Wir verlieren den Blick für das Wesentliche
Version 1.0, 23.02.2015
Seit c’t sich entschlossen hat, es mal mit einem ketzerischen Editorial und einem entsprechenden Artikel zu versuchen, brennt im Heise-Forum die Luft. Die bekannten Paradigmen (Einfachheit & Sicherheit) prallen kompromisslos aufeinander. Der Verfasser dieses Textes ist dabei kein neutraler Beobachter.
Das große Problem an dieser Diskussion ist, dass sie sich nicht an der Realität orientiert, die vor allem dadurch gekennzeichnet ist, dass 2016 nicht die Mehrheit der Otto-Normaluser (bewusst) Kryptpgrafie nutzen wird – ganz egal, was passiert. Das heißt umgekehrt, dass es für die Masse der Anwender völlig egal ist, wie die Technik derzeit funktioniert.
Auch wenn Kryptografie leicht zu bedienen und gleichzeitig sicher wäre, würden die meisten sie nicht nutzen. Spätestens bei Signaturen ist außerdem der Punkt erreicht, dass sie sinnlos werden, wenn der Verfasser nicht weiß, was er tut (welches Maß an Verbindlichkeit die Nachricht bekommt).
Die relevante Frage ist: Was können wir in den nächsten drei bis fünf Jahren realistischerweise erreichen, was und wen brauchen wir dafür?
Naturgemäß zielt die Technik nicht auf den Durchschnittsanwender (bei dem man sich derzeit sogar für das "Vorzeigeprodukt" Enigmail noch entschuldigen muss), was in Deutschland nach Affinität und Eignung sortiert so ungefähr die Internetnutzer Nummer 25 Millionen bis Nummer 26 Millionen wären. Das praktische Ziel ist die erste Millione Nutzer. Und das ist die Million Leute, die
nicht zu blöd sind
geeignete Technik (Mailclient statt Webmail) verwenden
nicht in einer absurden Situation sind, die ihnen die Verwendung von Kryptografie drastisch erschwert
nicht auf der Suche nach Ausreden sind, sondern kapiert haben, dass das Thema wichtig ist.
Mit dem Anwachsen der Nutzerbasis befassen sich mehr Entwickler mit der Technik, die dadurch besser wird, wird die Technik für Unternehmen relevanter und entsteht politischer Druck. Außerdem werden die Schulungsangebote ausgebaut, die auch bei einfachster Technik zwingend nötig sind, damit die Leute verstehen, was sie da tun; auch das geht nicht beliebig schnell.
Die relevante Frage ist also nicht, ob die Technik heute schon massentauglich ist, sondern ob sie in ca. fünf Jahren massentauglich sein wird. Mal abgesehen davon, dass die Technik erheblich besser werden wird: Wenn die technikaffinsten fünf Millionen Leute in Deutschland Kryptografie nutzen, dann entsteht ein erheblicher Druck auf den Rest (auf die zweiten fünf Millionen viel mehr als auf die sechsten), sich das anzueignen – egal, wie einfach das ist. Ob Enigmail in einem oder erst in zwei Jahren eine gute Software wird, ist von nachrangiger Bedeutung. Vielleicht wird das mal geforkt in ein "einfaches Enigmail" und ein "gutes Enigmail". Wäre interessant zu erfahren, wofür die Leute sich entscheiden, wenn sie so deutlich vor die Wahl gestellt werden...
Von größerer technischer Relevanz ist, dass das rotte Keyserversystem endlich aufgeräumt werden muss; aber dafür ist noch genug Zeit, an dieser Front wird etwas passieren. Durch die Einbindung von DNS in die Schlüsselsuche wird sich das Problem zusätzlich entspannen.
Die heute akute Frage ist: Was ist für die erste Million entscheidend? Da muss man hoffentlich nicht mehr darüber diskutieren, ob die Technik zu kompliziert ist. Die Qualität der Software und der Infrastruktur hat zwar einen Einfluss darauf, wie schnell man die erste Million bekommt, aber sie ist nicht der Wesentliche Einflussfaktor.
Leider wird auch Einsicht nicht der wesentliche Faktor sein, denn dafür war nun wirklich genug Zeit. Wichtiger sind Aufmerksamkeit für das Thema und Gewöhnung daran. Deshalb sollten alle, die sich an der Debatte beteiligen, egal auf welcher Seite, endlich ihren Beitrag dazu leisten, dass mehr Leute Kryptografie nutzen.
Aber der entscheidende Faktor wird Gruppenzwang sein. Kryptografie wird dann – und erst dann (bzw. natürlich mit fünf bis zehn Jahren Verzögerung) – eine Massentechnik werden, wenn sich die Hochschulen bequemen, ihre Erstsemester in die Spur zu bringen. Die machen in ihrer Einführungswoche noch, was man ihnen sagt, und sie haben sofort und über Jahre hinweg eine große Gruppe von Leuten, mit denen sie kryptografisch kommunizieren können. Das ist gleichzeitig eine gute Gelegenheit, der WhatsApp-Seuche entgegenzutreten, indem man die Studenten mit XMPP-OTR vertraut macht; viele Hochschulen haben einen eigenen XMPP-Server.
Es scheitert also nicht in erster Linie an den ehrenamtlichen Entwicklern, sondern Professoren, Doktoranden und Studenten sind in der Pflicht, endlich zu sagen, Wir machen das jetzt!
– mit wirklich geringem Aufwand, wohlgemerkt. Die größte Hürde dafür ist natürlich, dass man das schlecht sagen kann, wenn man die Technik selber nicht nutzt. Jeder, der die schwer erträgliche gegenwärtige Situation ändern möchte, sollte also seine Möglichkeiten darauf richten, im Sommersemester 2015 eine kritische Masse an Mitarbeitern geeigneter Institute zu schulen, damit dort zum Beginn des Wintersemesters die Erstsemester mehr oder weniger komplett eingefangen werden können.
Was sind die geeigneten Institute? Erwartungsgemäß ist die Nutzung der Technik bei den Informatikern am größten, nicht aber die Begeisterung. An der FU Berlin waren es das Institut für Soziologie und das Institut für Publizistik- und Kommunikationswissenschaft, die als einzige ernsthaft auf ein Schulungsangebot reagiert haben. Erschreckend ist die Situation insbesondere bei den Naturwissenschaftlern. Dies mag eine hilfreiche Erfahrung für Leute sein, die sich an anderen Hochschulen entscheiden müssen, wo sie anfangen. Es ist zu hoffen, dass ein komplett verschlüsselnder geisteswissenschaftlicher Fachbereich für die Physiker dann so peinlich wird, dass dort irgendwas Sinnvolles passiert.
Version 1.0, 23.02.2015 (diese Version, Permanentlink)