ein vorzeigbares Schulungskonzept entwickeln und testen ←
Damit die ganze Aktion nicht zu "gut gemeint" erscheint, werde ich mich zunächst darum kümmern, die Schulung so weiterzuentwickeln, dass sie meinen Ansprüchen genügt (=massentauglich und leicht durchführbar ist), und sie und die gemachten Erfahrungen (auch die auf dem Weg dahin) in geeigneter Weise zu dokumentieren. Dann ist dieses Projekt nicht mehr nur eine Wunschvorstellung, sondern bietet einen konkreten Nutzen für andere.
Ich hoffe, dass ich den Erfolg der Schulungen dahingehend dokumentieren kann (vulgo: darf), dass ich die erfolgreich geschulten Leute hier aufführe, minimal als anonymen Zähler.
geeignete Organisationen abklappern ←
Als nächstes will ich die Linux User Groups, lokalen CCC-Gruppen usw. in den Großstädten abklappern, um einerseits zu recherchieren, ob es irgendwo schon Derartiges gibt, und andererseits Leute und eben Organisationen (Räumlichkeiten) zu finden, die ein Interesse daran haben, diese Sache irgendwie zu unterstützen, möglichst natürlich durch den Aufbau eines dauerhaften Angebots vor Ort.
Dieser Aspekt hat sich durch die Cryptoparty-Welle natürlich verändert. Allerdings ist das Cryptoparty-Angebot quantitativ immer noch lachhaft.
Angebote dokumentieren ←
Für diejenigen, die auf diese Seite aufmerksam werden und so eine Schulung besuchen möchten, dokumentiere ich dann die mir bekannten Angebote. Ergänzend will ich eine (Einweg-)Mailingliste einrichten, über die neue Angebote angekündigt werden. Wer also Interesse, aber noch kein Angebot in seiner Nähe hat, soll sich auf dieser Liste eintragen können, um zeitnah darüber informiert zu werden, was (hoffentlich auch) in seiner Nähe passiert.
Strategieentwicklung Teilnehmergewinnung ←
Wahrscheinlich wird der Flaschenhals der Aktion in der Anfangsphase nicht die Schulungskapazität sein, denn nach ein paar Monaten Umgang mit der Materie werden sich viele Leute in der Lage sehen, zumindest die Einrichtung der Software für Anfänger vorzunehmen. Und die Schulungen (für Leute mit Nutzungserfahrung) kann man auch vor großen Gruppen halten.
Die spannende Frage wird also eher sein: Wie bekommen wir mehr Teilnehmer in die Schulungen? Dazu möchte ich eine Diskussion und einen Erfahrungsaustausch etablieren. Denkbar ist für den Anfang etwa die gezielte Ansprache von
Studenteninitiativen; einerseits ist das eine gute Zielgruppe, andererseits können die leicht Räume besorgen und Werbung machen. Hinzu kommt, dass studentische Dozenten mit einiger Wahrscheinlichkeit auch an ihrer ehemaligen Schule solche Kurse halten werden (wenn man sie darauf stößt).
Am wichtigsten unter den Studenteninitiativen scheinen mir die Mathestudenten zu sein, weil die zum erheblichen Teil mal Mathelehrer werden und das ein einfacher Weg wäre, massenhaft Krypto-Know-How an die Schulen zu bringen.
Ein weiterer wichtiger Punkt bei Studenten ist, dass sie Praktika machen und auf diese Weise das Know-How in kurzer Zeit in viele Unternehmen bringen können.
Schulen. Vielleicht das beste Biotop für so eine Aktion schlechthin: Durch die vielfältigen Kontakte der Schüler untereinander wäre nicht zu befürchten, dass Schulungsteilnehmer das Gelernte vergessen, weil sie keine geeigneten Kommunikationspartner haben. Außerdem gibt es an vielen Schulen eine Informatik-AG. Es besteht sogar die Chance, das Thema in den Unterricht einzubauen. Es sollte relativ einfach sein, so ein Projekt an einer Schule zu verstetigen. Und anders als an einer Uni besteht an einer Schule sogar eine reale Chance, dass Eltern, Geschwister und Freunde dort eine solche Veranstaltung für Externe besuchen.
IT-Firmen, insbesondere Einzelhändler. Wenn die Mitarbeiter und der Chef alle privat OpenPGP nutzen, dann hängen sie vielleicht auch ein Plakat auf, um die Aktion zu bewerben.
Unternehmen – die Frage ist da: Welche sind geeignet (Größe, Branche)?
Organisationen, die Mailinglisten betreiben
Bloggern und sonstiger Netzprominenz
Schön wäre ein gut gemachter z.B. A6-Flyer für das Projekt zum Selberausdrucken (versehen mit dem eigenen Fingerprint), der von OpenPGP-Nutzern bei passender Gelegenheit an Noch-nicht-Nutzer verteilt wird. Auch ein Logo könnte diesem Projekt nicht schaden.
OpenPGP auf Kontaktseiten ←
Einige Leute, Organisationen und Unternehmen haben heute schon auf ihrer Website einen Hinweis darauf, dass man sie auch per OpenPGP erreichen kann. Nur die Minderheit dieser Seiten bietet den Besuchern, die keine Ahnung von OpenPGP haben, gute Links zur Information. Und von den Seiten mit Infolinks erwähnt quasi keine die Möglichkeit von Schulungen, also insbesondere die Cryptopartys.
Wer selber OpenPGP einsetzt, will aller Wahrscheinlichkeit nach, dass mehr Leute es benutzen. Diese Seitenbetreiber dürften also relativ leicht davon zu überzeugen sein, dass sie ihre Kontaktseite um entsprechende Links ergänzen, die man ihnen sinnvollerweise gleich vorschlägt:
http://www.openpgp-schulungen.de/fuer/alle/
https://www.cryptoparty.in/location#germany
Und die Angeschriebenen macht man dann (nicht mit dem Ziel, auch diese Seite zu verlinken) auch noch auf die für sie passende Unterstützerseite aufmerksam:
http://www.openpgp-schulungen.de/fuer/unterstuetzer-personen/
http://www.openpgp-schulungen.de/fuer/unterstuetzer-organisationen/
http://www.openpgp-schulungen.de/fuer/unterstuetzer-unternehmen/
oder auf die Sammelseite: http://www.openpgp-schulungen.de/fuer/unterstuetzer/
Straßenpräsenz – Infostände & Flyeraktionen ←
Mit etwas Aufwand verbunden, aber möglicherweise sehr effektiv: Man besorgt sich eine Beachflag, Flyer und eine Standgenehmigung für eine Einkaufszone o.Ä. und stellt sich dort ab und zu mal für ein paar Stunden hin. Da man damit gleichzeitig
Dozenten
Organisatoren
Räumlichkeiten
kleine und große Multiplikatoren
und natürlich Teilnehmer selber
suchen kann, besteht durchaus die Chance, für den Aufwand ein gutes Ergebnis zu bekommen.
Weniger aufwendig und weitgehend auf die Gewinnung von Dozenten beschränkt, aber dafür möglicherweise sehr effektiv: Man stelle sich mal in der Mittagspause mit Flyern dort auf den Campus, wo die Informatiker rumlaufen.
Hinweise in Software, die auch mit OpenPGP genutzt werden kann ←
(Mail-)Software, die (direkt oder per Plugin) OpenPGP unterstützt, aber auch ohne genutzt werden kann (und vermutlich ganz überwiegend ohne OpenPGP genutzt wird), könnte mehr oder weniger dezent auf dieses Feature hinweisen. Diese Hinweise könnten auf diejenigen Installationen beschränkt werden, die sich offenbar in einem Land befinden, in dem es so ein Angebot gibt. Und natürlich würde man sie ausblenden, wenn die jeweilige Installation schon OpenPGP nutzt. Der Idealfall wäre ein zusätzlicher Eintrag "OpenPGP" in der Menüleiste. Der würde ein Dialogfenster einblenden, das ganz kurz erläutert, dass die Software OpenPGP unterstützt und was das ist, und auf das landesspezifische Angebot (ergänzend auf die Liste aller Angebote) verweist. Natürlich sollte man dort auch das Ausblenden des Menüeintrags veranlassen können. Schön wäre auch eine Funktion, die einem alle Leute anzeigt, von denen man schon mal eine Mail mit OpenPGP-Signatur bekommen hat. Das macht die Angelegenheit persönlicher.
Kontaktaufnahme zu Entwicklern von Mailsoftware:
KDE / KMail
KMail dürfte der Mailclient mit der besten OpenPGP-Unterstützung sein. Außerdem ist der deutsche Einfluss (deutscher Gründer; Sitz in Deutschland; viele Entwickler; SuSE; Verbreitung bei Nutzern) dort wohl größer als irgendwo sonst, was für ein Projekt, das erst mal auf Deutschland beschränkt ist, natürlich nicht egal ist.
Motivationshinweise in spezieller OpenPGP-Software ←
Wir müssen die Sichtbarkeit von Kryptografie in der Öffentlichkeit erhöhen, und dafür brauchen wir die Hilfe von allen, die wir kriegen können. Relativ leicht dürften diejenigen zu kriegen sein, die schon Kryptosoftware einsetzen. Also sollte solche Software in geeigneter Weise auf (mindestens) eine Webseite verweisen, auf der die Nutzer Anregungen finden, wie sie (mit ganz unterschiedlich viel Aufwand) diese Sichtbarkeit erhöhen können.
Seiten, die verlinkt werden können:
http://userbase.kde.org/Concepts/OpenPGP_Help_Spread (internationale Version der vorigen Seite im KDE Userbase Wiki; bisher auf Deutsch und Englisch verfügbar)
Vorschläge, dieses Feature zu integrieren:
technische Hinweise in spezieller OpenPGP-Software ←
Das Projekt richtet sich nicht nur an OpenPGP-Neulinge, sondern auch an kompetente Nutzer, weil die als Dozenten geworben werden können. Außerdem ist es im Sinne des Projekts, die Nutzung von OpenPGP-Software ganz allgemein professioneller werden zu lassen. So drängt es sich auf, dass Software, mit der man Schlüssel erzeugen kann, vor der Schlüsselerzeugung auf eine Webseite verweist, die erklärt, worauf es bei der Erzeugung von Schlüsseln ankommt. Dagegen kann niemand etwas haben, und die Einbindung solcher Hinweise ist für die Entwickler trivial. Besonders günstig ist es natürlich, wenn zu der Software ein Wiki o.Ä. gehört (wie etwa bei KDE).
In einem zweiten Schritt kann man darauf hinwirken, dass die Software besser wird (also etwa den Umgang mit Offline-Hauptschlüsseln unterstützt).
bestehende OpenPGP-Webseiten ←
Es gibt einige Webseiten zum Thema OpenPGP. Zumindest ein Teil der Betreiber freut sich darüber, wenn man ihnen hilft, ihre Seite zu verbessern. Auf diesem Weg können zwei Fliegen mit einer Klappe geschlagen werden: Man verbessert die allgemeine Informationslage zum Thema, und man schafft über diese Webseiten Aufmerksamkeit für das Projekt.
Sponsoring und Werbung ←
Es sollte auch die Möglichkeit geschaffen werden, diese Aktion finanziell zu unterstützen. Dafür kommen wohl primär Teilnehmer der Schulungen (Personen und Unternehmen) in Frage, die als Dank und zur Förderung bereit sind, etwas zu spenden. Vielleicht auch Unternehmen oder sonstige Organisationen, die ein Interesse daran haben, die Verbreitung von OpenPGP zu fördern. Diese Einnahmen würden dann wohl primär für Werbung ausgegeben.
Ich habe nicht vor, mit den organisatorischen Aufwand dafür ans Bein zu binden. Ich denke, es wird sich ein bestehender Verein finden, der das übernimmt. Das ist langfristig wahrscheinlich auch für diese Website sinnvoll.
Messepräsenz ←
Linuxtage u.Ä.; nicht zwingend als eigener Stand, sondern auch bei existierenden Ständen unterstützender Organisationen (damit wäre sogar die Präsenz auf kommerziellen Messen vorstellbar)
Dafür braucht man natürlich ein Logo (wohl eher für eine übergeordnete Idee – Kryptografie für alle!
– als nur für die Schulungen), Flyer, Visitenkarten, T-Shirts usw.
Interessant wäre wohl auch die Präsenz auf Parteitagen. Für ein nichtkommerzielles Projekt, das ihre eigenen Leute weiterbilden möchte, räumen die Parteien vielleicht irgendwo in der Ecke einen Tisch frei.
OpenPGP-Unterstützung in häufig eingesetzter (Nicht-E-Mail-)Software ←
Hilfreich wäre es, wenn von vielen genutzte Software (die keine E-Mail-Software ist) OpenPGP unterstützt, etwa beim Anlegen von Accounts und beim Versenden von Mail an die Nutzer, aber auch beim Verfassen von Inhalten. Das mögen Content-Management-Systeme sein, aber auch Blog-Software (etwa bezüglich der Kommentare).
Pressearbeit ←
Zu gegebener Zeit sollte man an die Redaktionen der meisten IT-Zeitschriften (sofern sie sich an normale Endanwender richten) wenden und dort Bewusstsein für das Thema schaffen (mal abgesehen von Heise, denn die sind ja schon seit Jahren dabei, auch wenn das ausbaufähig ist). Vermutlich mangelt es dort überwiegend schlicht an der nötigen Sachkenntnis. Der erste Schritt wäre also, den Redaktionen (und ihren freien Mitarbeitern) Schulungen vor Ort anzubieten. Die meisten Zeitschriften werden nicht riskieren wollen, irgendwann als technisch rückständig dazustehen.
Ziele der Zusammenarbeit mit Zeitschriften:
Artikel zum Thema (könnte man zur Verfügung stellen bzw. dabei helfen)
Schlüssel für alle "öffentlichen" Adressen (v.a. Redaktion)
Fingerprint des zentralen Schlüssels in jedem Heft
regelmäßige Erwähnung dieses Projekts
Auch wenn man nicht alle Zeitschriften gleichzeitig kontaktieren muss: So viel Öffentlichkeit, wie dadurch wahrscheinlich schlagartig entsteht, erfordert ein umfangreiches Schulungsangebot, denn wenn ein unzureichendes Angebot von tausenden Interessenten überrannt würde, wäre das, wenn nicht kontraproduktiv, so doch zumindest unerfreulich für alle Beteiligten.
Zur Abschwächung des Nachfrageschubs könnte man vor den IT-Zeitschriften bei Fachpublikationen und Berufsverbänden vorstellig werden, die sich an Branchen richten, für die das Thema Sicherheit relevant ist und die ein zumindest abstraktes Interesse daran haben, dass sich ihre Mitarbeiter (und im Grunde wohl auch ihre Kunden) damit auskennen. Das könnten etwa sein:
Banken
Rechtsanwälte
Steuerberater
Ärzte
das Rotlichtmilleu
Ein Erfolg irgendwo dort wäre sicherlich auch ein Argument für eine IT-Redaktion, das Projekt bzw. Thema ernst zu nehmen.
Wenn man mit den IT-Zeitschriften durch ist, wären irgendwann die allgemeinen Magazine dran. Gerade eine bereits erfolgte Berichterstattung in den IT- und sonstigen Fachzeitschriften würde dem Projekt einen Nachrichtenwert für diese Medien verleihen.
Berufsgeheimnisträger als Veranstalter ←
Bei Berufsgeheimnisträgern mit einer überschaubaren Anzahl von Kunden und häufiger Kommunikation mit diesen, also etwa Anwälte und Steuerberater (Ärzte wohl eher nicht), erscheint es durchaus realistisch, sie zu animieren, für ausgewählte Mandanten eine (oder mehrere) Schulungsveranstaltungen zu organisieren. Das hat dann auch den konkreten Vorteil, dass die Schlüssel der Veranstalter von den Teilnehmern korrekt importiert werden und außerdem praxisbezogen geübt werden kann.
Also geschäftlicher und privater Nutzen für die Teilnehmer, tendenziell in angenehmer Atmosphäre; guter Imageeffekt für den Veranstalter. Darüber sollte man einige Leute bekommen können.
Politik ←
Mit Verweis darauf, dass die Sache allmählich ins Rollen kommt, und auf die generelle Bedeutung des Themas Sicherheit könnte man (jährlich) alle deutschen Parlamentarier und deren Mitarbeiter kontaktieren und auf die Schulungsangebote aufmerksam machen. Natürlich wird man von denen nur wenige kriegen, aber die können viel Öffentlichkeit schaffen und sind für die angestrebten Änderungen der Rechtslage unverzichtbar.
Provider ←
Provider, die ihre Schwerpunkt nicht auf Webmail legen, könnten bereit sein, auf dieses Projekt hinzuweisen, etwa im Rahmen der Anzeige von Zugangsdaten für neu eingerichtete Mailboxen.
"Lobbying" ←
Wenn in großem Umfang Schulungen laufen, ist es meines Erachtens an der Zeit, sich zu überlegen, wie man an Unternehmen, andere Organisationen und vielleicht sogar bestimmte Einzelpersonen herantritt, um für mehr Nutzung von OpenPGP zu sorgen. Meines Erachtens müsste es schon aus dem zwingenden Interesse des Staates an einem sicheren Internet (bezogen auf die Stabilität der Infrastruktur, nicht auf die Bekämpfung von Raubmordkopierern und Beleidigern) eine gesetzliche Verpflichtung für Unternehmen mit einem gewissen Mailaufkommen geben, den Empfängern dieser Mails die kostenlose Möglichkeit zu bieten, diese Mails mit einer Signatur (im gewünschten Format) zu erhalten. Das ist mein Fernziel. Aber mit gutem Zureden, technischer Unterstützung und genügend Krawall von seiten der jeweiligen Empfänger (Kunden) müsste es möglich sein, auch lange vor der Androhung einer gesetzlichen Regelung Leute zu finden, die dazu bereit sind. Vielleicht kann man Heise dafür gewinnen, eine Bestandsaufnahme zur Sicherung der kommerziellen Kommunikation zu machen. Wenn Heise (immerhin eine der zehn meistaufgerufenen deutschen Webseiten...) irgendwann sagt, In zwölf Monaten erscheint der Artikel
, dann wird manch einer die verbleibende Zeit dafür nutzen, dort positiv genannt zu werden.
Mir erscheint zudem eine Beteiligung an dieser BSI-Aktion sinnvoll.
technische Weiterentwicklung ←
Der Zusammenhang zu Schulungen ist nur indirekter Art, aber ich finde es wichtig, die relevanten Standards dahingehend weiterzuentwickeln, dass OpenPGP
wird. Die ersten beiden Punkte sehe ich vor allem in der Entwicklung eines Standards für (maschinenlesbare) Informationen zur Verwendung eines Schlüssels, seinem Sicherheitsniveau und zur Bedeutung konkreter Signaturen und Zertifizierungen.