Die Frage, was genau man erreichen will, ist von grundlegender Bedeutung für die Bewertung, wie gut eine Schulung war. Und schon bei dieser Festlegung muss man Kompromisse eingehen:
Was will man bezogen auf die einzelnen Teilnehmer?
Was soll sich bei ihnen bis zum Ende der Schulung ändern?
Was soll sich bei ihnen mittelfristig ändern?
Will man von allen Teilnehmern dasselbe?
Was will man in bezug auf spätere Termine derselben Schulung(sreihe)?
Sollen dieselben Leute noch mal kommen?
Sollen möglichst viele Leute kommen (auf Grund der Empfehlung / Werbung der früheren Teilnehmer)?
Soll nur eine bestimmte Gruppe von Leuten kommen oder jedenfalls nur relativ homogene Gruppen?
Was will man in bezug auf die Gesellschaft insgesamt?
Soll die Schulung zur Entstehung anderer Schulungen beitragen, indem sie als Vorbild dient?
Sollen die Teilnehmer, anstatt andere Leute in die Schulung zu schicken, selber die Technik anderen Leuten beibringen?
Sollen die Teilnehmer passiv oder sogar aktiv in einer mehr oder weniger großen Öffentlichkeit Aufmerksamkeit auf das Thema Kryptografie lenken?
Je nachdem, wie man diese Fragen beantwortet, wird man zu unterschiedlichen Ergebnissen kommen. Was die "beste" Kombination ist, mag dabei durchaus von der Kompetenz und dem Charakter des Dozenten abhängen. Der eine beantwortet mit einer Engelsgeduld "überflüssige" Fragen, der andere möchte lieber hochwertiges Wissen vermitteln.
Ohne andere Ziele damit herabwürdigen zu wollen, sondern als Denkanstoß und zum besseren Verständnis der Inhalte dieser Website folgt nun die Haltung des Verfassers zu diesen Fragen:
langfristig eine hohe Verbreitung
Das Hauptziel sollte sein, dass im Jahr 2025 ein Großteil der Internet-Bevölkerung – nicht unbedingt die Mehrheit, aber auch nicht weit davon entfernt – über Kryptografie-Basiskenntnisse verfügt, also im Bedarfsfall (auf dem Sicherheitsniveau normaler Computer) verschlüsselt, seine Mails signiert und die Signaturen empfangener Mails zu interpretieren weiß. Außerdem sollte es so viele kompetente Nutzer von Kryptografie geben, dass jeder normale Nutzer einen kennt und darauf vorbereitet ist, sich im Bedarfsfall von einem von denen dabei helfen zu lassen, auf einem höheren Sicherheitsniveau zu kommunizieren.
Dieses Ziel ist aber zu abstrakt, um für die Gestaltung einzelner Schulungen von großem Nutzen zu sein. Beispielsweise heißt es nicht, dass eine Schulung so beschaffen sein muss, dass ihr auch völlig ahnungslose Leute (in bezug auf IT insgesamt) folgen können, denn es mag sinnvoll sein, diese Leute erst in einigen Jahren als Zielgruppe zu betrachten.
positives Schulungserlebnis – konkreter Nutzen
Eine Schulung hat ihr Ziel dann offensichtlich verfehlt, wenn ein Teilnehmer die Technik im Anschluss nicht nutzt, weil er nicht verstanden hat, wie das geht. Er muss die Schulung nicht als einfach empfinden, aber er soll den Eindruck haben, dass er genug gelernt hat, um damit konkret etwas anzufangen (mal angenommen, er hat entsprechende Kommunikationspartner). Ein gutes Supportangebot ist an dieser Stelle hilfreich.
Das hat sowohl Einfluss auf Art und Umfang des Stoffs, den man behandelt, als auch auf die Struktur.
Wenn ein Teilnehmer den Eindruck hat, dass ihm die Schulung einen konkreten Nutzen verschafft hat, dann wird er anderen die Teilnahme empfehlen (wenn er nicht befürchtet, dass sie vom Inhalt oder Ablauf überfordert wären).
unterschiedliche Schulungen für unterschiedliche Leute
Wie auch bei den meisten anderen Formen der Wissensvermittlung erscheint es wenig sinnvoll, mit Leuten mit ganz unterschiedlichen Voraussetzungen dasselbe zu machen. Das betrifft nicht nur die Kompetenz, sondern auch die Bereitschaft. Jemand, der sich "diese E-Mail-Verschlüsselung nur mal anschauen" will, braucht keinen Offline-Hauptschlüssel; dessen Erstellung traumatisiert ihn bloß.
Die Lernbereitschaft hängt auch davon ab, was der Teilnehmer mit dem Wissen anfangen will: Will er es – jedenfalls erst einmal – nur für sich selber nutzen, oder will er es auch anderen vermitteln? Den wenigsten Leuten ist wichtig, dass sie die Technik anderen installieren und erklären können. Es bringt ihnen also nichts zu lernen, wie man Schlüssel erzeugt und die Software gut konfiguriert. Dieses Wissen belastet sie bloß – die Aufnahmekapazität ist begrenzt – und raubt ihnen Zeit für sinnvolle Informationen oder das Üben.
andauernder Lernprozess
Es ist völlig illusorisch, dass jemand an einem einzigen Termin alles Relevante lernt. Das müsste eine Halb- oder sogar Ganztagsveranstaltung sein; und auch, wenn das zeitlich möglich wäre, ist fraglich, wie viele Leute diese Menge an Stoff in so kurzer Zeit aufnehmen (und behalten!) könnten.
Man sollte also die Perspektive einnehmen, dass die Schulung nur der Startpunkt eines längeren Prozesses ist. Die Frage für die Festlegung des Inhalts ist also, was das Minimum ist, das jemand braucht, um eine gute Chance zu haben, in diesem Lernprozess zu bleiben?
Wenn man das Glück hat, die Teilnehmer über längere Zeit zu betreuen – etwa an einer Schule oder Hochschule –, dann kann man statt einer umfangreichen Schulung, die "alles" für den Start relevante Wissen auf ein Mal vermittelt, mehrere kleine Schulungen in kurzer Folge anbieten, die weniger belastend sind.
Umgang mit festen Gruppen
Dass ein Teilnehmer die Technik am Ende der Schulung nicht verstanden hat, muss nicht daran liegen, dass die Schulung schlecht war; es kann auch daran liegen, dass einzelne Teilnehmer kein Interesse daran haben. Da Schulungen zumeist nicht nur aus Vorträgen bestehen (dort wäre das egal), verursachen aber auch desinteressierte Teilnehmer Betreuungsaufwand, der zu Lasten der interessierten Teilnehmer geht. Deshalb sind Schulungen für Gruppen, die nicht nur aus Freiwilligen bestehen – etwa Schulklassen – grundsätzlich problematisch, weil Dozenten und Helfer derzeit (2015) eine knappe Ressource sind.
Die große Ausnahme von dieser Regel sind Fälle, in denen – etwa auf Grund von hoher Kompetenz oder Gruppenzwang – die Ausfallrate so gering ist, dass man durch die Schulung der ganzen Gruppe am Ende doch mehr Nutzer hat. Bestes Beispiel dafür: Informatik-Erstsemester zu Beginn des Studiums (etwa in der Vorbereitungswoche).
Der Erfolg einer OpenPGP-Schulung scheint nicht so sehr an der technischen Kompetenz des Dozenten zu hängen, sondern vor allem an der richtigen Auswahl der zu vermittelnden Informationen. Erfolg ist dabei dahingehend zu verstehen, dass sich im IT-Leben der Teilnehmer konkret und dauerhaft etwas ändert, also etwa, dass sie mehr machen als vorher oder dass sie das, was sie schon vorher gemacht haben, in einer Weise besser verstehen, die Auswirkung auf die Nutzung der Technik hat. Eine Wüste von letztlich unproduktivem Halbwissen zu hinterlassen, kann meines Erachtens jedenfalls für Anfängerschulungen kein Ziel sein. Die Auswahl der Informationen umfasst ganz wesentlich auch das bewusste Weglassen (im jeweiligen Rahmen), das man dann aber auch bezüglich der Fragen der Teilnehmer durchsetzen sollte, um den Zeitplan nicht kollabieren zu lassen.
Ich selber habe früher statt dessen der Einschätzung zugeneigt, dass es vorteilhaft ist, wenn Leute mal von Möglichkeiten gehört haben, die sie bei der Gelegenheit noch nicht ausreichend verstanden haben, um sie einzusetzen. Mein Argument dafür war, dass diejenigen sich dann im Bedarfsfall dunkel an die Möglichkeit erinnern und sich das konkret notwendige Wissen dann aneignen. Das ist allerdings ein Drahtseilakt; sinnvoll wohl nur für Fortgeschrittene.
Ich denke, man muss sich damit abfinden, dass es schlicht unmöglich ist, einen Termin zu machen, nachdem die Leute alles kennen und können, was wichtig ist (das klappt nämlich sogar bei IT-affinen Leuten nicht einmal annähernd). Also muss man sich überlegen: Was ist für den Anfang wichtig? Meine Antwort:
entschlüsseln
verschlüsseln
signieren
Signaturen prüfen
und auch das nur für bereits eingerichtete Kommunikationspartner (und sich selber); denn typischerweise lernt man nicht wöchentlich neue OpenPGP-Nutzer kennen.
Auf Grund meiner bisherigen Erfahrungen empfehle ich die Aufteilung in drei Veranstaltungsarten:
OpenPGP-Einrichtung (GnuPG & E-Mail)
Interessenten, die OpenPGP noch nicht aktiv verwenden, wird zunächst – ohne jede vorherige Schulung oder die Beantwortung von Fragen – die nötige Software installiert, soweit das nicht schon passiert ist, ein Schlüssel mit sicher gespeichertem Offline-Hauptschlüssel erzeugt und die nötige Konfiguration vorgenommen. Anschließend wird die praxisrelevante Nutzung geübt.
Das scheint die einzige Möglichkeit zu sein, in einem vertretbaren zeitlichen Rahmen zu effektiven Ergebnissen zu kommen. Mit Hintergrundwissen ohne Schlüssel ist den meisten Leuten nicht geholfen. Außerdem ist einiges von dem Hintergrundwissen sehr viel einfacher / schneller zu vermitteln, wenn die Teilnehmer schon wissen, wie das im Ergebnis (also im GUI oder im E-Mail-Client) aussieht. Umgekehrt ist aber die Nutzung der Basisfunktionen Verschlüsseln und Signieren von E-Mails auch (und das ohne große Risiken) möglich, ohne viel über Kryptografie im allgemeinen oder OpenPGP und GnuPG im speziellen zu wissen.
Die Installation von Pidgin, OTR und ggf. einem XMPP-Account hat nicht direkt mit OpenPGP zu tun, ist aber mit wenig Aufwand verbunden und erhöht die Erfolgsaussichten der Schulung: Der Support wird einfacher, die Teilnehmer haben einen weiteren alltagstauglichen Zugang zu Kryptografie und man kann die Nutzung des Aspekts Fingerprint über ein anderes Medium erleben.
Anfängerschulung
Für Leute mit ein wenig OpenPGP-Nutzungserfahrung – also die Teilnehmer der Einrichtungsveranstaltung nach wenigen Wochen u.Ä. – gibt es die Anfängerschulung, in der sie lernen, was sie da eigentlich tun, wie das technisch funktioniert, worauf es dabei ankommt und wie sie die Technik auf höherem Niveau nutzen können, als sie das bisher tun. Bei dieser Gelegenheit können (im Anschluss an die Schulung) auch weitere Schlüssel (für ein insgesamt höheres Sicherheitsniveau, also nicht für Alltagsverwendung) erzeugt oder Zertifizierungen in sicheren Systemen mit dem vorhandenen Schlüssel o.Ä. durchgeführt werden. Außerdem gibt es einen Ausblick auf die Inhalte der Schulung für Fortgeschrittene und Anregungen, wie die Teilnehmer weitere Nutzer für OpenPGP (und andere Formen von Kryptografie) gewinnen können.
Fortgeschrittenenschulung
Die spannenden Sachen: Schlüsseldetails; das Web of Trust (WoT); Angriffe; GnuPG-Möglichkeiten aus der Kids, don't try this at home
-Rubrik; Konfiguration von Details; gpg-split; ein Blick auf RfC 4880; Smartcards; qualifizierte Signaturen; SSH-Authentifizierung; Schlüsselrichtlinien für alle. Aus dem Kreis der Teilnehmer dieser Veranstaltung sollten sich neue Dozenten für die OpenPGP-Einrichtung und die Anfängerschulung ergeben.
Es hat sich als immens zeitaufwendig erwiesen, GnuPG-Neulinge in der Konsole die Schritte einer (per Beamer vorgeführten) Schlüsselgenerierung nachvollziehen zu lassen. Schwer zu sagen, warum. Aber man wartet nach jeder Kleinigkeit und verliert bei jedem Schritt Leute. Am Ende läuft man dann doch den Problemen an den einzelnen Rechnern hinterher, wobei es dann nicht nur Zeit kostet, das zu machen, was die User machen sollten, sondern auch, erst mal nachzuvollziehen, was sie verbockt haben.
Die erste grundlegende Änderung war deshalb, nicht mehr die Teilnehmer selber die Schlüsselerzeugung machen zu lassen, sondern das die Dozenten machen zu lassen. Dauert natürlich immer noch lange, aber dafür ist der Fortschritt planbar. Und hat den großen Vorteil, dass man eben keine Vortragsrunde und keinen Beamer benötigt. Man kann das parallel zu anderen Veranstaltungen machen.
Die zweite große Änderung war, die Schlüsselerzeugung von einem Script erledigen zu lassen, das sich um viele zeitaufwendige Dinge kümmert (und natürlich auch Fehler vermeidet). Die Teilnehmer erstellen sich eine ganz einfache Konfigurationsdatei, die die User-IDs beschreibt, und das Script erledigt den Rest.
Die nächsten Schritte:
Man könnte mal ausprobieren, ob es praktikabel ist, mehrere User gleichzeitig das Script laufen zu lassen. Da können sie ja nicht mehr viel falsch machen, ein Neustart kostet kaum Zeit, und die meisten Probleme, die dabei auftreten können, erfordern kein OpenPGP-Fachwissen, es können also relativ viele Leute dabei helfen (sogar die Teilnehmer untereinander).
Das sollte funktionieren, wenn die Dozenten vorher die Konfigurationsdateien prüfen (was man etwa per E-Mail auch vor der Veranstaltung machen kann, so rein theoretisch).
Im zweiten Schritt, der Integration der Schlüssel ins Arbeitssystem, könnte Zeit gespart werden, wenn man auch dafür ein Script hätte, das
die Dateien kopiert / importiert (je nachdem, ob OpenPGP schon genutzt wird)
die weitere Software installiert (Thunderbird; Enigmail; Pidgin; OTR, GPA)
und das idealerweise für alle in Frage kommenden Betriebssysteme und alle relevanten Distributionen