LOGO: Atari-Frosch

Froschs Blog

Computer und was das Leben einer Frau sonst noch so zu bieten hat

Zur Website | Impressum

„Sperrige Anwendungen wie GnuPG“

27. März 2014 um 22:59 Uhr von Atari-Frosch

Auf Carta erschien heute ein Artikel von Jürgen Drommert, dem ich in den meisten Punkten durchaus zustimmen kann: Worauf es jetzt ankommt: Kryptographie, Freie Software, Dezentralisierung. Allerdings enthält er einen Absatz, den ich so oder ähnlich immer wieder lese und dessen Aussage mir mittlerweile gewaltig auf den Senkel geht:

In der bisherigen Debatte wurde der Einsatz von Kryptographie immer mit sperrigen Anwendungen wie GnuPG assoziiert, oder mit Chat-Programmen, die auf den Protokollen XMPP/OTR basieren. Diese Anwendungen genießen ihren guten Ruf in technischer Hinsicht zwar zu Recht, sind aber für die meisten Menschen schlicht nicht alltagstauglich.

Wenn Journalisten diese Behauptung verbreiten, stützen sie sie. Denn dem Leser, der diese Möglichkeiten noch nicht nutzt, wird vermittelt: „Das ist alles viel zu kompliziert für Dich, das kannst Du sowieso nicht. Probier’s gar nicht erst.“ Gleichzeitig verbindet der Autor damit die Behauptung:

Die Teams von Kryptographen und Programmierern wissen: Kryptographie muss einfacher werden, viel einfacher, einfach bis hin zur Nicht-Wahrnehmbarkeit.

Nicht-Wahrnehmbarkeit? Echt jetzt?

Für mich ist schon der Ansatz falsch. Wenn Anwendern nämlich etwas wichtig ist, dann sind sie auch bereit, den Umgang mit der nötigen Software dafür zu erlernen. Selbst vor Software-Boliden, also Programmen, die so umfangreich sind, daß man in einem Leben gar nicht alle Funktionen nutzen kann, wird dann nicht Halt gemacht. Aber GnuPG bzw. OpenPGP und XMPP/OTR sollen dann auf einmal nicht praxistauglich sein und noch einfacher werden?

Deshalb freue ich mich, dass die Krypto-Szene jetzt starke Verschlüsselung für Technikaverse und Faule anzubieten beginnt. Das ist einfach eine pragmatische Haltung – und ich fürchte, in diesen Zeiten können wir auf einen gewissen Pragmatismus nicht mehr verzichten.

– schreibt er in einem Kommentar. Pragmatismus ist ja an sich schon richtig, aber meiner Ansicht nach nicht aus diesem Blickwinkel.

Der Autor stellt im Artikel nämlich richtig fest:

Die Politik verlegt sich seit Anbruch der Snowden-Ära aufs Leugnen, Beschwichtigen und den weiteren Abbau bürgerlicher Rechte. Die Mehrzahl der Bürger schert sich nicht um die Abschaffung ihrer Privatsphäre.

Und hier muß doch angesetzt werden. Den Menschen muß bewußt gemacht werden, daß die scheinbar unsichtbare und auf den ersten Blick wirkungslose Überwachung sehr wohl einen Einfluß auf unser Leben hat, und zwar unter Umständen einen relevanten Einfluß. Denn wenn die Menschen begreifen, was Privatsphäre bedeutet und wieviel sie wert ist, dann ist das Erlernen von Verschlüsselungstechniken und ggf. Anonymisierungstechniken nur noch ein Klacks. Oder, um es in den Worten von Jürgen Drommert zu sagen: Dann ist es für den Anwender sehr wohl pragmatisch, sich mit der nötigen Technik zu befassen.

Wie ich schon dort in meinen Kommentaren darlegte: Klar, Überwachung tut erstmal nicht weh, wir haben deswegen nicht (oder zumindest nicht erkennbar) weniger Geld auf dem Konto, und das Autofahren wird auch nicht teurer. Deshalb sind die Gefahren von Überwachung nicht so einfach zu vermitteln. Vorfälle wie die der Frau, die nicht in die USA einreisen durfte, weil sie die falschen Bücher auf ihrer Amazon-Wunschliste stehen hatte, werden medial kaum beachtet. Wie oft Menschen aufgrund von abgeschnorchelten Daten Nachteile haben, oft vielleicht, ohne sich dessen überhaupt bewußt zu sein, wissen wir nicht einmal; unsere christlichen Überwachungsfanatiker, die diesbezüglich politisch das Sagen haben, werden darüber wohl auch kaum eine Studie in Auftrag geben.

Und genau deshalb sind solche Aussagen wie von Jürgen Drommert kontraproduktiv. Die Botschaft darf nicht sein: „Hey, Leser, das ist alles viel zu kompliziert für Dich, das schnallst Du eh nicht“, sondern: „Hey, Leser, Deine Privatsphäre ist wichtig, und hier gibt es eine Möglichkeit, sie Dir zu schaffen bzw. zurückzuholen, und das ist gar nicht so schwer.“ Denn wenn Menschen erst einmal verstanden haben, wo das Problem liegt, ist es für sie auf einmal gar nicht mehr zu kompliziert.

Das erfahre ich immer wieder, wenn ich auf Cryptoparties Menschen dabei helfe, zu lernen, insbesondere ihre E-Mails zu verschlüsseln. Denn diejenigen, die auf Cryptoparties gehen, haben diese weit verbreitete Ansicht, nichts zu verbergen zu haben, überwunden, sonst würden sie nicht hingehen. Und diesen Menschen ist es dann auf einmal nicht mehr zu unbequem, sich mit Thunderbird und OpenPGP zu befassen, zu lernen, ihre Datenträger und Handys zu verschlüsseln, etwas über symmetrische und asymmetrische Schlüssel zu erfahren oder, vereinzelt, sich sogar in die Mathematik dahinter einzufuchsen. Warum? Weil sie verstanden haben, worum es geht.

Unsere Innenminister tröten derweil Hand in Hand mit ihren Ermittlungsbehörden herum, daß unsere Privatsphäre ja ach so hinderlich dabei sei, organisierte Kriminelle auszuheben oder etwas „gegen Kinderpornografie“ zu tun. Und die Mehrheit der Menschen glaubt es. Die anfangs kritisierte Behauptung, das Verschlüsseln sei ja sowieso zu kompliziert, vervollständigt dann die öffentliche Meinung: Ich habe nichts zu verbergen, ich muß nichts verschlüsseln, und das mit den Geheimdiensten ist gar nicht so schlimm.

Die Aufgabe von Journalisten – gerade von Journalisten, die selbst in besonderem Maße betroffen sind! – sollte daher nicht sein, den Menschen das Verschlüsseln auszureden, sondern im Gegenteil, ihnen genug Gründe zu liefern, damit sie ihren Hintern zur nächsten Cryptoparty bewegen, oder zu sonst jemandem, der ihnen erklärt, wie man seinen eigenen Beitrag zum Schutz seiner Daten leisten kann.

Dazu kommt, daß vielen Menschen wohl gar nicht klar ist, daß es hier nicht nur um ihre bewußte Internet-Nutzung geht. Das meiste an Telefongesprächen läuft mittlerweile zumindest abschnittsweise über VoIP, also übers Internet, und ist genauso abschnorchelbar wie ihre E-Mails oder der Zugriff auf einen Webserver. Behörden, mit denen man zwangsweise mehr oder weniger zu tun hat, übermitteln persönliche Daten aus Bereichen, mit denen wir nicht mal mit jedem in unserem Freundeskreis reden würden, wie beispielsweise Finanzinformationen oder Gesundheitsdaten. Auf die Art und Weise, wie diese Daten transportiert und wie und wo sie überall gespeichert werden sowie darauf, wer hinterher alles Zugriff darauf bekommt, haben wir praktisch keinen Einfluß mehr, selbst wenn wir (zum Beispiel bei Sozialbehörden) gezwungen sind, diese Daten anzugeben. Das taucht in den Medien praktisch nicht auf.

Jürgen Drommert beschreibt zutreffend die „Soziale Bodenhaltung“ nach Hartz IV, aber daß auch hier der Datenschutz betroffen ist und sich die Betroffenen gar nicht mehr wehren können, weil nach dem SGB der Datenschutz gegen die pure Existenz eingetauscht werden muß, das erwähnt er mit keinem Wort. An diesem Punkt kann nur die Politik etwas ändern, weil sie dem Einzelnen die Mittel dafür vorher komplett aus der Hand genommen hat.

Aber bezogen auf alles, was wir auf unseren eigenen Computern (und da rechne ich Smartphones direkt mit ein) betreiben, was wir darauf verarbeiten, eingeben, lesen, hören – da haben wir die Möglichkeit, den Grad des Schutzes unserer Daten zu bestimmen. Da haben wir die Autonomie, denn wir haben die Werkzeuge! Wir haben jede Menge Freie Software, wir haben mit TrueCrypt und LUKS/LVM mächtige Werkzeuge zur Plattenverschlüsselung (die übrigens, wenn sie einmal eingerichtet sind, tatsächlich „nicht wahrnehmbar“ arbeitet), wir haben GnuPG mitsamt grafischen Oberflächen dafür (OpenPGP ist nichts anderes), wir haben XMPP und OTR, wir haben die freie Wahl des Mailserverbetreibers, wenn wir schon nicht alle selbst einen Mailserver betreiben können. Wir haben alternative, dezentrale soziale Medien, auch wenn diese teilweise noch in der Entwicklung sind, und selbst die völlige Anonymisierung ist mit TOR und VPNs möglich.

Richtig ist, daß Technik allein nicht der Weisheit letzter Schluß ist. Aber es geht auch nicht ohne. Ich habe letzten Sommer in meinem Artikel über Verschlüsselung geschrieben, daß es auch ganz unabhängig von Geheimdiensten Bereiche gibt, die wir „geheim“ halten möchten, die wir – völlig zu Recht! – nicht mit jedem teilen möchten. Deshalb ist Verschlüsselung nicht schon deshalb obsolet, weil, wie ein Kommentator bei Carta meint, der Staat sowieso übermächtig ist und uns das Verschlüsseln dann eben einfach verbietet, wenn es zu viele machen.

Wir brauchen diese drei Ansätze:

  1. Aufklärung auf allen Ebenen,
  2. politische Vorgaben,
  3. technische Umsetzungen.

Und wenn die technischen Umsetzungen dann auch noch „bequem“ sind, gerne. Aber erst müssen die Leute mal kapieren, worum es eigentlich geht.


5 Kommentare zu “„Sperrige Anwendungen wie GnuPG“”

  1. André Hoek quakte:

    Dem ist nichts mehr hinzuzufügen.
    Die Situation ist exakt und sehr treffend beschrieben. Danke für die Mühe, den Artikel in dieser Form zu verfassen.


  2. Jürgen Drommert quakte:

    Liebe Sabine, Sie sehen da eine Front zwischen uns, die es, glaube ich, gar nicht gibt. Der wirkliche Unterschied liegt darin, dass Sie einen Soll-Zustand beschreiben, ich einen Ist-Zustand. Natürlich bin ich mit Ihnen einer Meinung, dass jedem Menschen seine Privatsphäre (und letztlich Freiheit) es wert sein müsste, sich ein paar Stunden mit einem Programm wie PGP auseinander zu setzen. Tatsächlich ist es aber nicht so, PGP-Nutzer sind auch rund 20 Jahre nach Einführung des Programms eine verschwindende Minderheit. Und das, obwohl es seitdem ja nicht nur den sogenannten NSA-Skandal, sondern vorher, um die Jahrtausendwende, schon den Echelon-Skandal gegeben hat. Wie lange wollen Sie noch warten?

    Davon abgesehen: Ich glaube, ich trete Ihnen nicht zu nahe, wenn ich Ihnen eine weit überdurchschnittliche Technik-Kompetenz unterstelle. Wer schon Debian im Einsatz hat … Das aber bringt Sie dazu, Ihre Mitmenschen in diesem Punkt krass zu überschätzen: Die meisten Leute sind nicht einmal in der Lage, einen E-Mail-Client so einzurichten, dass der ihre Mail-Accounts mit POP abfragt und das Versenden mit SMTP erlaubt.

    Und noch etwas: PGP ist eine historische Errungenschaft, damit wurde starke Verschlüsselung zum ersten Mal für die Allgemeinheit zugänglich. Aber es ist längst nicht mehr „state of the art“. Was immer auch per SMTP verschickt wird, zieht einen Rattenschwanz von Metadaten nach sich, und daran ist protokollbedingt auch nichts zu ändern. PGP bietet keine Forward Secrecy und keine Deniability. Kurz gesagt: Es ist aus kryptographischer Sicht hoffnungslos veraltet. (Was der Vater von PGP Phil Zimmernann ja übrigens selbst so sieht.)

    Allein aus technischer Sicht sind Neuentwicklungen also nötig. Und ich meine: Wenn die gleichzeitig besser angepasst sind auf die Wünsche von Nutzern, die Technik einfach nur anwenden, aber nicht verstehen wollen – umso besser! Es ist ja nicht so, dass Medizin, die besser schmeckt, zwangsläufig schlechter wirkt.


  3. Joachim quakte:

    @Jürgen Drommert
    Zustimmung und bedankt für den Artikel. Allerdings funktioniert GPG/PGP anders und hat einen anderen Level. PFS und Deniability sind weder Aufgabe eines Mailverschlüsselungsprotokolls, noch überhaupt ohne Direktverbindung möglich. PFS ist ehr auf dem Transportlayer angesiedelt. Wer solche Anforderungen hat, der muss zu anderen Mitteln greifen, etwa zu XMPP/OTR über Tor.

    Was klar stimmt ist, diese Dinge und nicht einmal GPG sind heute besonders einfach. Die Software muss benutzerfreundlicher gemacht werden. Das Netz muss von sich aus besser verschlüsseln. Wenn wir das erreichen wollen, dann müssen die bestehenden Protokolle ohne Angst davor genutzt werden. Wenn niemand PGP/GPG nutzt, dann wird sich niemals daran etwas verbessern. Denn Software muss regelrecht „entwickelt“ werden. DE-Mail oder kommerzielle „Standards“ etwa verschlimmbessern die Dinge. Nur mit offenen Standards kommen wir hier weiter.

    Ich denke, da sind wir einig. Die drei Ansätze vom Frosch sind allerdings wenigtens genau richtig…


  4. dodo quakte:

    Der Punkt ist doch der:
    Je mehr Mühe ich als Entwickler in die graphische Oberfläche meines Programms lege, umso weniger Zeit und Budget kann ich in die Implementierung der Kryptobibliotheken verwenden. Die besten Bibliotheken und Algorithmen helfen mir nicht, wenn ich bei der Implementierung einen Fehler begehe.
    Freie Software und offene Standards sind unabdingbar.
    Die Schwierigkeit liegt darin, dass Krypto zu kompliziert ist um auf einen Bildschirm zu passen. Daher sollte das Programm so beschaffen sein, dass sowohl der alltägliche Gebrauch einfach sein soll (So in der Art: Text eingeben, Verschlüsseln drücken, Empfänger eingeben, fertig!) aber auch der Gebrauch für Entwickler und Kryptonerds.


  5. Michael Stehmann quakte:

    Hallo,

    ich hatte das Glück in einer freiheitlich-demokratischen Grundordnung aufzuwachsen (auch wenn ich später gemerkt habe, dass sie weder so freiheitlich noch so demokratisch ist, wie mir als Kind vermittelt wurde).

    Erst im Geschichtsunterricht hab eich gelernt, dass Freiheit (beispielsweise vor Überwachung) kein selbstverständlicher „Naturzustand“ ist, sondern unter großen Opfern erkämpft werden musste.

    Anfangs war das mit der Freiheit noch ganz einfach: Da es noch Volksparteien gab, die sich noch auf recht intakte Milieus stützen konnten und diese vertraten, wusste man eigentlich schon als Kind, was man, sobald man wählen durfte, wählen würde.

    Leider oder besser erfreulicherweise habe ich meine „kindliche Unschuld“ verloren und weiß heute: Freiheit ist notwendigerweise anstrengend!

    Man muss sich informieren, entscheiden, engagieren und seine Entscheidung vertreten (nicht zuletzt vor sich selbst).

    Der Gebrauch der Freiheit setzt Mündigkeit voraus und diese zu erhalten ist schon recht anstrengend. Wie der Rheinländer sagt: „Von nix kütt nix!“

    Dies gilt auch für die Freiheit vor Überwachung, die politische Freiheit erst ermöglicht.

    Wer es da bequem haben will, wird entmündigt und erlangt die erstrebte und versprochene Freiheit dann doch nicht (s. DE-Mail).

    Natürlich könnten Verschlüsselungsprogramme noch besser nutzbar gemacht werden. Aber: Es ist Freie Software: mach‘ es oder lass‘ es machen! Du hast die Freiheit dazu!

    Aber jede Anwenderfreundlichkeit wird ihre Grenzen haben. Sicherheit und Bequemlichkeit sind leider bis zu einem gewissen Grade Antagonisten (das weiß wohl jeder, der sich einmal über eine Passwortpolicy – und sei für den eigenen Gebrauch – Gedanken gemacht hat).

    Gruß
    Michael


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>