Version 1.0, 30.12.2013
Wir haben bezüglich der Verbreitung von Kryptografie-Know-How (ähnlich problematisch: Anonymisierung) bisher einiges gelernt, überwiegend unerfreulich:
Auch immense Medienpräsenz bringt nur einen vernachlässigbaren Teil der Bevölkerung dazu, sich die Technik beibringen zu lassen, also auf eine Schulung zu gehen.
Wie viele Leute mittels der vielen Anleitungen im Netz aus eigener Kraft versuchen, sich das Thema anzueignen, ist schwer zu sagen. Offensichtlich ist aber, dass es für den Normalbürger sehr viel einfacher (und weniger abschreckend) ist, sich die Technik von jemandem erklären und einrichten zu lassen als dies selber zu versuchen. Es ist also nicht zu erwarten, dass diese Zahlen (dauerhaft) größer sind als die der Schulungsteilnehmner.
Sogar Freunde und Bekannte lassen sich kaum überreden, sich die Technik anzueignen. Viele, womöglich die meisten Teilnehmer von Schulungen besuchen diese allein. Das ist problematisch, weil man die Technik natürlich auch nutzen muss, um das Gelernte nicht zu vergessen. Zum Nutzen aber braucht man Kontakte.
Nicht mehr nur einzelne Interessierte, sondern gleich ganze Gruppen (Schulen, Hochschulen) zu schulen, ist zwar ein Erfolg versprechender Ansatz, aber es wird einige Jahre dauern, bis er außerhalb dieser Einrichtungen Wirkung entfaltet.
Die Passivität der Bevölkerung dürfte zum größten Teil dadurch zu erklären sein, dass fast jeder glaubt, ihn betreffe das Problem nicht, es sei nicht nötig, dass er sich Kryptografie- und ggf. auch Anonymisierungskenntnisse aneigne. Die Gründe für diese Verweigerungshaltung dürfte eher emotionale als rationale Gründe haben. Sie dürfte dadurch begünstigt oder sogar erst ermöglicht werden, dass jeder weiß, dass die ganz überwiegende Mehrheit der Bevölkerung diese Technik nicht nutzt. Die Nutzer sind eine winzige, vermutlich im Umfang eher überschätzte Minderheit. Die meisten Leute kennen niemanden, der Kryptografie nutzt. Was fast jeder (nicht) macht, kann so falsch (nötig) doch nicht sein – oder?
Dieser äußerst hinderliche Eindruck, dass fast niemand Kryptografie benutzt und dass die wenigen Nutzer alles abgedrehte Freaks (oder wahlweise Terroristen...) sind, kann vermutlich am besten dadurch zerstört werden, dass die ganz normalen Leute nach und nach merken, dass diese Technik sich schnell verbreitet, insbesondere auch außerhalb von Freakkreisen. Für diese Wahrnehmung dürfte erforderlich sein, dass die normalen Leute immer wieder (in unaufdringlicher Weise) auf das Thema stoßen. Wir müssen also die Sichtbarkeit "erhöhen".
Die Möglichkeiten unterscheiden sich natürlich dramatisch, je nachdem, ob es sich um eine Privatperson, ein Unternehmen, eine Organisation oder ein Medienunternehmen handelt, wie stark der jeweilige Akteur in der Öffentlichkeit steht, ob er eine populäre Website betreibt, in großem Umfang E-Mails verschickt usw.
Im folgenden werden für unterschiedliche Gruppen einige Vorschläge angeführt; die Gruppen sind danach sortiert, wie leicht sie mutmaßlich zu gewinnen sind und wie effektiv der Ansatz mutmaßlich ist. Ein wichtiger Aspekt bei der Verbreitung von Kryptografie dürfte sein, diese Gruppen dafür zu gewinnen. Das kann teilweise jeder für sich machen, in anderen Fällen ist ein organisiertes Vorgehen sinnvoller.
Keine Ausreden! Dass man selber Kryptografie noch nicht nutzt, ist keine Entschuldigung dafür, keine Werbung dafür zu machen! Warum sollten das alle nacheinander lernen anstatt gleichzeitig? Es ist nicht ehrenrührig, etwas in dieser Art zu verkünden: Wir arbeiten daran, demnächst auch kryptografisch gesichert mit Ihnen kommunizieren zu können. Wenn Sie sich mit OpenPGP oder S/MIME noch nicht auskennen, schauen Sie sich doch mal die folgenden, leicht verständlichen Erklärungen an: http://...
Jeder, der eine Webseite betreibt – ob privat, kommerziell oder für eine Organisation – hat eine Kontaktseite oder ein Impressum. Wer schon Kryptografie verwendet, sollte dort sein(e) Zertifikat(e) verlinken und außerdem Links zu Informationen (Warum Kryptografie? Wie nutzt man das?), (kostenlosen) Schulungsangeboten und (für diejenigen, die schon Kryptografie einsetzen) Anregungen zur Unterstützung der Verbreitung anbieten.
Der Aufwand dafür liegt nahe null, ist einmalig, und die Hinweise stören niemanden. Diesen Beitrag kann man von jedem erwarten, insbesondere natürlich von denjenigen, die für sich in anspruch nehmen, sie setzten sich für eine Verbesserung der Situation ein.
Jeder, der E-Mails verschickt – ob privat oder geschäftlich, aber in erster Linie wohl sinnvoll bei denjenigen, die Kryptografie schon nutzen – kann einen geeigneten Link in seine Textsignatur aufnehmen (ggf. eine Textsignatur dafür erst erstellen). Da man dort nicht so viel Platz hat (ohne dass es negativ auffällt) wie auf einer Webseite, sollte man sich dort eher auf einen einzigen Link beschränken.
Je nachdem, ob man die Empfänger nur auf die Information aufmerksam machen will, sollte man eine Seite verlinken, die die entsprechende Variante zum Ausdruck bringt (für Beispiele siehe den obigen Link).
Möglich und sinnvoll ist das natürlich auch bei den Textsignaturen von Mailinglisten. Allerdings sollte man vorher prüfen, ob die jeweilige Mailingliste damit auch klarkommt und v.a. PGP/MIME-Mails nicht zerstört.
Die Nutzer von Facebook, Google+, Twitter und Konsorten sollten dort thematisch passenden Organisationen und Aktivisten folgen, um denen einerseits mehr Aufmerksamkeit zu verschaffen und andererseits auf dem Laufenden zu bleiben.
Einige Leute sind sehr verwundert darüber, dass Cryptoparty-Aktivisten "Werbung" für diese verhassten Datensammler machen. Es gibt durchaus Gründe, diese Dienste zu meiden, aber diese Debatte fällt unter die Überschrift Anonymisierung; aus der Sicht von Kryptografie spricht erst mal nichts dagegen. :-)
Öffentliche Einrichtungen (Behörden, Ämter, Schulen, Polizeidienststellen, Bibliotheken, Schwimmbäder, ...) sollten (wie alle anderen auch) auf ihrer Website Aufmerksamkeit für das Thema schaffen. Diejenigen mit Publikumsverkehr können außerdem entsprechende Plakate aufhängen. Und da nicht damit zu rechnen ist, dass die das aus eigenem Antrieb tun, sollte es ihnen in einem ersten (schnell umsetzbaren) Schritt von der jeweiligen politischen Ebene dringend nahegelegt werden (siehe obigen Link), mittelfristig sollten sie dazu verpflichtet werden.
Die Nutzer von Software, die entweder den Einsatz von Kryptografie erlaubt (Thunderbird, KMail, Firefox, Chrome, ...) oder nur für Kryptografie nutzbar ist (Enigmail, KGpg, Seahorse, GPA, Kleopatra, Mailvelope) sollten sich dafür einsetzen – sofern die Entwickler sich nicht aus eigenem Antrieb darum kümmern –, dass auch diese Software Aufmerksamkeit schafft, und zwar in unterschiedlicher Weise:
Die Software, die typischerweise ohne Kryptografie genutzt wird, sollte darauf hinweisen, dass sie diese Technik unterstützt und Links zur allgemeinen Information, zur Nutzung mit dieser Software und für Schulungsangebote anzeigen.
Reine Cryptosoftware (oder der Crypto-Konfigurationsteil gemischter Software) sollte die vorhandenen Kryptografienutzer animieren, sich an der Verbreitung von Kryptografie, insbesondere an der Erhöhung ihrer Sichtbarkeit zu beteiligen, indem sie eine Seite mit entsprechenden Vorschlägen verlinkt.
Das ist natürlich nicht prinzipiell auf Open-Source-Software begrenzt, aber anderswo erscheinen die Erfolgsaussichten noch schlechter. Außerdem hätten bei OSS im Prinzip die Distributoren die Möglichkeit, das umzusetzen, wenn der Upstream nicht mitzieht. Der technische Aufwand wäre ja geradezu lächerlich gering; das ist eine rein politische Entscheidung.
Die Verbände, die thematisch in irgendeiner Weise Kryptografie nahestehen (oder das objektiv tun sollten...), sollten auf ihre Mitglieder dahingehend einwirken und sie ggf. auch konkret darin unterstützen, dass diese sich einerseits die Technik aneignen und andererseits durch die o.g. Möglichkeiten zur Erhöhung der Sichtbarkeit beitragen.
Dabei ist etwa an Verbände aus diesen Bereichen zu denken:
IT-Unternehmen, speziell Internet-Unternehmen
Unternehmen, die in großem Umfang das Internet zur Abwicklung von Geschäften mit Privatkunden nutzen.
IT-Händler (mit Ladengeschäft)
Berufsgeheimnisträger: Juristen, Steuerberater, Banken, Finanzberater, Ärzte
Verbraucherschützer
Wer in großem Umfang automatisiert Mails verschickt (monatliche Rechnungen, Newsletter, Benachrichtigungen), sollte seinen Kunden / Nutzern die Möglichkeit geben auszuwählen, ob sie diese Mails signiert und / oder verschlüsselt haben wollen – diese Auswahlmöglichkeit sollte jedenfalls für Unternehmen ab einer gewissen Anzahl Mailempfänger in absehbarer Zukunft gesetzliche Pflicht werden. In allen weder signierten noch verschlüsselten Mails sollte auf diese Möglichkeit hingewiesen werden.
Natürlich muss zeitnah die Software zum Versand solcher Mails um diese Möglichkeit erweitert werden.
Die Betreiber von Räumlichkeiten, die von vielen Menschen betreten werden, können mit wenig Aufwand Aufmerksamkeit schaffen, indem sie dort dauerhaft ein Plakat aufhängen; einige der betroffenen Räumlichkeiten werden ja bereits für Werbung genutzt. Dafür kommen etwa in Frage:
Ladengeschäfte
Vereinsräume
Verkehrsbetriebe (v.a. U-Bahnhöfe)
Museen
Wer in Profilen, die eine entsprechende Formatierung zulassen, mehrzeilige Texte eingibt, kann diese mit einer Klartextsignatur und einem erklärenden Link versehen, um Aufmerksamkeit zu generieren.