Nur so als Abschluss, falls jemand die gleiche Randbedingung "App braucht nur lesen" (<=> Datenaustausch in eine Richtung reicht aus) haben sollte, ich hab's jetzt mit SQLite folgendermassen gelöst:

- Backend erstellt + verschlüsselt periodisch eine Textdatei, die alle SQL-Anweisungen zum kompletten erstellen der DB enthält (create insert usw.)
- Textdatei wird on demand via FTP bei der App aktualisiert
- App liest bzw. entschlüsselt die Textdatei jedes Mal bei Start und erzeugt dann die komplette DB im Speicher (database=":memory:").
Damit ist auf dem iOS Gerät anstelle der nicht-verschlüsselbaren SDB nur eine verschlüsselte Textdatei.

Klappt, bis jetzt.