Version 1.0, 18.10.2013
Das klappt sowieso nicht
– Derartiges bekommt man von vielen Leuten zu hören, durchaus auch solchen, die dem Thema Kryptografie wohlwollend gegenüberstehen. Ein bisschen wie bei Linux: Die meisten Linuxer halten Linux auch auf dem Desktop für das bessere System, aber dass es auch diesen Teil der IT-Landschaft in überschaubarer Zukunft domninieren wird, glauben die wenigsten.
Ich halte es für wichtig, dass man sich vor so einer Einschätzung gut überlegt, was die entscheidenden Faktoren dafür sind, ob irgendwann mal viele Leute Kryptografie nutzen (und in welcher Qualität und Quantität). Die Faktoren, die bei dieser Betrachtung normalerweise berücksichtigt werden, sind:
Ist die Zielgruppe von der Wichtigkeit der Technik (für ihren eigenen Alltag) überzeugt?
Ist die Technik für die Zielgruppe leicht zu bedienen?
Sind die Konzepte hinter der Technik für die Zielgruppe leicht zu verstehen?
Wie groß ist der Nutzen für den einzelnen, der jetzt auf diese Technik umsteigt?
Und wenn man diese Aspekte betrachtet, sieht es natürlich düster aus, zudem ohne Aussicht auf Besserung. Kryptografie hat ein immens besseres Image als noch im Mai 2013, aber entscheidend ist natürlich nicht der Anstieg, sondern ob man bei den Leute die "Ich mach jetzt auch mit"-Schwelle erreicht. Und die ist auch mit dem breiten Feuer der Medien über Wochen hinweg – mehr als das werden wir nie bekommen – nicht erreicht worden.
Es gibt aber noch weitere starke Einflüsse, die zumeist nicht gesehen werden, weil sie bisher keine Rolle spielen, das zum Teil noch gar nicht können. Wie viel Einfluss diese Aspekte wirklich haben und wie stark diese Faktoren überhaupt eintreten, ist zugegebenermaßen Spekulation.
Sichtbarkeit ←
Wo und wie oft wird man bisher mit dem Thema Kryptografie konfrontiert? Fast nur, wenn man danach sucht oder sich in den Nerd-Ecken des Netzes herumtreibt. Also ist jedem klar: Das ist eine Nischentechnik, nichts für Normalos.
Das muss aber nicht so bleiben. Alle, die schon Kryptografie nutzen (oder das planen), – Privatleute, Unternehmen, sonstige Organisationen – können die Sichtbarkeit von Kryptografie im öffentlichen (Online-)Raum erhöhen: indem sie zumindest auf ihrer Kontaktseite entsprechende Links setzen oder sogar in der Textsignatur ihrer E-Mails. Siehe meine Seiten für OpenPGP-Unetrstützer.
Ich schreibe gezielt Leute an, die auf ihrer Kontaktseite PGP erwähnen, aber keine weiterführenden Links anbieten. Viele (v.a. die Privatleute) reagieren positiv auf diesen Hinweis (habe darüber noch keine Erfolgsstatistik erstellt).
Ich denke, wenn die "ganz normalen Leute" über Monate und Jahre hinweg an immer mehr Stellen im "ganz normalen Leute" auf Nutzen Sie Kryptografie!
stoßen, dann wird das bei vielen letztendlich dazu führen, dass sie aktiv werden.
feste Nutzergruppen ←
Eins der großen Probleme, wenn man sich OpenPGP-Software installiert, ist: Das hat ja niemand, den man kennt. Also bleibt es graue Theorie und wird irgendwann vergessen.
Dieses Problem hat man aber nicht, wenn man die Technik ganzen Gruppen beibringt, die lange zusammen bleiben. Das wären zunächst mal Schüler, aber auch (mit etwas schlechterer, aber immer noch guter Ausgangslage) Studenten. Natürlich lassen sich weitere mögliche Gruppen finden, aber wohl kaum in dieser Größenordnung.
Wer die Technik jahrelang intensiv genutzt hat, legt sie danach nicht einfach ab, nur weil er die Gruppe verlässt, zumal Schüler und Studenten ja nach der Schule bzw. Uni mit anderen Ex-Schülern oder eben Ex-Studenten zusammentreffen, die – in einer anderen Gruppe – diese Technik hoffentlich auch gelernt haben.
zwangsweise berufliche Nutzung ←
Berufsgeheimnisträger – Rechtsanwälte, Steuerberater, Banker, aber auch Ärzte (wobei deren Bedarf an elektronischer Kommunikation mit den Patienten nicht so groß ist) – sind rechtlich verpflichtet, die Vertraulichkeit der Daten ihrer Kunden zu schützen. Das können sie (technisch) natürlich nur dann, wenn die Kunden da mitspielen, aber der Druck, zumindest die eigenen Hausaufgaben zu machen, ist da höher als anderswo. Wer will sich denn schon eine Abmahnung einfangen oder auch nur öffentlichen Spott, weil der Wettbewerber sich die Technik angeeignet hat?
Es ist nicht unwahrscheinlich, dass die entsprechenden Berufsverbände (über ihre Zeitschriften) ihre Mitglieder kontinuierlich dazu ermuntern, wenn man erstere entsprechend bearbeitet. Vorstellbar ist etwa, dass in jedem Heft kostenlos eine Art Anzeige für die kostenlosen Schulungsangebote im Rahmen von CryptoPartys gedruckt wird.
neue Möglichkeiten ←
Für manch einen Normalo ist der Punkt des Aktivwerdens vielleicht dann erreicht, wenn die Technik ihm konkrete Vorteile bietet. Das könnte etwa das Angebot seiner Bank sein, zukünftig Informationen per E-Mail zu schicken, wenn er dort seinen Schlüssel hinterlegt. Oder die Schule verschickt vertrauliche Informationen per E-Mail, wenn die Eltern ihren Teil dazu beitragen; oder akzeptiert Entschuldigungen elektronisch (in beiden Fällen werden Manipulationen durch die Kinder erschwert).
sichere Kommunikation mit Unternehmen, deren Kunde man ist ←
Rechnungen, vielleicht sogar Werbung (wenn sie individualisiert ist und deshalb Rückschlüsse zulässt) auf Wunsch verschlüsselt zu erhalten, mag für viele attraktiv sein. Sogar für diejenigen, die keinen Grund sehen, die von ihnen selber verfassten Mails zu verschlüsseln. Diese Form der "Einbahnstraßen-Kryptografie" wäre zudem die am wenigsten aufwendige.
Für Unternehmen, gerade die ersten mit so einem Angebot, mag dieser Schritt einen werblichen Nutzen haben, weit über die Kundschaft, die das Angebot in Anspruch nimmt, hinaus.
Vorbilder ←
Vielleicht gelingt es, Prominente (nicht solche aus der IT-Ecke) für eine Art Werbekampagne zu gewinnen: Ich bin jetzt auch sicher
Das waren alles Möglichkeiten, die keine Vorbedingungen haben, um deren Realisierung man sich sofort mit passablen Erfolgschancen bemühen kann. Allerdings muss einem dabei klar sein: Der Erfolg wird sich eher in Jahren als in Monaten einstellen. Wenn die Menge der Nutzer eine kritische Masse erreicht hat, kommen weitere Aspekte hinzu:
sozialer Druck ←
Es ist nicht entscheidend, wie einfach etwas zu benutzen ist. Entscheidend ist, ob (oder zu welchem Preis) man in seiner peer group damit durchkommt, etwas nicht zu nutzen. Wenn vielleicht ein Drittel der Leute in einer Gruppe Kryptografie nutzt, wird es mit den Ausreden gefährlich. Zu kompliziert?
Kommt nicht mehr wirklich in Frage; keiner möchte am Ende der eine Idiot sein, den die anderen für zu blöd halten. Brauche ich nicht?
Auch gefährlich. Ist man als einziger langweilig? Möchte man ausgelacht werden? Wie reagiert man, wenn der Anteil der Nutzer so groß geworden ist, dass Leute sagen können, dass sie bestimmte Informationen unverschlüsselt einfach gar nicht mehr verschicken, unsignierte Willenserklärungen in bestimmten Fällen nicht mehr akzeptieren?
absehbare Entwicklung ←
Wenn der Punkt erreicht wird, an dem zumindest ein Großteil der Schüler die Schule mit alltagstauglichen Grundkenntnissen in Kryptografie verlässt, dann ist klar, dass diese Technik sich durchsetzen wird. Der Anteil der Nutzer wird immer größer, ebenso der Druck auf die anderen. Alleine schon diese Perspektive mag einige Leute dazu bringen, sich das anzueignen, schon Jahre bevor man von echtem Druck sprechen kann.
gesetzlicher Zwang oder Druck ←
Der Gesetzgeber könnte alle Unternehmen, die Online mehr als x Kunden pro Jahr haben, dazu zwingen, dass sie ihren Kunden ohne Mehrkosten anbieten, die Kommunikation zu signieren und / oder zu verschlüsseln. Auch ein Umstieg auf digitale Signaturen bei Bestellungen ist denkbar.
Wenn IT-Sicherheit im allgemeinen Bewusstsein präsent und konkretisierbar ist, könnte der Gesetzgeber klare Haftungsregeln aufstellen: Wer von unsicheren Systemen aus Onlinebanking o.Ä. betreibt, bleibt auf eventuellen Schäden sitzen. In diese Situation begibt der Deutsche sich nicht gern.
berufliche Anforderung ←
Wenn Unternehmen, auch kleine, dazu übergehen, öffentlich darauf hinzuweisen, dass sie die Technik zumindest für ihre Kommunikation unterstützen, dann spielt es eine Rolle, wie fit die Mitarbeiter darin sind. Dann wird es bewerbungsrelevant, ob man damit umgehen kann. Dass man es nicht kann, sagt Unerfreuliches über einen aus, auch wenn das Wissen für die konkrete Position gar nicht relevant ist.
neue Möglichkeiten der Accountverwaltung ←
Webseitenbetreiber könnten dazu übergehen, dass man nicht mehr ein Passwort bei ihnen hinterlegen muss (das ihnen früher oder später geklaut wird), sondern seinen öffentlichen Schlüssel.
Spam und Onlinekriminalität ←
Irgendwann wird E-Mail eine kryptografische Signatur zur Transportautorisierung bekommen. Damit sind Spam und andere Formen der Onlinekriminalität dann weitgehend erledigt.
Das sind alles keine Selbstläufer, aber dass in zehn bis fünfzehn Jahren die Mehrheit der Bevölkerung auf passablem Niveau Kryptografie nutzt, ist nicht unrealistisch.