Version 1.0, 11.07.2014
Es ist offensichtlich, dass es aussichtslos ist, der Masse der Bevölkerung brauchbare Kryptografie-Kenntisse zu vermitteln, wenn es nicht gelingt, die Schulen dafür einzuspannen. Das Thema an Schulen zu etablieren erweist sich aber als unerwartet schwierig.
Im Ergebnis wird das an den meisten Schulen nur dann (zeitnah) gelingen, wenn sie über einen längeren Zeitraum externe Unterstützung bekommen. Neben der Frage, wo man die Leute für viele tausend Schulen herbekommen soll, wird sich für zumindest viele Schulen eine weitere Frage stellen angesichts des Umstands, dass es sich dabei um ein wenigstens halboffizielles Angebot der Schule handelt: Wer ist dafür ausreichend qualifiziert?
Mal abgesehen davon, dass man die Gruppe der Helfer nicht sinnlos verkleinern darf, wäre es nicht einmal ausreichend, sich auf einen Universitätsabschluss in Informatik oder Mathematik zu verlassen, weil die meisten Absolventen dieser Fächer mit den üblichen Cryptoparty-Inhalten nicht vertraut gemacht werden. Die Mathe-Ebene ist für solche Schulungen uninteressant. Und auch Experten für die Anwender-Ebene von Kryptografie haben nicht automatisch Ahnung von z.B. Anonymisierung – der Verfasser spricht hier aus Erfahrung...
Das Bundesamt für Sicherheit in der Informationstechnik könnte beide Probleme lösen und damit mehrere positive Nebeneffekte produzieren. Für die wichtigsten Themen, etwa
E-Mail-Verschlüsselung (OpenPGP, S/MIME)
Transport-Verschlüsselung (SSL/TLS)
offene Chatsysteme (XMPP)
Chatverschlüsselung (OTR, Textsecure)
Laufwerksverschlüsselung
Anonymisierung (Tor)
Live-Systeme (Knoppix, Tails)
alternative Mail-Systeme
alternative Social-Media-Systeme
eher nicht die BSI-Kernkompetenz: gesellschaftspolitische Aspekte (Datenschutz; Monopolisierung; Demokratiegefährdung)
könnten BSI-Mitarbeiter regelmäßig kostenlose Prüfungen zu der vom Prüfling gewünschten Auswahl an Themen anbieten – idealerweise jeweils an einer Schule. Das Bestehen würde dann ganz offiziell bestätigt (auf Wunsch öffentlich). Die derart zertifizierten Helfer könnten sich beim BSI mit der Region, die für sie in Frage kommt, registrieren, so dass Schulen die Möglichkeit hätten, nach Helfern in ihrer Gegend zu suchen (Weiterleitung von Mailanfragen an diejenigen, die sich nicht auf der Webseite veröffentlichen lassen).
In Metropolen (Berlin, Hamburg, München, Köln) wäre ein monatlicher Termin angemessen. In den Großstädten der nächsten Kategorie entsprechend seltener. In den Flächenländern sollten die Orte rotieren, so dass in den relevanten Gegenden wenigstens einmal im Halbjahr ein solcher Termin stattfindet. Außerdem bieten sich (gerade auch nichtkommerzielle) IT-Messen u.Ä. (z.B. LinuxTage) dafür an.
Mehrere positive Nebeneffekte wären von dieser Vorgehensweise zu erwarten:
Durch diese Zertifizierungen bekämen die Veranstaltungen an Schulen bzw. das Angebot der Helfer gegenüber den Schulen einen offiziellen Charakter. Das mag nützlich sein bei den Anstrengungen, an möglichst vielen Schulen so etwas einzuführen. Bisher zeigt die Erfahrung, dass die Begeisterung mancherorts doch arg gebremst ist.
Auch wenn es sich vom Umfang und Niveau her um begrenzte Prüfungen handelt, wäre diese Bestätigung einerseits eine ideell relevante Anerkennung, andererseits zumindest für manche Leute auch als Qualifikationsnachweis an anderer Stelle konkret hilfreich. Insbesondere Leute, die eine Ausbildung oder ein Studium in einem anderen Bereich absolviert haben, könnten sich für Arbeitgeber (und sei es für Praktika) durch den Nachweis dieser sehr praxisrelevanten Kenntnisse interessanter machen.
Da – jedenfalls außerhalb der Metropolen – über anstehende Termine in der Lokalpresse berichtet würde, würde regelmäßig Aufmerksamkeit auf das Thema Kryptografie (an Schulen) gelenkt.
Version 1.0, 11.07.2014 (diese Version, Permanentlink)