Warum verschlüsseln so wenige Menschen ihre Daten? Weil sie zu wenig von der Technik verstehen, sagt der Informatikprofessor Frank Kargl von der Universität Ulm. Er fordert mehr Unterricht. Autofahrer wüssten schließlich auch ungefähr, wie ein Auto funktioniert.

Stuttgart – - Herr Kargl, seit den Enthüllungen um das US-Geheimdienstprogramm Prism wissen wir, dass unsere Daten ausgespäht werden. Wieso verschlüsseln trotzdem so wenige ihre Mails? Ist das zu kompliziert?
Das ist eine grundsätzliche Frage: Über wie viel technisches Verständnis und Wissen muss der Nutzer verfügen?
Ihre Antwort darauf?
Einerseits ist die Informatik in der Pflicht, solche Systeme einfacher benutzbar zu machen. Wir müssen für den Nutzer mitdenken – das ist noch lange nicht immer der Fall. Andererseits muss sich auch der Nutzer mit der Thematik beschäftigen: Wir können die Dinge nicht so einfach machen, dass man sie ganz ohne Hintergrundwissen sicher benutzen kann.
Einer ihrer Kollegen sagte kürzlich: Wer Auto fährt, muss auch nicht wissen, wie ein Verbrennungsmotor aufgebaut ist. Wieso muss Otto-Normal-User dann wissen, wie das Internet funktioniert?
Jeder Autofahrer hat zumindest ein Grundverständnis dafür, dass ein Auto regelmäßig Benzin und hin und wieder einen Ölwechsel braucht. Er weiß, dass zu schnell fahren gefährlich ist und dass bremsen dagegen hilft. Die meisten Autofahrer wissen grob, was ein Zylinder ist, die wenigsten Internetnutzer können erklären, was ein digitales Zertifikat ist.
Ist die Informationstechnologie nicht viel komplexer ist als ein Auto?
Das stimmt. Wir führen in hoher Frequenz neue technische Systeme ein. Deshalb ist die Gesellschaft darauf nicht vorbereitet. Die Digitaltechnologie ist einfach noch zu jung, als dass die Gesellschaft dieses intuitive Gefühl für Möglichkeiten und Gefahren schon entwickelt hat. Mit dem Bild vom Auto will ich sagen, dass sich das ändern muss – aber auch kann.
Wie konkret könnte sich das ändern?
Die Menschen müssen schon in der Schule darauf vorbereitet werden, wie „dieses Internet“ funktioniert. Selbst im Gymnasium wird kaum etwas vermittelt. Was passiert, wenn ich eine Mail von A nach B schicke? Wo ist sie angreifbar? Wann wird es gefährlich? Es gibt heute nach Lesen, Schreiben und Rechnen kaum eine wichtigere Kulturtechnologie als der Umgang mit IT. Ich behaupte, dass für einen mündigen Bürger heute ein grundlegendes Verständnis der Funktionsweise des Internet so wichtig ist wie die Kenntnis der Werke von Goethe oder Schiller.
Was kann den Menschen jetzt helfen? Ist „E-Mail made in Germany“ praktikabel?
Die hier verwendete Technologie ist nicht neu und schützt auch nicht vor dem Ausgespäht-werden. Denn die Daten werden nur auf dem Weg zwischen Mailservern verschlüsselt. Auf den Servern liegen sie weiterhin im Klartext vor – angreifbar für Hacker und Geheimdienste. Nur eine sogenannte Ende-zu-Ende-Verschlüsselung ist wirklich sicher: Dabei werden die Daten direkt auf dem Rechner des Nutzers ver- und entschlüsselt. Gleichzeitig muss natürlich die Sicherheit der Computer der Nutzer höchste Priorität haben und darf nicht durch den Staat ausgehöhlt werden – Stichwort Bundestrojaner.
Zumindest die US-Geheimdienste müssten sich dann an den deutschen Rechtsweg halten, um an die Daten zu kommen, oder?
Wenn uns die Snowden-Affäre eines zeigt, dann doch das: sobald Geheimdienste im Spiel sind, ist Kontrolle sehr schwierig. Ich rate allen, die ihre E-Mail-Daten schützen wollen, sie mit Technologien wie PGP oder S/MIME zu verschlüsseln. Das ist die Art Ende-zu-Ende-Verschlüsselung, die meiner Einschätzung nach nicht von Geheimdiensten geknackt werden kann. Allerdings bedarf der Einsatz genau jenes technischen Grundverständnisses, über das wir eingangs gesprochen haben.
Nicht nur beim Mailen, auch beim Surfen hinterlassen Nutzer private Daten. Wie kann das sicherer gemacht werden?
Theoretisch könnte man fast alle Aktivitäten im Netz verschlüsseln. Dahinter stecken komplizierte mathematische Verfahren, aber das wäre für viele Anwendungen machbar. Beispielsweise wären Suchanfragen möglich, bei denen Google nicht weiß, nach welchen Begriffen der Benutzer sucht und auch nicht nachvollziehen kann, welche Antworten er erhält.
Google lebt aber vom Datensammeln.
Natürlich wird Google so etwas nicht von sich aus einführen. Es ist letztlich eine Frage der gesellschaftlichen Priorität. Vielleicht braucht es einen Diskussionsprozess, der dazu führt, dass wir als Gesellschaft klar formulieren, was wir im Hinblick auf Privatsphäre wollen und bereit sind, dafür zu investieren.