Die Community hat entschlossen und unter großer medialer Beachtung losgelegt, ebenso – wenn auch mit weniger klaren Motiven – die Piratenpartei: Es gibt Cryptopartys in Deutschland. Allerdings quantitativ irrelevant. Damit die Nutzung von Kryptografie nicht nur die offensichtlichen Vorteile in der Kommunikation mit anderen Nutzern bringt, sondern sich die Internettechnik dahingehend wandelt, dass sich den Nutzern von Kryptografie neue Möglichkeiten ergeben (signierte und verschlüsselte Kommunikation mit Unternehmen; Schlüssel und Signaturen statt Passwörtern; Signaturen als Spamabwehr), dürften in Deutschland die Größenordnung von zehn Millionen Nutzern erforderlich sein. Eine Million würde der Markt ignorieren (wie die Desktop-Linuxer heute).
Es werden also massenhaft Akteure benötigt, die sich daran beteiligen, Deutschland in die richtige Richtung zu schieben. Um die gesamtgesellschaftliche Relevanz zu verdeutlichen, ist es zudem wünschenswert, nicht nur mehr, sondern auch qualitativ andere Akteure zu bekommen als die bisherigen, die alle mehr oder weniger in der Nerd-Ecke zu finden sind und nicht sehr repräsentativ für die Gesellschaft erscheinen.
Für Unternehmen aus der IT-Branche, insbesondere solche der IT-Sicherheit, bieten sich bessere Möglichkeiten als die Durchführung "normaler" Cryptopartys, zumal nur ein umfassendes Engagement relevant sein kann und ein umfassendes Engagement ökonomisch hinterlegt sein muss.
die eigenen Kunden als Plattform
Die (Unternehmens-)Kunden von IT-Unternehmen haben überwiegend Mitarbeiter, die keine eingefleischten ITler mit Hang zur Kryptografie sind (hinzu kommt: auch die meisten eingefleischten ITler haben keine nennenswerte Ahnung von Kryptografie). Schulungen in Organisationen haben gegenüber denen für die allgemeine Öffentlichkeit eine Reihe von Vorteilen:
Nutzen und Erfolg durch hohe soziale Lokalität
Eins der größten Probleme bei OpenPGP-Schulungen ist, dass die Geschulten kaum Kontakte für den Einsatz der Technik haben. Das reduziert den Nutzen (und damit vorab die Motivation); im Extremfall wird das Gelernte in kurzer Zeit völlig vergessen, weil es nie angewendet wird.
In Organisationen ist das Gegenteil der Fall: Die Teilnehmer einer Schulung kennen einander und kommunizieren miteinander, wobei es von den hierarchischen Vorgaben abhängen dürfte, inwieweit auch innerhalb der Organisation verschlüsselt und / oder signiert wird. Es sind jedenfalls weniger Ausfälle nach einer Schulung auf Grund von Nichtnutzung zu erwarten. Außerdem kann zur weiteren Verbesserung dieses Effekts das private Umfeld der Mitarbeiter einezogen werden.
bessere Vorbereitung
Der Erfolg einer Schulung hängt erheblich davon ab, wie gut die Teilnehmer sich darauf vorbereiten. Bei Mitarbeitern einer Organisation kann man die Vorbereitung besser steuern.
Erwartungshaltung der Leitungsebene
Wenn Führungskräfte der Organisation anstreben, dass die Technik (ggf. ab einem späteren Zeitpunkt) systematisch genutzt wird, und dies auch allgemein klar ist, dann bekommt eine Schulung – selbst wenn sie nicht Teil der Arbeitszeit, sondern freiwillig ist – eine höhere Verbindlichkeit.
Qualität der Technik
Wenn die Organisation die Technik irgendwann auch ganz offiziell einsetzen will, dann wird sie dafür sorgen, dass ihre Mitarbeiter sie auf einem gewissen Niveau beherrschen.
Lernerfolg durch Know-How-Verfügbarkeit
Da die Mitarbeiter der Organisation jederzeit leicht Zugriff auf jemanden haben, der sich besser auskennt (Kollegen), ist jedenfalls bei denjenigen, die sich für die Technik interessieren, weniger zu befürchten, dass sie auf Grund von Problemen keine regelmäßigen Nutzer werden oder sich entgegen ihrer Absicht nicht weiterentwickeln.
sozialer Druck
Wenn ein Großteil der Mitarbeiter die Technik nutzt (auch privat!), dann wird es schwierig, sich dem mit einem billigen brauche ich nicht
zu entziehen. Auch Das ist mir zu kompliziert
ist dann keine Option mehr: Wenn fast alle das machen, riskiert man, sich damit lächerlich zu machen.
IT-Dienstleister, die die Verbreitung von Kryptografie-Know-How unterstützen und / oder sich mit dem Thema profilieren möchten, können Ihren Kunden anbieten, bei ihnen eine oder mehrere Schulungsveranstaltungen durchzuführen. Den interessierten Kunden sollte nahegelegt werden, nicht nur die eigenen Mitarbeiter dazu einzuladen, sondern diese zu motivieren, Leute mitzubringen, mit denen sie privat regelmäßig in Mailkontakt stehen (was natürlich die möglichen Zeiten für so eine Veranstaltung eingrenzt), weil es für die Dauerhaftigkeit der erworbenen Kenntnisse in den meisten Fällen sehr hilfreich sein dürfte, wenn die Mitarbeiter diese Technik (auch) privat einsetzen.
Die Angebotene Veranstaltung sollte allerdings nicht als Cryptoparty tituliert werden. Wie man es nennt, dürfte für das Interesse der Kunden nachrangig sein, aber der Sinn der Sache ist natürlich ein positiver Imageeffekt. Da die "Inhaber der moralischen Markenrechte" an dem Begriff Cryptoparty sehr deutlich gemacht haben, dass sie einer Kooperation mit (sie würden wohl sagen: Vereinnahmung durch) IT-Unternehmen kritisch gegenüberstehen, wäre das ein sinnloses Risiko für erneuten öffentlichen Ärger.
Diese Vorgehensweise böte den IT-Unternehmen mehrere Vorteile:
Tue Gutes und sprich darüber
Das Unternehmen kann gegenüber der Öffentlichkeit mit seinen Aktivitäten werben. Welche Relevanz das hat, ist natürlich von Unternehmen zu Unternehmen verschieden.
Kontaktpflege
Dies ist eine gute Gelegenheit, den Kontakt zu den Kunden zu pflegen oder den zu früheren Kunden zu reaktivieren.
Wenn man dies mit einem sowieso geplanten Besuch beim Kunden verbindet, halten sich zudem die dadurch entstehenden Kosten in Grenzen.
Akquise
Solche Veranstaltungen können auch potentiellen Kunden angeboten werden, zu denen noch gar keine Geschäftsbeziehung besteht.
themenbezogener Umsatz
Für den Fall, dass der Kunde durch diese Veranstaltung Interesse an Produkten und / oder Dienstleistungen (das kann auch eine detailliertere Schulungs sein) entwickelt, die das IT-Unternehmen nicht (sinnvoll) selber erbringen kann, mag es sich vorab einen Partner suchen, der genau das übernehmen kann, und darüber eine Provision sichern. Auch ohne Provisionsinteresse hätte dies den Vorteil, dass die Wahrscheinlichkeit steigt, dass der Kunde tiefer in das Thema einsteigt und dadurch dauerhaft einen positiven Imageeffekt produziert.
Kontakte der Kunden
Möglicherweise möchte der Kunde sich bei seinen Kunden und / oder Lieferanten damit profilieren, dass er entsprechend technisch aufrüstet. Es ist vorstellbar, dass der Kunde einen gemeinsamen Termin mit Geschäftspartnern organisiert (das hätte dann auch praktische Vorteile: Schlüsselaustausch). Auf diese Weise kann das durchführende Unternehmen in Kontakt mit potentiellen Kunden kommen.
Was man dem Kunden als Inhalt der Veranstaltung anbietet, sollte primär davon abhängen, was für ihn mutmaßlich am nützlichsten ist. Man mag dem Kunden unterschiedliche Vorträge anbieten und ihn auswählen lassen. Relevante Aspekte für diese Entscheidung:
Überblick vs. Spezialisierung
Die Grundidee der Cryptopartys ist, mehr oder weniger alles vorzustellen, das für die Themen Kryptografie, Privatsphäre und Anonymisierung relevant ist. Cryptopartys sind allerdings oftmals abendfüllende Veranstaltungen, wogegen man dieses Angebot wohl nicht über zwei bis drei Stunden hinaus ausdehnen möchte. Ein umfassender Überblick macht es schon zeitlich fast unmöglich, mit den Teilnehmern noch konkret zu arbeiten.
Ideal wäre es, mehrere Termine zur Verfügung zu haben. Auf dem ersten werden die Teilnehmer mit dem ganzen Themenkomplex oberflächlich vertraut gemacht. Danach entscheiden sie sich, womit sie sich näher befassen wollen.
Nachhaltigkeit
Das beste Ergebnis einer Schulungsveranstaltung ist, dass der Teilnehmer etwas Funktionierendes auf seinem Rechner hat, das ihn interessiert. Das ist nur dann wirklich verzichtbar, wenn er qualifiziert ist, das auch selber zu installieren und einzurichten.
Ein reiner Vortrag (ohne Bastelteil) muss entweder die Teilnehmer für Software interessieren, die sie dann selber installieren und nutzen können, oder es sollte gesichert sein, dass das nicht der einzige Termin ist.
Optimierung des Praxisteils
Viele Cryptoparty-Veranstalter haben die Erfahrung gemacht, dass es sehr schwierig ist, eine Veranstaltung, auf der den Teilnehmern Software eingerichtet wird, effizient (und gleichzeitig qualitativ hochwertig) zu gestalten. Die Lernkurve erweist sich als ziemlich gestreckt.
Für einen IT-Verband bieten sich mehrere Möglichkeiten, unterstützend einzugreifen:
fachliche und organisatorische Kooperation
Er kann seine Mitglieder in nützlicher Weise zusammenführen, so dass mehr fachliche Aspekte abgedeckt werden können. Außerdem mag es fallweise möglich sein, die Veranstaltungen für nicht weit voneinander entfernte Kunden unterschiedlicher Unternehmen zusammenzulegen.
geeignete Dienstleister
Es mag ineffizient erscheinen, relativ hoch qualifizierte Leute zu einer Veranstaltung zu schicken, auf der sie Gpg4win installieren und Enigmail einrichten. Deshalb mag es attraktiver sein, sich selber auf den Vortrag zum "großen Ganzen" zu beschränken. Es wäre dann im Sinn aller Beteiligten, wenn man dem Kunden einen kostengünstigen Dienstleister nennen könnte, den er für eine zweite, praxisorientierte Veranstaltung anheuern kann. Das mögen sogar Leute sein, die ansonsten "normale" Cryptopartys durchführen. Dass Dutzende Unternehmen sich jeweils in jeder Stadt einen solchen Dienstleister suchen, den sie empfehlen, oder sie ihren Kunden mit dem Problem allein lassen, ist nicht erstrebenswert.
Vortragsunterlagen
Es muss auch nicht jeder das Rad neu erfinden. Ein Verband kann seinen Mitgliedern eine zentrale Präsentation anbieten oder sie zumindest mit Links auf frei verwendbare Materialien versorgen. Je weniger Aufwand ein Unternehmen damit hat, so etwas mal auszuprobieren, desto mehr werden sich an der Aktion beteiligen.
Einladungsmaterialien
Auch den Aufwand, das Angebot zu so einer Veranstaltung so zu gestalten, dass der Kunde den Termin gar nicht erwarten kann, muss nicht jedes Unternehmen leisten. Gerade vor dem Hintergrund, dass so eine Aktion nur dann sinnvoll ist, wenn sie über Jahre läuft, mag es sogar angemessen erscheinen, ein Video dafür zu drehen. Wenn man das bei YouTube reinstellt, mag es (mangels vergleichbaren Materials) sogar von Veranstaltern "normaler" Cryptopartys genutzt werden, in der Art von: So ähnlich machen wir das auch.
weiterführende Informationen für die Teilnehmer
Angesichts der Komplexität der Thematik drängt es sich auf, dass man den Teilnehmern Quellen nennt, über die sie sich weitergehende Informationen besorgen können. Das können natürlich die allgemeinen sein, aber besser sieht es natürlich aus, wenn das eine Website für die Veranstaltung und das durchführende Unternehmen ist. Man könnte kryptoschulung.verband.de zu so einer allgemeinen Anlaufstelle machen und den Mitgliedern die Möglichkeit geben, das als kryptoschulung.firma.de (in Teilen) zu übernehmen.
"Werbung":
Der Verfasser dieses Textes (und Betreiber dieser Website) hat ein Konzept für eine (primär an Privatleute gerichtete) kostenlose IT-Dienstleistung im Kryptografiebereich entwickelt, das für Unternehmen als PR-Aktion interessant sein mag (Umsetzung technisch wenig anspruchsvoll).