Ein Geständnis vorweg: Vor 14½ Jahren hatte ich ein T-Shirt mit meiner achtstelligen PGP-Key-ID. Das war allerdings eher Kryptik als Kryptografie, denn dafür hätte es eigentlich der 40-stellige PGP-Fingerabdruck sein sollen, aber egal: Ich hatte mir die Mühe gemacht, mich so weit hineinzufuchsen in die asymmetrische Kryptografie, dass ich Dinge hätte verschlüsseln, entschlüsseln und unterschreiben können.
14½ Jahre später gibt es glücklicherweise kein Foto mehr von diesem T-Shirt, und in den Wirren der Computerwechsel und im Wandel der Speichermedien ist der Schlüssel von damals weg. Die Zahl der Menschen, die mit mir in dieser Zeit verschlüsselt kommunizieren wollten, war genau null.
(Foto CC-by-nc-sa Leo Reynolds)
Jetzt, im Post-Snowden-Zeitalter, nach Prism, Tempora, Boundless Informant und weiteren NSA-Enthüllungen, fühlt sich die Lage anders an, und wie es jetzt weitergehen soll, wird heftig diskutiert.
Edward Snowden selbst ist ein Kind seiner Zeit. Er hat gar nicht erst geglaubt, dass er unerkannt bleiben, ein normales Leben führen kann. Er hat auch nicht daran geglaubt, dass jemand für die grenzenlose Überwachung vor Gericht kommen wird. Im E-Mail-Interview mit Jacob Appelbaum und Laura Poitras (Spiegel 28/2013) setzt er stattdessen auf die Tech-Firmen und ihre Kundinnen und Kunden: „Die Unternehmen sollten einklagbare Klauseln in ihre Nutzungsbedingungen schreiben, die ihren Kunden garantieren, dass sie nicht ausspioniert werden. Und sie müssen technische Sicherungen einbauen.“ Es gibt laut Snowden auch Unternehmen, die nicht mit der NSA kooperierten. „Es würde jedoch sicher mehr Firmen dieser Art geben, wenn die kollaborierenden Konzerne von den Kunden abgestraft würden. Das sollte höchste Priorität aller Computernutzer sein, die an die Freiheit der Gedanken glauben.“
Darüber hinaus glaubt Snowden ganz offensichtlich noch an etwas anderes: Verschlüsselung. Den Kontakt zu den Medien hatte er über verschlüsselte E-Mails aufgenommen, und in einer Frage-Runde beim Guardian schrieb er: „Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”
Vor diesen Hoffnungsschimmer schiebt sich aber natürlich auch eine schwarze Wolke: „Meistens sind die Metadaten wertvoller als der Inhalt der Kommunikation“ (Snowden im Spiegel-Interview). Dann nützt also auch nicht viel, dass der Inhalt verschlüsselt ist?
Das Verführerische an Kryptografie ist, dass sie manchmal als technische Lösung für ein gesellschaftliches, ein politisches Problem gesehen wird. Das Dumme an E-Mail-Kryptografie-Lösungen ist, dass sie auch heute für durchschnittlich versierte Userinnen und User eine ziemliche Herausforderung sind: Beim weltumspannenden OffshoreLeaks-Projekt sind einige der Journalistinnen und Journalisten schlicht an PGP gescheitert, und stattdessen wurde ein gut abgesichertes Forum zur Kommunikation genutzt. Aber Frank Rieger vom CCC – jemand, der von angewandter Kryptografie nun wirklich viel versteht, – sagt auch: „Dass GPG-Mailcrypto doof ist und vermutlich bleiben wird, ist kein Grund für generellen Crypto-Usability-Pessimismus und Gejammer.“
Auch wenn die Usability besser wird, bleibt Kryptografie für durchschnittlich versierte Userinnen und User eine Frage des Vertrauens. Dass diese drei Zeilen Code-Änderungen den Unterschied zwischen einem sicheren und einem nicht so sicheren Gruppen-Chat ausmachen, können sie nicht wissen.
Ärgerlicherweise liegt auch Mario Sixtus nicht völlig falsch, wenn er Verschlüsselung als gefährliche Scheinlösung brandmarkt: „Wer Verschlüsselung als Mittel gegen Prism et al propagiert, kann auch gleich zu Clownsmasken gegen Videoüberwachung raten.“
Nein, Verschlüsselung ist nicht das Mittel gegen Prism. Aber dass Mario Sixtus überhaupt weiß oder ahnt, was Prism ist, das hat er Verschlüsselung zu verdanken.
Früher hätte man ganz einfach so lange für Mehrheiten geworben, bis der Staat irgendwas tut oder verbietet. Hier handeln ja aber schlecht kontrollierte Geheimdienste mehrerer Staaten im Verbund. Falk Steiner hat das als völkerrechtlich wie politisch-theoretisches Problem erster Güterklasse bezeichnet und sieht zwei Auswege, die beide nicht sehr wahrscheinlich klingen: Entweder internationale Standards für die Überwachung schaffen oder als Staat aus der Kooperation aussteigen, auf die Erkenntnisse verzichten und auf sichere Kommunikation setzen.
Wie zu erwarten war: Hier kommt heute keine Lösung mehr. Ein Rückzug aus dem Netz steht überhaupt nicht zur Debatte, ein sensibler Umgang mit sensiblen Daten ist als gute Idee keine Neuigkeit. Dazu kommt aber vermutlich noch ein bisschen mehr digitale Selbstverteidigung in Form von Kryptografie. Ein neues notwendiges Übel im Umgang mit dem Netz, genau wie alle lernen mussten, mit Spam-Mails umzugehen oder bei Facebook die schlimmsten Vorgaben zu verändern. Das ist, wie gesagt, keine Lösung des Problems, aber zumindest ermöglicht es vielleicht, ein bisschen freier zu kommunizieren, um der Problemlösung näher zu kommen.
(Hier ist mein Schlüssel.)