Hallo Klaus,
ich möchte sie beenden, da ich den zweiten Nutzer gerade nicht verwende. Letztendlich möchte ich unterbinden, dass im Hintergrund Daten gesendet werden, sofern dies auf einem nicht gerootetem Gerät überhaupt funktioniert. 
Zumindest stelle ich mir vor, einen User der nicht verwendet wird, sollte auch keine Software, Dienste oder ähnliches im Hintergrund laufen haben.
Ich hoffe, es ist klar was ich meine.
Hallo Mark,
das Arbeitsprofil sollte die Funktion bieten, die Du suchst. Dort gibt es die Option, einzelne Apps oder das Profil als ganzes einzufrieren („Freeze“). Nach meiner Erfahrung geht von einer eingefrorenen App keine Aktivität mehr aus und sie ist auch nicht mehr als installierte App für das System oder andere Apps sichtbar. Inwieweit die Funktion innerhalb des Arbeitsprofils verfügbar ist, hängt von der Implementierung des Arbeitsprofils ab. Auf dem Samsung Tablet, über den ich den Artikel schrieb, ist das Arbeitsprofil über die App Shelter aktiviert. Über Shelter kann ich einzelne Apps einfrieren. Auf einem Smartphone mit CalyxOS hatte ich das Arbeitsprofil über die Calyx-Arbeitsprofilapp aktiviert. Dort habe ich keine Funktion gefunden einzelne Apps einzufrieren. Für das ganze Profil geht es aber.
Ich fürchte bei regulären Nutzerprofilen gibt es diese Funktion nicht. Du könntest versuchen Apps zu Deaktivieren, die Du stilllegen willst. Das müsste auch unter Erhaltung der Appdaten möglich sein. Der Vorteil der Freezefunktion im Arbeitsprofil ist, dass die Apps nach einem Unfreeze wieder in dem Zustand starten, in dem sie eingefroren wurden, d.h. es gehen keine Einstellungen, Nutzerdaten verloren.
Danke Maetih, dann werden ich das Arbeitsprofile nutzen. Hatte ich mir irgendwie schon gedacht.
Ich stoße allerdings auf ein anderes Problem. Shelter will sich nicht einrichten lassen. Ich muss irgendwas deinstalliert haben, was shelter braucht. Denn nach einem Werksreset funktioniert es.
Hat jemand zufällig eine Idee, welchen Dienst/Service ist deinstalliert haben könnte, der aber Voraussetzung für shelter ist?
Danke Euch.
Hallo Mark,
eine notwendige Systemapp fürs Arbeitsprofil heißt com.android.managedprovisioning. Daneben kann es weitere geben, die herstellerabhängig sind. Bei Samsunggeräten muss ein Teil des Knoxdienstes vorhanden sein, z.B. com.samsung.android.knox.containercore. Mit Gigasetgeräten habe ich leider keine Erfahrung. Zu beachten ist, dass manche Hersteller das Arbeitsprofil gar nicht oder verbugged implementieren - siehe z.B. die Warnungen in Shelter.
Grundsätzlich würde ich empfehlen zuerst das Arbeitsprofil (und weitere Nutzerprofile) einzurichten und erst danach das Debloaten durchzuführen. Bloatapps müssen ohnehin in allen Profilen entfernt werden. Es geht am zügigsten, wenn das parallel durchgeführt wird.
Das Arbeitsprofil ist zwar nur ein weiteres Nutzerprofil, aber ein besonderes. Es wurde nicht für Freunde der Privatsphäre entwickelt, sondern für das Mobile Device Management von Firmen, damit Firmenadministratoren dieses Profil Remote steuern, kontrollieren und den Nutzer einschränken können. Systemapps, die mit dem Mobile Device Management zusammenhängen, sollten also nicht entfernt werden, wenn das Arbeitsprofil funktionieren soll, also die genannten Knox Apps bei Samsung.
Zuletzt hängt das Funktionieren des Arbeitsprofils auch davon ab, wie es eingerichtet wurde. Ich hatte z.B. Probleme WhatsApp in einem unter CalyxOS mit Shelter eingerichteten Arbeitsprofil zum Laufen zu bringen. Nachdem ich das Arbeitsprofil mit der CalyxOS eigenen Arbeitsprofilapp aufgesetzt hatte, funktionierte es.
Zum Aufsetzen des Arbeitsprofils gibt es neben Shelter die App Island/Insular, bei manchen Androidversionen systemeigene Apps wie die für CalyxOS genannte und einen ADB-Befehl: pm create-user [username] erzeugt ein normales Nutzerprofil, pm create-user --profileOf 0 --managed Work ein Arbeitsprofil.
Vielleicht klappts mit einer der beschriebenen Methoden 
So, ich habe mal getestet.
Auf meinem Gigaset X6 benötigt Shelter die folgenden Dienste:
Ohne diese zwei Dienste will Shelter kein Arbeitsprofil einrichten. 
Was schon mal interessant ist, Insular funktioniert und richtet das Arbeitsprofil ein. Ich hätte zwar lieber Shelter bentutzt, aber dann muss es halt Insular sein.
Zur Info:
Das Gigaset X6 wurde ausschließlich mit Google-Apps ausgeliefert. Ich musste sogar für den Dateimanager AGB’s aktzeptieren. Das ist für mich der Grund, das Handy dann doch soweit wie möglich zu debloaten. Was ich gut finden, sowohl Shelter und auch Insular bieten mir die Möglichkeit das Arbeitsprofil aus- und wieder einzuschalten. Das finde ich praktisch, da ich damit alle Apps gleichzeitig deaktiviere. Dies führt dazu, dass auch in den „Entwickleroptionen“ unter „Aktive Dienste“ keine Dienste mehr in einem anderen Nutzerprofil aktiv sind (zumindest werden sie nicht mehr aufgelistet).
Hallo Mark,
das ist interessant. Bei den beiden Apps handelt es sich um den Kern der Google-Dienste (Play Services, Service Framework). Unter dem Samsung Stock-ROM und diversen Custom-ROMs wie CalyxOS, unter denen ich schon Arbeitsprofile eingerichtet habe, hat das problemlos ohne diese Google-Dienste funktioniert. Die Frage ist, ob diese Eischränkung beim Gigaset vom Hersteller oder dem stark von Google bestimmten Stock-ROM kommt. Leider habe ich auf den Google-Pixelgeräten, auf die ich Custom-ROMs aufgespielt habe, vorher nicht geprüft, wie sich beim Google Stock-ROM das Arbeitsprofil einrichten lässt. Vielleicht findet sich noch jemand, der diese Erfahrung teilen kann. Es bestätigt sich die Erfahrung, dass sich Android Stock-ROMs verschiedener Hersteller sehr unterschiedlich verhalten können.
Hallo Maetih,
ja, ist schon komisch, aber vielleicht liegt es ja tatsächlich am Stock-Rom vom Gigaset.
Ich habe noch ein Samsung. Das wird meine nächste Baustelle. Auch dieses werde ich nach der o. a. Anleitung und mit den UAD entschlacken. Mal sehen, ob Shelter da auch so seltsam reagiert.
Nochmal zum Thema China Phones:
Bei den Xiaomi bzw Poco Phones gibt es auch immer Modelle mit Snapdragon Prozessor.
Für diese eigentlich immer Custom Roms auf xda, TG etc.
Seht ihr auf Grund der Tatsache, dass die Smartphones von einem chinesischen Hersteller kommen, trotz Nutzung von Custom Roms noch eine größere Gefahr als z.B. bei koreanischen Smartphones mit Custom Roms?
Die Firmware für den Basebandchip ist auch bei aufgespieltem Custom ROM immer noch vom Handyhersteller - außer der Herausgeber des Custom ROMs würde diese direkt vom Chiphersteller des Basebands erhalten. Unter Einstellungen /…/ Software sollte sichtbar sein, welche Basebandversion installiert ist.
Über das Baseband werden alle Funkverbindungen gesteuert. Wer die Firmware dafür liefert, kann auch alle über Funk laufenden Daten abgreifen.
Einen kleinen Einblick, wie vertrauenswürdig chinesische Hersteller in Bezug auf das Abgreifen von Datenströmen sind, lässt sich auf den Wikipediaseiten von Xiaomi und Huawei nachlesen. Unzählige andere Recherchen bestätigen dies.
Zudem würde es mich nicht überraschen, wenn die Diktatoren des größten Überwachungsstaates der Welt die Hersteller unter ihrer Kontrolle dazu zwingen würden, in die Baseband Backdoors einzubauen.
@Maetih Deine Ausführunen sind absolut berechtigt, aber treffen deine Befürchtungen bzgl. der Firmware des Baseband Chip wirklich nur auf Xiaomi/Huawei Smartphones zu?
Es kann doch genauso gut passieren, dass ich mir ein Samsung Smartphone kaufe und dort ein Huawei Baseband Chip werkelt oder, dass das Kameramodul inkl. Firmware von einem chinesischen Zulieferer kommt?
Und was ist mit Smarthones nicht-chinesischer Hersteller, die in China produzieren lassen? Dort könnten die chinesen, dann modifizierte Firmwares installieren.
@phk Deine Einwände sind natürlich auch berechtigt. 100% Sicherheit gibt es nicht. Am Ende ist es eine Vertrauensfrage und die wird individuell subjektiv beantwortet.
Der Systemhersteller hat jedoch die grösste Kontrolle, was an Hard- und Software im System verbaut wird und auch die Kompetenz, Fähigkeit und Ressourcen dies zu kontrollieren, zumindest wenn es sich um große Firmen wie Samsung, Apple, Google geht. Auch kleineren, engagierten Firmen wie Fairphone würde ich zumindest guten Willen attestieren, aber schon hinterfragen, ob sie jede Codezeile z.B. in der Baseband-Firmware noch kontrollieren können. Nicht vertrauenswürdig in der Hinsicht sind Nonameprodukte, die von irgendjemand zusammengeschustert werden und der „Hersteller“ am Ende nur sein Logo draufpapt.
Dass chinesische Auftragsfertiger bei der Montage in ein iPhone oder Pixel ohne weiteres Schadcode einschleußen können, würde ich bezweifeln. Wir leben inzwischen ja im Zeitalter signierter Software und das Aufspielen von Software kann heute über VPN-Tunnels und Blackboxes auch in einem Land wie China vom Systemhersteller außerhalb Chinas kontrolliert und gesteuert werden.
Basebandchips sind im allgemeinen von nicht-chinesischen Herstellern wie Broadcom, Intel, Qualcomm, Nvidia/Icera (alle US) oder Mediatek (Taiwan).
Ich will nicht sagen, dass Apple, Samsung, Google & Co sehr vertrauenswürdig sind. Die chinesischen Hersteller sind es aber in meiner möglicherweise subjektiven Ansicht noch weniger 
Firmware, Treiber und HALs liegen normalerweise im Aufgabenbereich des Vendors (z.B. Xiaomi), da hilft auch kein Custom-OS.
Ich wäre vorsichtig mit einem Custom-OS aus Foren. Die Wahrscheinlichkeit, dass hier eine gute Kontrolle auf Schadsoftware und Einhaltung von guten Sicherheitspraktiken durch qualifizierte Dritte stattfindet ist doch ziemlich gering. Was mich zu der Frage führt, warum man sich das antun will und nicht einfach ein Google Pixel mit einem renommierteren Custom-OS wie GrapheneOS holt?