Security braucht Usability

encrypted_file_iconEndlich verbreitet sich die Erkenntnis, dass Security nur funktionieren kann, wenn der Endverbraucher entsprechend unterstützt wird in Entwicklerkreisen. Viel zu lange haben wir uns alle mit schlechter Software abgefunden und gewettert, dass sie niemand außer uns benutzt. Meinen PGP-Key habe ich meiner Familie immer noch nicht gegeben, einfach weil ich es nicht verantworten kann, sie mit derlei Software zu belasten. Aber es ist Besserung in Sicht!

Threema

Der Kauf des sympathischen Instant Messengers WhatsApp durch die Fratzenkladde hat selbst in meiner Verwandtschaft für Unruhe gesorgt. Menschen, die mehr Angst davor haben, dass ihre Häuserfassaden bei Google zu sehen sind als dass Geheimdienste ihre Videochats belauschen, fangen tatsächlich an sich um ihre Datensicherheit zu kümmern. Spät, aber nicht zu spät. Der Trick ist, dass Threema kindereinfach ist. Und darauf kommt es an.

APG

Der Android Privacy Guard ist dank der Arbeit von Dominik Schürmann am nun wieder integrierten Fork OpenPGP-Keychain ein riesen Schritt weit nach vorne gekommen. Das Benutzerinterface ist sauber und intuitiv, es ist einfach einen Schlüssel zu importieren oder von einem Keyserver herunterzuladen und das Look-And-Feel entspricht dem moderner Apps. Dass Schlüsselexport und -import noch in unterschiedlichen Menus untergebracht ist, finde ich etwas merkwürdig, aber der Sprung ist schon gewaltig. Hierzu werde ich in den kommenden Tagen noch etwas mehr schreiben.

Im Allgemeinen

Bereits im Januar habe ich auf der Kryptoparty der Fachschaft I/1 zwei Vorträge gehalten. Eine kurze Einführung in Festplattenverschlüsselung mit TrueCrypt und einen – mir persönlich viel wichtigeren – Rant zum Thema Usability. Mein Fazit: Solange wir die Software nicht kinderleicht nutzbar machen, wird sie nicht genutzt. Man kann vom Endverbraucher nicht erwarten, sich mit den Grundlagen kryptografischer Systeme zu beschäftigen. Es muss funktionieren und Dinge, welche den Schutz ad absurdum führen würden, müssen ohne großen Tamtam unmöglich sein, jedoch dem Benutzer mitteilen, dass dies eben gewollt und wichtig ist.

Besonders freue ich mich, dass dieses Thema jetzt langsam auf die Tagesordnung kommt. Selbst in Interviews mit Tech-Managern1 kann man schon die ersten Vorsichtigen Töne in diese Richtung ausmachen.

Wir können es schaffen, flächendeckende Verschlüsselung in der Gesellschaft zu verankern. Es braucht nur wirklich brauchbare Software!

1 Ich finde den Link zu einem Interview mit einer Mozilla Managerin nicht mehr, die mir hier aus der Seele spricht. Wer weiß wovon ich rede: bitte Link in die Kommentare oder Mail an mich.

Weiterlesen