hab ich doch im OP geschrieben, das Teil soll nur Medien aus dem lokalen Netzwerk streamen.
Ich wohn am Land, wir haben hier nur kack internet, für 4K streams usw. reicht das nicht wirklich, drum nehm ich Blurays. Ausserdem mach ich amateurfotografie und videos in HDR, und Windows spielt so zeug net gescheit ab drum jetzt son streaminggerät.
Ok, welche Logindaten sind dann so sensibel, dass eine zusätzliche Verschlüsselung eingerichtet werden muss?
Naja z.B. die Passwörter für die Netzressourcen.
Natürlich ist das Ding keine riesen Sicherheitslücke.
Hab aber halt auch sportlichen Ehrgeiz.
Es geht hier um die technischen Möglichkeiten, nicht um Sinn oder Unsinn der Maßnahme an sich.
Da sind leider keine vorhanden. Zumindest nicht für eine FDE. Du kannst höchstens per Drittapp persönliche Medien im Speicher per sicherem Ordner schützen.
Ja, FDE ging ich ja von anfang an nicht von aus.
Die Daten, die die apps so aufschreiben, die hätt ich gern verschlüsselt. Persönliche Medien werden nicht aufs gerät kommen, das is wie gesagt nur zum streamen aus dem LAN gedacht.
Ich lese hier ganz deutlich raus, dass du mit Android generell absolut nicht vertraut bist.
Betrachten wir zunächst deine Datenpartition im Gesamten: Um Zugriff von außen zu bekommen, muss physischer Zugang zum Gerät vorhanden sein. Sollte das geschehen, kann man die Daten nicht auslesen, weil sie von Hause aus verschlüsselt sind und das sogar sehr gut. Eine Brute Force-Atracke könnte bei der besten Hardware mehrere tausend Jahre in Anspruch nehmen, um die Verschlüsselung zu knacken. Da wird man doch eher auf Exploits oder Software wie Cellebrite zurückgreifen müssen, die nicht viele Personen besitzen. Davon mal abgesehen, dass solche Personen kein Interesse an deiner TV Box haben.
Dieses Szenario können wir wohl ausschließen, da du keine Person von öffentlichem Interesse bist, die Staatsgeheimnisse besitzt.
Nun zu deinem internen Speicher und der Handhabung von Appdaten innerhalb des Android OS: Android verwendet ein Sandbox-System. Das bedeutet, durch die Verwendung von Linux-Zugriffsrechten ist es Apps nicht gestattet, die Appdaten anderer Apps zu lesen. Eine App kann ausschließlich auf die eigenen Appdaten zugreifen. Dies kann nur durch Rootrechte ausgehebelt werden, die per se nicht in Android integriert sind. Es gibt schlichtweg keine Binary „su“.
Also brauchst du nicht zu steuern, wie und wo die Appdaten landen. Du kannst es auch nicht, weil dir die Zugriffsrechte dazu fehlen. Du kannst noch nicht einmal auf /data, geschweige denn auf die darunterliegenden Ordner mit den Appdaten zugreifen.
Selbst dein Zugriff auf den internen Speicher (der physisch /data/media/* ist), wird im Android OS durch ein temporär gemountetes Dateisystem namens /storage/emulated/* geregelt. Aus diesem Dateisystem kommst du nicht raus, um auf /data oder die Unterordner zuzugreifen. Es geht nicht.
Jetzt meine Frage: Wovor willst du dich schützen? Weder du noch Dritte sind in der Lage, auf deine Appdaten zugreifen zu können.
Mit Verrenkungen habe ich das schon geschafft.
OT:
WireGuard bzw. NetGuard hat bisher nur bei einem der Teile nicht funktioniert. MDM-Software geht auch nicht immer.
So, erstmal Danke für die ausführliche Erklärung von Android! 
Ja, ich kenn mich mit Android quasi gar nicht aus.
Das klingt schonmal alles sehr gut.
Also ich hab mittlerweile meinen managed switch hier und werd morgen nen VLAN/Port Isolation einrichten, so dass die Android Box gar nicht mehr bis zum Gateway kommt.
Da die Box ansonsten wie gesagt eh nicht mit dem internet kommunizieren wird ausser fuer das einmalige Downloaden von Apps wie KODI fürs Medienstreaming im Heimnetz sollte das System gegen Angriffe aus dem Netz schonmal recht gut geschützt sein.
Ansonsten zu deiner Frage:
Mir gehts tatsächlich primär um Schutz vor einem Angreifer mit physischem Zugriff auf das Gerät. Eine quasi „Air Gap“ ist zwar keine wasserdichte Lösung gegen Angreifer aus dem netz, denn vermutlich wird die Box sehr selten mal ans netz duerfen fuer ein Update.
Aber es ist gut genug, es sind ja keine hochsensiblen Daten, aber dennoch will ich eben einen sehr guten Schutz herstellen.
Der Physische Zugriff wäre weiterhin möglich, da ich bisher noch keine gute Option gefunden habe ein Passwort auf dem Gerät einzurichten.
Denn wenn ich deinen Beschreibungen folge, dann sind die Daten verschlüsselt und ohne dass jemand entweder an den Schlüssel herankommt oder eben einfach das Gerät im „geöffneten Zustand“ in die Finger bekommt kriegt er keine Daten raus - ausser verschlüsseltem Gibberish.
Aber da das Gerät wie gesagt bisher keinen Passwortschutz hat würde es reichen, wenn jemand die Box mopst und dann einfach bei sich einschaltet. Das Gerät fährt hoch und er/sie/es koennte auf alles zugreifen, da das System einfach offen daliegt ohne Passwortschutz oder vergleichbares.
Hierfür würde ich gerne eine Lösung finden ^^
Du hast dort schon keine Lösung bekommen
https://www.computerbase.de/forum/threads/verschluesselung-fuer-android-tv-box.2236063/
und hier wirst du auch keine bekommen, weil es nicht möglich ist. Google hat leider den Use Case nicht in Betracht gezogen, dass jmd eine Android TV Box bei dir zu Hause klaut und dadurch sensible Daten stehlen könnte. Vermutlich deswegen, weil die Häufigkeit solcher Fälle gegen Null tendiert.
Davon abgesehen, wird eine App von Dritten nie Schutz bieten können, weil sie viel zu leicht auszuhebeln ist. Ich muss einfach nur den abgesicherten Modus starten und schon sind alle Drittapps deaktiviert und damit wäre dein Schutz wirkungslos.
Wenn du wirklich Leute in dein Haus/Wohnung lässt, die die Absicht haben, dich zu beklauen, dann ist deine Android TV Box doch wohl das allerkleinste Problem, oder nicht? 
Ich denke, so was hier würde dir mehr Schutz bieten:
https://www.obi.de/p/1353895/cmi-geldkassette-gross?wt_mc=ogs…