Seit den "Enthüllungen" über das Abgreifen von Daten im Internet durch vor allem amerikanische und britische Behörden ist das Interesse der Medien an Cryptopartys enorm. Diese Seite soll Anregungen liefern, um die Berichterstattung zu verbessern. Sie geben den Blick eines Kryptoexperten wider, der in der Schulungsszene in vielfältiger Weise aktiv ist.
Die bisherige (Juli 2013) Berichterstattung hat sich auf die Schilderung einzelner Veranstaltungen konzentriert; sie hat den Charakter einer Antwort auf die naheliegende Frage der Leser / Zuhörer / Zuschauer: Lohnt es sich für mich, so eine Veranstaltung zu besuchen?
Leider wird dabei die größere Frage nach dem Gesamteffekt ausgeblendet. Ganz egal, wie gut oder schlecht diese Veranstaltungen sind: Wenn in Deutschland pro Monat 1.000 Menschen geschult werden (was derzeit eine sehr wohlwollende Schätzung wäre), wäre das im Ergebnis schlicht irrelevant. Es mag sein, dass die Technik in bestimmten Szenen eine hohe Verbreitung findet, aber für 99% der Bürger änderte sich dadurch nichts.
IT-Sicherheit ist ein kompliziertes Thema. Sich dies aus eigener Kraft zu erarbeiten, ist für die meisten Menschen nicht empfehlenswert. Der Sicherheits-Guru Bruce Schneier hat das Problem schon mehrfach gut auf den Punkt gebracht:
If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology.
Security is a process, not a product.
Es ist riskant, sich in das Thema einzuarbeiten, ohne dass viel Fachkompetenz im Spiel ist. In dem Fall ist das Ergebnis des gut gemeinten Bemühens leicht die Illusion von Sicherheit statt echter Sicherheit. Deshalb ist es unwahrscheinlich, dass es irgendwann viele Leute gibt, die auf diesem Gebiet gut informiert sind, ohne eine (gute!) Schulung besucht zu haben.
Damit sich in puncto Datensicherheit im Internet Bedeutendes verändert, muss die Anzahl derjenigen, die die entsprechende Technologie benutzen können und wollen so groß sein, dass sie als Gruppe politisch und wirtschaftlich relevant werden. Letzteres bedeutet, dass diese Gruppe ein Vielfaches der Größe der Gruppe der Nutzer von Linux usw. erreichen muss. Ein oder zwei Millionen Nutzer haben nicht zur Folge, dass die großen Anbieter ihre Technik umbauen. Damit Kryptografie sowohl in der privaten Kommunikation als auch im Umgang mit Unternehmen eine Rolle spielt, sind vielleicht zehn Millionen Nutzer erforderlich, und die müssen in überschaubarer Zeit da sein, in spätestens zehn Jahren, besser fünf.
Das heißt umgekehrt, dass jede Aktivität der Krypto-Community, die keine Strategie vorweisen kann, wie in der genannten Zeit realistischerweise zehn Millionen Nutzer generiert werden können, keine gesellschaftlich relevante Auswirkung haben wird. Es erscheint deshalb angebracht, dass die Medien sich weniger darauf konzentrieren, wie einzelne Veranstaltungen ablaufen – das kann sich schnell ändern und muss nicht repräsentativ sein –, sondern sich mehr mit der Frage befassen, wie die Bewegung sich entwickelt, ob sie die kritische Masse (und Qualität) erreicht.
Was unterscheidet eine gute Cryptoparty von einer schlechten Cryptoparty? Wann ist die Gesamtheit der Cryptopartys gut, wann schlecht?
Größe
Eine Cryptoparty wird nicht dadurch gut, dass sie viele oder wenige Teilnehmer hat. Dies spielt nur bei der Gesamtheit der Veranstaltungen eine Rolle. Kleinere Veranstaltungen lassen sich üblicherweise leichter organisieren; sie können häufiger stattfinden und mögen effektiver und effizienter sein, sind das aber natürlich nicht automatisch.
Fachkompetenz
Für Nicht-Fachleute schwer einzuschätzen und auch unterschiedlich wichtig bei den einzelnen Themen, aber aus offensichtlichen Gründen ein bedeutender Faktor: In welchem Umfang wissen die "Experten", wovon sie reden? Haben mehrere Helfer zum selben Thema eine ähnliche Qualifikation? Ist es Zufall, ob man gut beraten wird? Ist es Zufall, wie viele Helfer und Interessenten zu einem Thema anwesend sind?
Orientierung an den Interessen der Teilnehmer
Konnten die Teilnehmer sich vor der Veranstaltung ein klares Bild davon machen, was Ihnen inhaltlich geboten wird, und passt die Veranstaltung inhaltlich zu ihrer Ankündigung?
Wenn es nur jeweils einen Vortrag zur Zeit für alle Teilnehmer gibt: Wird berücksichtigt, wie viele der Anwesenden sich für die einzelnen Themen interessieren?
Passen die Räumlichkeiten zur Strukturierung?
Wenn (zeitweise) in einzelnen Gruppen gearbeitet werden soll: Ist das akustisch überhaupt möglich? Erfordern die fraglichen Themen Vorträge gegenüber der jeweiligen Gruppe (um effizient sein zu können)? In einem einzelnen Raum ist das kaum möglich.
Effektivität und Effizienz
Was kommt dabei heraus? Und welcher Aufwand ergibt welchen Output? Haben die Rechner der Teilnehmer am Ende der Veranstaltung den Zustand erreicht, mit dem die Teilnehmer rechnen durften? Wie lange hat das gedauert? Was haben die Teilnehmer darüber hinaus gelernt? Wie viele Veranstaltungen muss der "durchschnittliche" Interessent besuchen, bis er fertig ist? Was machen die Teilnehmer, wenn sie nach der Veranstaltung Probleme mit der neuen Technik haben?
unterschiedliche Angebote
Bezogen auf die Gesamtheit der Cryptopartys in einem Gebiet: Sind die Veranstaltungen einheitlich, oder sprechen sie von ihrer inhaltlichen und sozialen Gestaltung unterschiedliche Zielgruppen an? Kann man mit dem Gesamtangebot wirklich alle erreichen, oder würden sich ganze Bevölkerungsgruppen eher davon fernhalten?
Zusammenführung von Angebot und Nachfrage
Wird sichergestellt, dass eine Veranstaltung nicht überfüllt ist? Was passiert mit überzähligen Interessenten?
Ausbau von Angebot und Nachfrage
Ist die Veranstaltung darauf ausgerichtet, dass ihre Teilnehmer dazu beitragen, sowohl das Angebot solcher Veranstaltungen zu vergrößern als auch die Nachfrage danach?