Cryptopartys für alle

Verschlüsselung will gelernt sein: „Wir müssen weg von der Haltung, dass jeder automatisch qualifiziert sei, das Internet zu nutzen“, sagt IT-Experte Hauke Laging

INTERVIEW JÖRN ALEXANDER

taz: Herr Laging, nach Prism und Tempora, ist sichere Kommunikation im Internet noch möglich oder muss das World Wide Web neu erfunden werden?

Hauke Laging: Das WWW ist ja nur ein Teil, vielleicht der kleinste Teil des Problems, weil es zwar für geschäftliche Transaktionen, aber weniger für zu schützende Kommunikation genutzt wird – dort im Wesentlichen im Fall von Webmail. Was sicherlich „neu erfunden“ werden muss, ist unser Verständnis von Kommunikation. Es gibt nicht „das eine Internet“, in dem wir „irgendwas“ machen, sondern wir tun Dinge von sehr unterschiedlicher Wichtigkeit, und wir müssen lernen, dem Rechnung zu tragen. Manches kann man im Internetcafé tun, manches am Smartphone, aber manches sinnvollerweise eben auch nur am vertrauenswürdigen, gesicherten Rechner zu Hause. Wir müssen weg von der Haltung, dass jeder automatisch qualifiziert sei, Computer und das Internet zu nutzen – wofür auch immer – und es das Problem der Technik sei, wenn etwas schiefgeht, nie aber das des Benutzers, weil man von dem ja rein gar nichts verlangen könne. Das Problem des massenhaften Abgreifens „halböffentlicher“ Informationen, wie bei Facebook, ist technisch womöglich gar nicht sinnvoll lösbar. Da muss man wohl politisch ran.

Mit dem entsprechenden Fachwissen kann ich also auch im digitalen Zeitalter sicher kommunizieren?

Für sichere Kommunikation benötigt man: erstens Fachwissen; zweitens die Bereitschaft und Disziplin, den nötigen Aufwand zu treiben; und drittens müssen diese Aspekte für die gesamte Kommunikationskette, also für alle beteiligten Personen und Geräte gelten. Bei „sicher“ muss man noch zwischen der Vertraulichkeit und Integrität der Daten auf der einen Seite und der Unentdecktheit der Kommunikation an sich auf der anderen Seite unterscheiden. Grundsätzlich gilt das Obige aber für beide Fälle. Verlässlich anonym zu kommunizieren dürfte schwieriger sein.

Okay, dass klingt recht kompliziert, aber deshalb bieten sie ja auch Cryptopartys und Schulungen an. Wie sieht so eine Cryptoparty aus?

Es gibt unterschiedliche Veranstaltungen. Die großen Cryptopartys – nicht meine Veranstaltungen – versuchen alles abzudecken, aber das ist einerseits mit dem Umfang und der inhaltlichen Tiefe meiner Veranstaltung gar nicht möglich, die nicht abendfüllend sein soll, andererseits habe ich die Erfahrung gemacht, dass die Aufnahmefähigkeit auch IT-affiner Teilnehmer begrenzt ist. Die häufigste meiner Veranstaltungen ist der sogenannte Einrichtungstermin. Dort bekommen Teilnehmer ohne Vorkenntnisse hochwertige Schlüssel und ihnen wird die nötige Software installiert und eingerichtet. Schwerpunkt der Veranstaltung ist Mailverschlüsselung mit OpenPGP, aber die Teilnehmer werden auch mit einem Open-Source-Chatsystem (XMPP/Jabber) und dessen Verschlüsselung (OTR) vertraut gemacht. Nach ein paar Wochen praktischer Erfahrung mit der Technik können die Teilnehmer dann eine Anfängerschulung besuchen, auf der ihnen die Hintergründe erklärt werden. Theoretisch gibt es auch eine Schulung für Fortgeschrittene, aber dafür besteht zurzeit keine Nachfrage.

Wie viele Teilnehmer waren denn auf ihrer letzten Cryptoparty?

Einer. Zwei weitere waren angemeldet, aber die haben ihren Besuch auf einen späteren Termin verschoben. Der Rekord in letzter Zeit waren fünf oder sechs.

Ich frage auch deshalb, weil sie auf ihrer Webseite schreiben, dass Deutschland etwa 10 Millionen aktive Nutzer von Kryptografie braucht.

Man muss nicht gut in Mathe sein, um zu merken, dass der jetzige Ansatz völlig untauglich ist, um quantitativ Nennenswertes zu bewirken. Im März bei einem Treffen des Informatiklehrerverbands und ab April mit einem Schulungsangebot zum Sommersemester an der FU wird es neue Versuche geben, das große Rad zu drehen. Auch deshalb habe ich den Cryptostammtisch ins Leben gerufen; um das Austesten neuer Ansätze zu fördern.

Das große Rad klingt nach Politik. Wäre es ein Ansatz, digitale Kommunikation als Schulfach zu fordern oder den Pflichtkurs Kryptografie für Erstsemester an den Unis?

Das war nicht politisch gemeint, sondern erst mal nur auf die Anzahl der erreichten Leute bezogen. Langfristig wird das wohl in die Lehrpläne wandern, aber weniger als Lösung des Problems, sondern als saubere Regelung dessen, was sich bis dahin informell etabliert hat.

Sinnvoll wäre eine systematische Qualifizierung der Mathe- und Informatiklehrer. An den Hochschulen wird man keinen Zwang brauchen. Deshalb fordere ich so was nicht vom Gesetzgeber, sondern die Verpflichtung großer Unternehmen, ihre automatisierte Kommunikation – Rechnungen, Newsletter etc. – auf Wunsch kostenlos zu signieren und/oder zu verschlüsseln. Außerdem soll der Gesetzgeber über die staatlichen Beschaffungsrichtlinien die Abhängigkeit von Windows reduzieren und die Versorgung der Wirtschaft und der Bürger mit vertrauenswürdiger Hardware sicherstellen.