Die Situation im Jahr 2014 – und das wird sich über die nächsten Jahre kaum ändern – ist dadurch gekennzeichnet, dass
die weitaus meisten Internet-Nutzer Kryptografie nicht aktiv (mit eigenen Schlüsseln) verwenden
die weitaus meisten Internet-Nutzer (die Kryptografie-Nutzer eingeschlossen) wenig Ahnung von IT-Sicherheit im allgemeinen haben
auch die meisten Kryptografie-Nutzer kaum Ahnung von Kryptografie haben (das bezieht sich auf die organisatorischen und einfachen technischen Aspekte, nicht etwa auf die Mathematik)
die Aneignung / Vermittlung der nötigen Kenntnisse noch nicht gut organisiert ist (kaum gute Informationsquellen; nur wenige wirklich kompetente Leute auf z.B. Cryptopartys)
Das sollte man im Hinterkopf haben, wenn man das Ziel hat, dass möglichst viele Leute Kryptografie sinnvoll nutzen. Um die Erreichung dieses Ziels zu unterstützen, sollte eine Krypto-Kommunikations-Kultur geschaffen werden, die viele Nutzer zu einem konstruktiven Verhalten anleitet. Dafür braucht die Community einen Konsens über einen Satz von (unterschiedlich wichtigen) organisatorischen Empfehlungen – um technische Details soll es hier nicht gehen. Diese Seite soll die Herausbildung eines solchen Konsens fördern.
Da zum Zeitpunkt des Erstellens dieser Seite völlig unklar ist, wie viele Leute ein Interesse daran haben, sich daran zu beteiligen, stelle ich erst mal keine "Diskussionstechnik" zur Verfügung. Anmerkungen erst mal an mich. Sobald es sich lohnt, gibt es dann eine Mailingliste, ein Forum oder Termine in einem Chatraum.
Werden Sie sich der eigenen Grenzen bewusst (V1, 29.07.2014)
Die (selbstbestimmte) Teilnahme an geschützter elektronischer Kommunikation erfordert ein hohes Maß an Sachkenntnis und Disziplin, wenn ein hohes Schutzniveau erreicht werden soll. Es ist für einen systematischen Schutz unverzichtbar, die Schutzbedürftigkeit der einzelnen Daten im Auge zu haben und sich bei hohen Anforderungen gut zu überlegen, ob man überhaupt über die nötigen Kenntnisse verfügt. Vorsicht ist besser als Nachsicht: Im Zweifelsfall muss man sich Hilfe holen, bevor man etwas macht – z.B. Daten verschickt –, das nicht rückgängig gemacht werden kann.
Das spricht nicht dagegen, auch mal in völliger Unkenntnis irgendwas Neues auszuprobieren. Sie müssen sich aber klar darüber sein, dass das dann nur Spielkram ist, und entsprechend handeln.
Rechnen Sie mit Fehlern und Unkenntnis der anderen (V1, 29.07.2014)
Geschützte Kommunikation funktioniert nur dann, wenn alle Kommunikationspartner alles richtig machen. Es reicht nicht aus, dass die anderen die fragliche Technik benutzen; für ein hohes Schutzniveau muss man sich auch davon überzeugen, dass die anderen ausreichend qualifiziert sind, um die Technik korrekt zu nutzen.
Bei Äußerungen über die Verwendung von Kryptografie sollte man sehr konservativ abschätzen, welches Wissen man bei den anderen voraussetzen kann, und deshalb lieber einen Satz mehr schreiben. Beispiel: Nicht einfach Fingerprints auf Webseiten setzen, sondern darauf hinweisen, dass man sich die aus einer sicheren Quelle beschaffen muss. Die meisten neuen Nutzer müssen mit solchen Hinweisen mehrfach konfrontiert werden, bis sie das richtige Verhalten verinnerlicht haben.
Machen Sie es den anderen leicht (V1, 29.07.2014)
Für die ernsthafte Nutzung von Schlüsseln muss man einerseits sicher sein, dass ein Schlüssel der richtige ist, und andererseits wissen, was von dem Schlüssel zu halten ist (Wie sicher ist er, wofür wird er genutzt?). Sie sollten deshalb immer ein paar Zettel dabei haben, auf denen Ihr Name, die E-Mail-Adresse, der Fingerprint und das Sicherheitsniveau des Schlüssels genannt werden. Wenn Sie solche Zettel von anderen bekommen, bewahren Sie sie gut auf. Wenn Sie jemanden nur selten treffen, mag es sinnvoll sein, demjenigen einen Zettel zu geben, auch wenn der Kryptografie noch gar nicht nutzt (aber das wohl irgendwann tun wird).
Nicht alle Ihre Kontakte können Sie (rechtzeitig) persönlich treffen. Lassen Sie Ihren Schlüssel von vertrauenswürdigen, allgemein anerkannten Instanzen zertifizieren, etwa der c’t-Kryptokampagne oder CAcert.
Wenn Sie unterschiedliche Techniken und damit auch unterschiedliche Schlüssel verwenden – beispielsweise OpenPGP für E-Mail und OTR für Chats – dann unterschreiben Sie mit dem sichersten, langlebigsten und am leichtesten verifizierbaren Schlüssel (idealerweise ist das für alle Kategorien derselbe) die Fingerprints der anderen und veröffentlichen die in geeigneter Weise (etwa auf einer Webseite).
Verbreiten Sie nur gesicherte Informationen (V1, 29.07.2014)
Einer der Gründe dafür, dass so wenige Leute Kryptografie richtig nutzen (können), ist die bescheidene Qualität der Informationsquellen. Die meisten Artikel und Anleitungen werden nicht von Experten geschrieben und enthalten Fehler; auch gravierende Fehler sind nicht selten. Es ist für Nicht-Experten natürlich schwer einzuschätzen, aber versuchen Sie sich einen Eindruck davon zu verschaffen, welches Niveau Ihre bevorzugte Informationsquelle (Website / Person) hat. Dass jemand mehr weiß als Sie, macht ihn typischerweise noch nicht zum Experten.
Dass Sie sich nicht ganz sicher sind, wie etwas funktioniert, soll Sie nicht davon abhalten, anderen etwas über die Technik zu erzählen oder sie vorzuführen, vielleicht auch bei der Einrichtung zu helfen, wenn niemand mit mehr Sachkenntnis verfügbar ist. Aber machen Sie deutlich, was Sie genau wissen und was nicht und dass derjenige sich selber um gute Informationen bemühen muss. Auf eine bekanntermaßen gute Informationsquelle (oder gar mehrere) verweisen zu können, ist sehr hilfreich.
Fördern Sie die Verbreitung von Kryptografie (V1, 29.07.2014)
Ein ganz entscheidender Aspekt für die (nur langfristig mögliche) Überzeugung der Bevölkerungsmehrheit, dass sie (u.a.) Kryptografie braucht, ist die Präsenz der Technik im Alltag. Wenn die Internetnutzer Kryptografie nirgendwo sehen (ohne danach zu suchen oder in der Presse), dann fällt es den meisten sehr schwer zu glauben, dass das für sie persönlich wichtig sei.
Jeder, der Kryptografie nutzt, hat eine Reihe von Möglichkeiten, die Verbreitung von Kryptografie zu fördern, davon mehrere mit nahezu null Aufwand. Rechnen Sie nicht damit, dass "die anderen" sich schon irgendwie darum kümmern werden, wenn Sie es nicht tun.
Denken Sie langfristig (V1, 29.07.2014)
Dass man Schlüssel sehr schnell und kostenlos erzeugen kann, sollte nicht zu der Einschätzung verleiten, dass es sich dabei um Wegwerfartikel handelt. Neue Schlüssel einzuführen ist mit Aufwand verbunden und verringert möglicherweise (falls es nur ein neuer und nicht auch ein besserer Schlüssel ist) das Vertrauen in Ihren Umgang mit Schlüsseln.
Manche Schlüssel kann man problemlos häufig wechseln, aber Sie sollten wenigstens einen sicheren, dauerhaft genutzten Schlüssel besitzen, um eine verlässliche digitale Identität aufzubauen (das ist typischerweise ein OpenPGP-Offline-Hauptschlüssel).
Sehen Sie nicht nur Ihre (wichtigen) Schlüssel langfristig, sondern auch Ihre eigene Entwicklung. Wenn das Lernen der Technik nicht in Arbeit ausarten soll, dauert es Monate oder Jahre, bis man sie auf hohem Niveau versteht und sicher beherrscht. Erwarten Sie also nicht zu viel von sich, geben Sie sich Zeit. Wichtig ist, dass Sie damit anfangen und irgendwann ein gutes Niveau erreicht haben. Ob das ein Jahr früher oder später passiert, ist weitgehend egal.
Seien Sie auch geduldig mit Leuten, die Sie für die Technik gewinnen wollen; überfordern Sie die nicht, sonst ist das Risiko hoch, dass die irgendwann genervt abspringen. Es ist auch nicht automatisch eine gute Idee, jemandem die Technik so früh wie möglich beizubringen. Es ist oftmals besser, damit zu warten, wenn es dadurch möglich wird, nicht nur den Einzelnen, sondern auch weitere Kontakte von ihm zu qualifizieren. Die Technik hat einen schweren Stand, wenn man nicht genügend Kontakte hat, mit denen man sie (ausreichend oft) nutzen kann.
Legen Sie sich eine eigene Domain zu. Sie brauchen keine Website aufzusetzen.
Nutzen Sie nicht nur Nischentechnik (V1, 29.07.2014)
Es spricht wenig dagegen, mehrere Techniken zu nutzen. In hohem Maß kritisch ist es, sich auf ein (potentiell) unsicheres oder geschlossenes System einzulassen. Wenn Sie unbedingt WhatsApp, Threema oder TextSecure nutzen müssen, dann machen Sie das. Aber werden Sie nicht zu einem Teil des Problems statt der Lösung, indem Sie andere "zwingen", diese Dienste zu nutzen, weil Sie nur darüber erreichbar sind. Monopolistische Anbieter sind meist ein Datenschutzalptraum. Seien Sie immer auch über ein offenes, (halbwegs) verbreitetes System erreichbar. In der Welt der Instant-Messenger heißt das derzeit: über XMPP mit OTR als Kryptolayer.
Halten Sie durch (V1, 29.07.2014)
Wenn Sie mit Kryptografie anfangen, kann es leicht passieren, dass Sie damit der erste und erst mal auch der einzige in Ihrem Bekanntenkreis sind. Wenn Sie nicht abwarten wollen, bis sich ein zweiter findet, der das lernen möchte, dann stellen Sie sich mental darauf ein, dass eine einsame Zeit droht. Es wäre aber in vielerlei Hinsicht schlecht, deswegen aufzugeben. Suchen Sie sich ggf. Crypto-Brieffreunde.
Seien Sie pragmatisch (V1, 29.07.2014)
Im Zusammenhang mit Kryptografie sind radikale Ansichten nicht selten. Die häufigste dürfte sein, dass nun alles verschlüsselt werden müsse. Von solchen Positionen sollte man sich schon deshalb fernhalten, weil sie kaum zu begründen sind. Ein gewichtiger Grund, es nicht zu übertreiben, ist: Radikale Positionen verschrecken leicht diejenigen, die man für die Nutzung von Kryptografie gewinnen möchte. Signieren Sie alle Ihre Mails; aber nur noch verschlüsselte Mails anzunehmen, dient der Sache im allgemeinen nicht.