zur StartseiteWishlist-Startseite

ein Mitmach-Symbol für IT-Sicherheit

Version 1.2, 11.08.2014

Eins der größten Probleme bei der Verbreitung von Kryptografie (und ähnlichen Themen) ist der eklatante Mangel an Sichtbarkeit des Themas im Alltag. Das ist sowohl im Internet ein Problem als auch offline:

Sogar auf IT-Veranstaltungen sehen im allgemeinen die Nutzer von Kryptografie genauso aus wie die Nichtnutzer; anders formuliert: Die Vorreiter fallen nicht positiv auf, die Verweigerer nicht negativ. Was der Entwicklung eines öffentlichen Bewusstseins wahrscheinlich erheblich helfen kann, ist ein allgemeines, weit verbreitetes Symbol, das über seinen Verwender in etwa aussagt:

Ich kümmere mich aktiv um meine digitale Sicherheit!

Man sollte das nicht zu eng präzisieren, sondern so weitreichend, wie sinnvoll möglich, um möglichst viele Leute damit zu erfassen und die Beteiligungshürde klein zu halten. Man würde wohl erwarten, dass ein Verwender dieses Symbols wenigstens E-Mail-Verschlüsselung beherrscht, aber wenn jemand das nicht tut, aber seine Festplatte verschlüsselt hat oder verschlüsselt chattet, ist er auch schon einer der Guten. Klar müsste aber sein, dass das keine Ich finde es gut, was andere machen-Aussage ist, sondern ganz klar ein Ich bin höchstselbst aktiv und konkret in ernstzunehmender Weise dabei, so dass man sich nicht einfach damit schmücken könnte, sondern es durchaus eine Auszeichnung wäre – eine selbstverliehene, kein Gütesiegel von Dritten.

Da in diesem Fall automatisch eine gewisse technische Kompetenz (nicht unbedingt bezüglich der Einrichtung der Technik, aber wenigstens bezüglich ihrer Nutzung) dabei wäre, wäre das Tragen dieses Symbols keine reine Meinungsverbreitung (wie bei Anti-Atomkraft- oder Gegen-Nazis-Symbolen), sondern unterschwellig auch immer ein Wenn Sie Fragen zu dem Thema haben, können Sie sich an mich wenden. Da bisher quasi niemand jemanden in seinem Umfeld weiß, der sich damit auskennt, wäre das durchaus von praktischer Relevanz.

Eins der Ziele wäre, dass in Diskussionen mit Nicht-Fachleuten, die das Thema berühren, also typischerweise politische Diskussionen keiner mehr ohne eine entsprechende Krawattennadel oder einen entsprechenden Button auftauchen könnte, weil das gleich die Frage aufwerfen würde: Kann der nicht mal E-Mails verschlüsseln? Und wenn ja, warum sitzt er dann da und darf mitreden? Das Symbol zu tragen, ohne sich die nötige Technik angeeignet zu haben, würde wohl als Täuschung der Öffentlichkeit bewertet, was politische Karrieren in Deutschland leicht beenden kann.

Die Online-Sichtbarkeit würde dahingehend verbessert, dass ein Logo viel eher auffällt als entsprechende Hinweise im Text und auch flexibler nutzbar ist.

hohe Verbreitung durch Neutralität

Durch die Allgemeinheit dieser Aussage wäre so ein Symbol in vielerlei Hinsicht neutral, Ausgrenzungen wären zu vermeiden:

Natürlich lassen sich für jede dieser Abgrenzungen Argumente finden, aber das Ziel dieser Aktion ist nicht, die vermeintlich eine allerbeste technisch-organisatorische Lösung in ihrer Nische etwas heller erstrahlen zu lassen, sondern das Oberthema, unter dem diese Diskussionen stattfinden, zu fördern; denn wenn das nicht gelingt, sind die Detaildebatten rein akademisch. Hinzu kommt, dass auch für z.B. die Nutzung von OpenPGP unter Linux jemand, der X.509 unter Windows nutzt, viel mehr bringt als ein Windows-, Mac- oder sogar Linux-Nutzer, der sich für Kryptografie nicht interessiert. Eine entspechende Kampagne für einen der obigen Ausschnitte des Themas hätte keine Chance auf öffentliche Relevanz, zumal sich sofort Widerstand bei den Verfechtern der Alternativen regte, was für Außenstehende – die Zielgruppe – wenig atrtaktiv wäre. Aber wer würde sich dem Motto Wir müssen das Niveau unserer IT-Sicherheit erhöhen entgegenstellen? Deshalb ist mit dem allgemeinen Ansatz erhebliche Wirkung möglich, zumal nur dadurch die nötige Bekanntheit erreicht wird, die erforderlich ist, damit auch Nicht-ITler das Symbol im gewünschten Umfang wahrnehmen.

Auf Schulungsveranstaltungen aller Art könnte das Symbol als Aufkleber und Button verteilt werden. Unternehmen, die die Verbreitung von Kryptografie-Know-How fördern möchten, könnten auch entsprechend bedruckte T-Shirts sponsern, die dann auf Cryptopartys und insbesondere auf erstmaligen Veranstaltungen (etwa an Schulen und Hochschulen) verteilt würden. Auch Zeitschriften könnte – entsprechender Inhalt vorausgesetzt – so ein Aufkleber beiliegen.

Nutzung des Symbols durch Privatleute

Bei der Nutzung auf Webseiten würde man erwarten, dass mit dem Logo eine Seite verlinkt wird, auf der Verwender erläutert, was konkret er macht, und auf der die offizielle Webseite der Aktion verlinkt wird. Wünschenswert wäre, dass der Verwender in seinen eigenen Worten versucht den Lesern die Wichtigkeit des Themas zu vermitteln. Außerdem sollten für die wichtigsten Zielgruppen weiterführende Informationen angeboten werden. Diese Seite böte sich auch dafür an, eigene Zertifikate zu verlinken, (mit z.B. OpenPGP) signierte Fingerprints (für z.B. Chatsysteme) anzugeben u.Ä.

Wenn der Verwender keine eigene Seite erstellt, dann müsste er die offizielle Seite verlinken.

Nutzung des Symbols durch Schulungsanbieter

Eine eigene Variante sollte für die Verwendung durch nichtkommerzielle (z.B. Cryptoparty), aber auch kommerzielle Schulungsanbieter angeboten werden. Der Sinn des Symbols ist, bei den Außenstehenden ein Bedürfnis nach besserer Technik zu wecken. Dieses Bedürfnis sollten die Leute möglichst leicht in die Tat umsetzen können. Wenn sie auf (grundsätzlich) geeignete Schulungsanbieter besser aufmerksam werden, weil sie das Symbol in deren Außendarstellung wiedererkennen, ist das eine entspechende Erleichterung.

Wichtig wäre, hinreichend deutlich zu machen, dass das Symbol ein Thema bezeichnet, aber kein Gütesiegel ist. Schulungsanbieter könnten verpflichtet werden, mit dem Logo eine Seite zu verlinken, die gleich zu Beginn diese Klarstellung enthält (und die Seite mit der offiziellen Klarstellung des Projekts verlinken muss).

Die Nutzung des Symbols durch Schulungsanbieter zu Werbezwecken würde es wahrscheinlicher machen, dass diese Anbieter das Symbol über ihre Kunden weiterverbreiten, etwa in Form von Aufklebern und Buttons.

Diese Variante könnte sogar von Organisationen verwendet werden, die selber (noch) nicht die Anforderungen erfüllen, um das Symbol selber (also auf ihre eigenen Aktivitäten bezogen) verwenden zu dürfen, aber ihre Kontakte auf die Aktion hinweisen und dazu animieren wollen, selber entsprechend aktiv zu werden. Die könnten damit auf anderer Leute Schulungsangebote verweisen. Vor allem Unternehmen, Schulen und Hochschulen könnten entsprechende Plakate in ihrem Räumlichkeiten aufhängen. Diese Plakate könnten sogar als Vorlage in Papierform verteilt werden, die dann durch einen aufgeklebten Ausdruck um den Hinweis ergänzt würden, an wen sich der Betrachter nach Meinung des Plakatverwenders zwecks Weiterbildung wenden sollte.

Unternehmensvariante

Das Symbol wäre – in einer anderen Variante – auch von Unternehmen zu nutzen, um deutlich zu machen, dass sie ihren Kunden / Nutzern (deutlich) mehr bieten als üblich. De facto hieße das, dass man zumindest ein Zertifikat hinterlegen kann.

Wenn dieses Symbol auf einer kommerziellen Webseite oder der einer Organisation verwendet wird, dann würde man nicht nur erwarten, sondern verlangen, dass es mit einer Seite verlinkt ist, die einerseits aufführt, was das Unternehmen Bemerkenswertes anbietet (und seit wann), und andererseits die offizielle Projektseite für die Unternehmensvariante verlinkt. Auch die Unternehmensseite müsste deutlich klarstellen, dass dies kein Gütesiegel, sondern eine Selbsterklärung ist.

Da dies für Unternehmen eine Werbewirkung hätte und die Aussage eine andere wäre (Ich mache irgendwas bei Privatleuten vs. Wir machen deutlich mehr als der Durchschnitt bei Organisationen), muss die Unternehmensvariante anders gehandhabt werden, und zwar nicht nur durch präzisere Vorgaben, sondern auch durch eine zeitliche Begrenzung. Was 2014 noch deutlich überdurchschnittlich ist, muss es 2018 nicht mehr sein. Dieses Problem mag man dadurch in den Griff bekommen, dass die Unternehmensvariante mit einer Jahreszahl versehen wird. Alle z.B. zwei Jahre könnten die Organisatoren die Regelungen überprüfen und ggf. anpassen. Man könnte auch das Ende der Gültigkeit mit ins Symbol aufnehmen, also etwa 2014–2016.

Varianten des Symbols

Da es bei IT-Sicherheit sehr darauf ankommt, auf welchem Niveau man sie betreibt, und die Qualifizierung der Bevölkerung ein langfristiges Projekt in mehreren Stufen ist, kann man durch Varianten des Symbols die Aussage präzisieren, etwa so:

für Privatleute
schwarz erste Näherung an das Thema (z.B. verschlüsselter Chat)
bronze hochwertige E-Mail-Verschlüsselung (OpenPGP oder S/MIME)
silber (bronze plus) Festplattenverschlüsselung
gold (silber plus) besonders gesicherter Computer verfügbar (gesonderte Hardware oder Booten eines sicheren Systems)

Ähnliches könnte man für Organisationen machen, um einerseits die Einstiegshürde niedrig zu halten und andererseits einen Anreiz zu bieten, mehr als nur das Minimum zu tun.

Verbreitung

Es spricht nichts dagegen, dass die Verbreitung des Logos positiv auf diejenigen zurückfällt, die die Aufkleber, Buttons oder T-Shirts im Rahmen einer inhaltlich passenden Aktion in Umlauf gebracht haben. Deshalb könnte ein kleiner Teil der Fläche dafür vorgesehen werden, das Logo oder (weniger auffällig: in vertikaler Schrift) die URL der jeweiligen Organisation aufzunehmen.

Das wäre auch bei online verwendeten Grafiken möglich: Eine Organisation bietet eine an die angepasste Grafik an, und die Nutzer dieser Grafik – also etwa die Leute, die durch einen Artikel oder eine Aktion dieser Organisation an das Thema IT-Sicherheit herangeführt wurden – verlinken keine eigene Seite, sondern eine dieser Organisation (die im Zweifelsfall besser gemacht ist und gepflegt wird). Die Organisation würde eine Reihe solcher Seiten anbieten, um die wichtigsten Fälle (also Kombinationen genutzter Technik) abzudecken, so dass jeder eine Seite verlinken kann, die seine persönliche Situation treffend beschreibt.

Entwürfe

Das müssen Leute mit künstlerischem Verständnis übernehmen; aber da diese Seite schlecht so ganz ohne Bilder auskommt...

Es hätte wohl Vorteile, bei der Verwendung von Text bei Englisch zu bleiben.

Entwurf 1

Symbolentwurf

Die Unternehmensvariante könnte sein: WE DO CARE

Ergänzungen

Zusammen mit dem Symbol könnte man eine Zusammenstellung von (mehr organisatorischen als technischen) Verhaltensregeln für Kryptografie bzw. IT-Sicherheit veröffentlichen, einen Crypto-Knigge. Das wäre wenig Mehraufwand und eine der wenigen Möglichkeiten, so etwas zu etablieren. Da jede Aktion schon für sich große Berechtigung hat, erschiene die Kombination als noch gewichtigerer Schritt bei der Verbreitung von Kryptografie, und auch irgendwie "fairer": Die einen müssen endlich anfangen, überhaupt was zu machen, aber die anderen müssen endlich anfangen, es richtig zu machen.

Versionen dieses Dokuments

[Hier ist die Seite zu Ende.]