zur Startseite

über das Projekt

Zwei Haltungen meinerseits haben dazu geführt, dass ich im November 2012 dieses Webangebot ins Leben gerufen habe:

  1. alle brauchen Kryptografie

    Ich bin der Überzeugung, dass es ein geradezu sträfliches Unterlassen ist, dass die Bevölkerung nicht im Umgang mit Kryptografie fit gemacht wird. Die Jugend von heute lernt massenhaft belangloses Zeug in der Schule, aber bezüglich der elementaren Schutzaktionen eines Individuums in der digitalen Welt – bestimmen, wer etwas (nicht) lesen kann, und Daten ihrem Absender verlässlich zuordnen – sind wir eine Gesellschaft von digitalen Analphabeten. Das kann so nicht weitergehen. Und dass man wohl von keinem (relevanten) Land sagen kann, dass es diesbezüglich besser dasteht als Deutschland, ist ein denkbar schwacher Trost. Vertrauen ist gut, Verschlüsselung besser.

    Deshalb bin ich seit Jahren dabei, Leuten OpenPGP beizubringen, was nicht nur eine technische (man kann so viel falsch bzw. schlecht machen), sondern auch eine didaktische Herausforderung ist.

  2. Masse statt Nische

    Ob ich hier in Berlin Leute schule – sogar wenn es hypothetische 1.000 pro Jahr wären – oder in China der berüchtigte Sack Reis umfällt... Beides hat etwa dieselbe statistische Relevanz für die Verbreitung von OpenPGP in Deutschland. Wer ist schon gern irrelevant? Wenn es mir ernst damit ist, etwas zu verändern, muss ich also etwas tun, das mehr bewirkt. Sehr, sehr, sehr viel mehr, als ich hier leisten kann. Und dieses Etwas ist im ersten Schritt die Förderung von Schulungen durch andere Leute.

Warum OpenPGP?

Ich denke, es ist nicht sinnvoll, Neulinge mit der gesamten Breite an Kryptografie und Privatsphäreschutz zu konfrontieren. Ich denke, Neulinge sollten in einem Thema fit werden und sich dann den anderen zuwenden. Auf diese Weise kann Wissen mit Praxisbezug aufgebaut und später in einen anderen Kontext übertragen werden.

Das allein begründet natürlich noch nicht, warum man ausgerechnet mit OpenPGP anfangen sollte und nicht mit Plattenverschlüsselung, HTTPS, OTR, TOR oder was auch immer. Ein Grund für meine Entscheidung ist trivial: OpenPGP ist das, was ich auf sehr hohem Niveau beherrsche (im Gegensatz zu den anderen Dingen). Allgemeine Gründe, die dafür sprechen:

  1. Es ist für jeden relevant

    Die Integrität und Authentizität von Daten sind auch für Leute von Bedeutung, die meinen, sie hätten doch nichts zu verbergen. OpenPGP deckt sowohl von der Art der Funktion als auch den Medien einiges ab. Jeder nutzt E-Mail. Aber mit OpenPGP kann man auch Dateien bearbeiten (z.B. ausgelagerte Backups verschlüsseln). Die Linuxer haben OpenPGP alle unter der Oberfläche: Es sichert das Paketmanagement. Man ist also nicht auf Kommunikationspartner angewiesen, um es zu nutzen. OpenPGP kann sowohl Kommunikation als auch lokal gespeicherte Daten sichern. Plattenverschlüsselung verbessert die Kommunikation nicht.

  2. aktive Nutzung

    Allein dadurch, dass man Festplattenverschlüsselung nutzt (die einem womöglich jemand anderer eingerichtet hat), wird man mit dem Thema nicht vertrauter; durch den regelmäßigen Umgang mit gültigen und ungültigen Signaturen und Schlüsseln aber sehr wohl.

  3. Netzwerkeffekt

    Der Hauptzweck von OpenPGP ist E-Mail. Man kann natürlich auch als Nutzer von Plattenverschlüsselung ein Interesse daran haben, dass die Freunde und Bekannten sich das auch zulegen, aber mit einem selber hat das nicht direkt zu tun.

    Bei OpenPGP-Nutzern, insbesondere "gut sichtbaren" (Mailinglisten) Nutzern und bei Gruppen von Nutzern darf man erwarten, dass sie ein (auch ureigenes) Interesse daran haben, dass mehr ihrer Kontakte diese Technologie verwenden, und entsprechend darauf hinwirken.

  4. Komplexität

    Man muss OpenPGP zum Glück nicht in allen Facetten verstanden haben, um es gut nutzen zu können, aber es deckt mehr Aspekte ab als jede andere relevante Technologie. Wenn man OpenPGP sowieso schon nutzt, ist es einfach, sein Wissen Schritt für Schritt zu vertiefen. Der Transfer der erworbenen Kenntnisse von OpenPGP zu den anderen Themen dürfte einfacher sein als umgekehrt.

mehr Schulungen – die Größenordnung

Um sich die Größe der Aufgabe von vorneherein klar zu machen (nicht, um sich wichtig zu fühlen, sondern um Effektives von Ineffektivem trennen zu können): Wir brauchen 10 Mio. Nutzer, um die digitale Realität zu ändern. Zehn Millionen.

Wenn wir das in zehn Jahren erreichen wollen und jeder Dozent pro Jahr 100 neue Nutzer generiert, dann brauchen wir (bei drastisch vereinfachter Betrachtung) 10.000 Leute, die Schulungen durchführen. Das einzige Beruhigende ist aus meiner Sicht, dass die technisch versierten Leute zu den ersten gehören werden, die solche Schulungen besuchen, und das man aus dieser Gruppe relativ viele neue Dozenten wird generieren können. Das Angebot wird also nicht gleichmäßig wachsen, sondern ziemlich schnell in die Höhe schießen und dann nur noch langsam wachsen.

Die Zahl macht aber klar, das man nicht nur elitäre Kryptografiefreaks als Dozenten akzeptieren kann.

Unterstützung der Dozenten

Durch Bereitstellung von Software, Vorlagen für Materialien und Empfehlungen für die Strukturierung von Schulungen soll der Vorbereitungsaufwand für jemanden, der noch nie eine Schulung gehalten hat, minimiert werden. Gleichzeitig wird damit eine gewisse Qualitätssicherung erreicht.

Dadurch, dass organisatorische Aspekte an Leute ausgelagert werden, die keine große Fachkenntnis haben müssen, werden die Dozenten entlastet und können die Zeit, die sie beizusteuern bereit sind, zu einem größeren Teil für die eigentliche Schulungstätigkeit verwenden.

Durch fachliche Förderung und das Kennenlernen anderer Dozenten und Schulungen sollen aus Schulungswilligen neue Dozenten gemacht werden.

Nachfrage

Mit einer hohen Schulungskapazität allein ist es natürlich nicht getan, es müssen auch genügend Leute solche Schulungen besuchen wollen. Sobald das Angebot halbwegs flächendeckend ist, werde ich versuchen es zunächst in die Fach- und die Branchenpresse, später dann auch in die allgemeine Presse zu bringen. Es wird kaum möglich sein, den Umfang der Nachfrage und den des Angebots immer mit derselben Geschwindigkeit wachsen zu lassen. Es gibt eine Seite mit Überlegungen zum Ablauf.

ergänzende Projekte

Wir brauchen nicht nur mehr OpenPGP-Nutzer, OpenPGP muss auch besser werden: www.openpgp-notations.org (englisch und noch nicht weit gediehen)

Organisation dieses Projekts

crypto für alle / www.openpgp-schulungen.de ist derzeit (Juni 2013) weitgehend eine nichtkommerzielle Ein-Mann-Aktion. Es gibt eine Mailingliste für Interessierte, aber darüber hinaus noch keine Planung, wie weitere Leute in die Projektorganisation eingebunden werden. Ich vermute, dass das sowieso nicht besonders viele werden. Mir schwebt diese Aktion als eine mit lokaler Prägung und zentraler Bereitstellung von Ressourcen vor.

Langfristig – wenn ich keine Zeit oder keine Lust mehr dazu habe oder andere Gründe dafür sprechen – mag ich diese Webseite einem Verein überlassen, der sich stark für diese Aktion engagiert hat oder sich aus anderen Gründen dafür anbietet. Es ist natürlich auch denkbar, dass irgendwann hierfür ein eigener Verein gegründet wird. Das wird sich zu gegebener Zeit entscheiden; derzeit wären Spekulationen darüber reine Kaffeesatzleserei.

Ich will mir mit dieser Aktion keinen bürokratischen Aufwand ans Bein binden. Wenn irgendwann mal Geld bewegt wird (ich denke da vor allem an Spenden, die in Werbung für dieses Projekt investiert werden), gedenke ich, das über einen der gemeinnützigen Vereine abzuwickeln, die die Aktion unterstützen.