STANDARD: Ihre Firma heißt "g10code". Können Sie erklären, was es damit auf sich hat und warum der Schutz der Privatsphäre zu so einem wichtigen Leitmotiv in Ihrem Leben geworden ist?

Werner Koch: Das "g10" im Firmennamen bezieht auf den ursprünglichen Arbeitstitel von GnuPG, eine Referenz auf den Artikel 10 des deutschen Grundgesetzes: Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dieses Grundrecht wurde dann im Zuge der Notstandsgesetzgebung 1968 so geändert wurde, daß es ohne gerichtliche Kontrolle und Kenntniss der Betroffenen weiter beschränkt werden kann. Ein konkretes Ereignis kann ich wohl nicht benennen. Der Spiegel aus dem Jahr 1977 mit dem Titel "Lauschangriff auf Bürger T." dürfte wohl mein erster Kontakt zu diesem Thema gewesen sein.

STANDARD: Können Sie kurz erzählen, wie Sie Open-Source-Guru Richard Stallmann kennengelernt haben und wie er Ihr Handeln beeinflusst hat?

Koch: Ich interessiere mich seit Anfang der 90er Jahre für das GNU Projekt und besuchte einen Vortrag von Stallman auf der Betriebstagung des IN-Vereins in Aachen im Herbst 1997. Da im April 1997 ein grundlegendes Patent ausgelaufen war, bestand die Möglichkeit einen Ersatz von PGP-2, frei von Patenten und als Freie Software, zu schreiben. Aufgrund der US Exportrestriktionen konnten US Bürger keine Verschlüsselungsprogramme schreiben, so daß wir in Europa das tun mußten. Damals gab es noch nicht so viele Programmierer, die hier Freie Software schrieben, so daß ich mich dann diesem Thema angenommen habe.

STANDARD: Sie haben viel Zeit und Mühe in GNU PG investiert und wohl sicher auf lukrative Jobs verzichtet. Gab es Momente, in denen Sie kurz vor dem Aufgeben waren?

Koch: Anfang 2013 hatte ich fest geplant die Sache aufzugeben. Nach den Snowden Enthüllungen im Juni konnte ich das aber nicht mehr machen.

STANDARD: Wie haben Sie sich beim Hackerkongress 31C3 gefühlt, als Laura Poitras und Jacob Appelbaum sich euphorisch über GNU PG geäußert haben?

Koch: Es hat mich sehr gefreut, das die Wichtigkeit unserer Arbeit der etwas breiteren Öffentlichkeit bekannt wurde.

STANDARD: Glauben Sie, dass irgendein Verschlüsselungsprogramm der Welt vor dem Knacken durch die NSA sicher ist?

Koch: Das ist wohl eine der beliebtesten Fragen aber ich kann da leider keine einfache Antwort geben. Ein Programm ist die Umsetzung eines bestimmten Algorithmus (z.B. RSA oder AES) und eines bestimmtes Protokoll (OpenPGP) in eine Sprache die der Rechner versteht. Wenn die NSA etwas "knacken" will, so hat sie verschiedene Angriffspunkte: Den Algorithmus, sofern er stark ist, werden sie nicht angreifen da dies nach allgemeiner Menung nicht möglich ist. Das Protokoll (OpenPGP), also das was über die Leitungen geht, könnten sie angreifen aber offensichtlich haben sie keine Angriffspunkt gefunden. Die konkrete Implementierung (GnuPG) könnte sie angreifen in dem sie Fehler im Programm ausnutzen – jedes Programm hat Fehler. Unsere Arbeit besteht darin, dies so schwer wie möglich zu machen. Das wahrscheinlichtste Angriffsziel bleibt aber andere Software die auf dem Rechner läuft; sobald man Zugriff auf den Rechner hat, hat der Angreifer gewonnen und kann das Verschlüsselungsprogramm umgehen. Das sind aber zielgerichtete Angriffe, die teuer durchzuführen sind und nur durch Experten abgewehrt werden können. Gegen jegliche Art von Massenüberwachung schützt eine Standardinstallation von GnuPG aber immer.

STANDARD: Oft wird beklagt, dass PGP oder GNU PG zu kompliziert für den Normalverbraucher sei. Liegt die Zukunft in einer Implementierung solcher Verschlüsselungsstandards durch Facebook (WhatsApp) etc.? Inwiefern unterstützen diese Unternehmen Sie abseits finanzieller Spenden? Beraten Sie Facebook?

Koch: Bei diesen Klagen werden aber unterschiedliche Sachen in denselben Topf geworfen. Chat-Programme wie Jabber/OTR oder TextSecure haben es wesentlich einfacher als Programme wie GnuPG, welches Daten für lange Zeit – nicht nur während des Transports – sicher verschlüsseln muss. Sie möchten ja auch in 10 Jahren noch ihre verschlüsselten Daten oder Mails lesen können. Nein ich berate Facebook nicht. Ich halte allerdings deren Ankündigung, Benachrichtigungsmails zu verschlüsseln, für eine gute Sache: Dies setzt ein Beispiel, welches z.B. Banken und die öffentlichen Verwaltung dazu bringen sollte diesem Weg zu folgen.

STANDARD: Sie haben gegenüber der TAZ gesagt, Phil Zimmermann verstünde freie Software nicht. Sie kritisieren, dass bei PGP bestimmte Patente nicht in der öffentlichen Domäne sind. Sollten Nutzer davon Abstand nehmen, PGP zu nutzen?

Koch: Die Anmerkungen zu Patenten bezog sich auf die veraltete PGP-2 Version, die heute kein Thema mehr ist. Phil sagt inzwischen selbst, dass er das aktuelle PGP heute nicht mehr verwenden würde, da man dem heutigen Hersteller Symnatec nicht trauen sollte.

STANDARD: Zimmermann sagte auf einer Veranstaltung in Wien, man solle nicht an NSA und Co verzweifeln, sondern die Zukunft in die eigenen Hände nehmen – denn die Menschheit hat schon zuvor mächtige Strukturen wie die Sklaverei oder die absolute Monarchie überwunden. Sehen Sie das ähnlich optimistisch? Hätten Sie vor den Snowden-Enthüllungen vermutet, wie großflächig das Spionagenetz von > NSA/GCHQ und Co ist?

Koch: Sehe ich auch so. In meinen Vortragen habe ich schon vor 15 Jahren auf die technischen Möglichkeiten der Überwachung und die Fähigkeiten von Echelon hingewiesen. Was mich überrascht hat ist, wie gut das System organisiert ist und mit welchem relativ kleinen Budget sie den Großteil der Kommunikation abfangen können. Die Belege für die Zusammenarbeit mit den großen Internetfirmen waren teilweise auch überraschend. (fsc, 27.6.2015)