden.

1.2 Userprofile verwalten

Die Userprofile können vom Eigentümer-Nutzern über Einstellungen > System > Nutzer verwaltet werden.

2. Arbeitsprofil

Das Arbeitsprofil ist ein Profil „innerhalb“ eines Userprofils. Pro Userprofil kann jeweils nur ein Workprofile aktiv sein, nicht mehr.

2.1 Funktionen

Kein extra Login über Sperrbildschirm nötig: Workprofil-Apps sind über das App-Menü desjenigen Users verfügbar, für den das Arbeitsprofil genutzt wird.
Daten aus dem „regulären“ Profil können einfach über das „Teilen“-Menü mit Apps im Arbeitsprofil geteilt werden: Z.B. kann man Bilder in der „regulären“ Gallerie-App auswählen und mit einem Messenger das im Arbeitsprofil installiert ist versenden.

2.2 Arbeitsprofile verwalten

Das Arbeitsprofil ist nicht standardmäßig verfügbar. In der Regel muss eine App zur Verwaltung des Arbeitsprofils nachinstalliert werden, z.B. Shelter. Hier findest du eine ausführliche Anleitung zur Nutzung von Shelter.

Beim alternativen Android-Betriebssystem CalyxOS ist eine App zur Verwaltung des Workprofils bereits vorinstalliert.

3. Storage Scopes (Nur für GrapheneOS)

Nur beim Google-freien Betriebssystem GrapheneOS ist es außerdem möglich einer App beim Gewähren von Speicherzugriffsrechten einen „Scoped Storage“ (unterteilten Speicher) zuzuweisen. Dabei wird der App vorgegaukelt Zugriff auf bspw. die gesamten Bilder-Dateien zu gewähren, während die App tatsächlich nur Zugriff auf die Dateien in einem ausgewählten Unterordner erhält:

Sichtbar für eine App mit bei regulärem Zugriff auf Mediendateien:

-> Hauptspeicher
  -> Bilder
    -> Screenshots
      -> Example.png
    -> Camera
      -> Example.png
  -> Downloads
    -> Example.png
    -> Example.mp3

Sichtbar für eine App mit „scoped“ Zugriff auf Mediendateien in „Downloads“
```
-> Hauptspeicher
  -> Downloads
    -> Example.png
    -> Example.mp3
```

Eine ausführliche Dokumentation zu dem Feature findet sich im Usage-Guide von GrapheneOS.