GnuPG.com sagt „Hallo!“

Fünf Minuten: Wenn Sie sich fünf Minuten Zeit nehmen, um diesen Blogartikel zu lesen, dann wissen Sie, wer wir sind, was wir machen und warum wir das alles machen.

Wir sind GnuPG.com, ein Team von Entwicklern mit Sitz im rheinischen Erkrath, und bei uns dreht sich alles um die Verschlüsselungs-Software GnuPG. Wir entwickeln die Kernkomponenten weiter, verbessern die Benutzerfreundlichkeit und bieten Support-Dienstleistungen an.

Unsere drei Hauptentwickler sind Werner Koch, Andre Heinecke und Niibe Yutaka:

Werner hat GnuPG erfunden, und zwar schon 1997, nachdem er einen Vortrag von Richard Stallman gehört hatte: Stallman wünschte sich damals eine freie Alternative zu PGP (Pretty Good Privacy), das wegen US-Exportbeschränkungen nicht zu einem freien, weltweiten Standard werden konnte. Für seine Arbeit an GnuPG hat Werner 2015 den „Award for the Advancement of Free Software“ der FSF erhalten. Er ist auch Mitgründer des europäischen Schwestervereins FSFE (Free Software Foundation Europe e. V.). Werner verließ den Verein 2019, um sich ganz dem GnuPG-Projekt zu widmen. Im aktuellen Entwicklerteam kümmert Werner sich in erster Linie um das Kryptografie-Backend in GnuPG.

Andre arbeitet seit 2009 an der Windows-Portierung des freien Desktops KDE. 2013 hat er als Hauptentwickler die Verantwortung für Gpg4win übernommen – das ist das GnuPG-GUI für Windows. Seit 2019 macht er das hauptberuflich in unserem Team als Entwickler Frontend/User Experience. Er ist im gleichen Jahr von Wien ins Rheinland umgezogen, um sich ganz auf die Entwicklung von GnuPG konzentrieren zu können. Außerdem sagt er, dass er hier neue Mitarbeiter besser einarbeiten kann: Wenn alle vor Ort sind, gibt es weniger Reibungsverluste.

Niibe sitzt in Japan und plant bisher keinen Umzug nach Erkrath – aber das ist auch eine etwas größere Distanz als Andre sie beim Wechsel von Wien zurückgelegt hat. Nachdem Niibe schon ca. 1980 als Mittelstufenschüler Erstkontakt mit Computern hatte (die Schule setzte Z80-basierte Rechner ein), baute er Mitte der 80er einen 68000er-Computerbausatz zusammen. Seit der Jahrtausendwende setzt er sich für freie Software ein; 2006 wurde er zum Vorsitzenden der Free Software Initiative of Japan (FSIJ). Er arbeitet seit 2011 im GnuPG-Projekt mit und ist im GnuPG.com-Team für den Hardwaresupport zuständig; Stichwort: Smartcards.

Was wir machen

Aber was genau machen wir jetzt bei GnuPG.com? GnuPG ist sicherheitskritische Software, die Anwender auf der ganzen Welt für sichere Mail-Kommunikation (Verschlüsselung und Signaturen) nutzen, und darum ist es wichtig, die Software nicht einfach altern zu lassen, sondern sie beständig weiter zu pflegen.

Doch das ist nicht alles: Wir wollen auch dafür sorgen, dass die Software benutzerfreundlicher wird und die Zahl der Anwender wächst. Beim Windows-GUI Gpg4win sehen wir z. B. jeden Monat um die 140.000 Downloads direkt von unserem Server; wie viele Benutzer die Software aus alternativen Quellen beziehen, wissen wir nicht, weil wir (bewusst) keine Nutzerstatistiken erfassen.

Es gibt immer noch viel zu viele unverschlüsselte Nachrichten im Netz, die wie Postkarten auf jeder Maschine gelesen werden können, über die der Transport läuft. Je weiter Verschlüsselungs-Software verbreitet ist, und je mehr Anwender ihre Mails verschlüsseln, desto schwerer wird es, Massenüberwachung umzusetzen.

Warum wir das machen

Wir bei GnuPG.com finden, dass Werner eine prima Idee hatte und dass wir eine wichtige Software entwickeln. Unsere Verschlüsselungs-Software spielt eine wichtige Rolle dabei, die Gesellschaft frei und demokratisch zu halten, einzelne Menschen, Firmen, Organisationen und Behörden vor unbefugten Zugriffen zu schützen. Darum ist auf GnuPG.org (mit ".org" statt ".com") auch unsere Software frei verfügbar – und zwar unter den Bedingungen der GPL: Niemand muss für den Einsatz bezahlen oder aus Kostengründen verzichten, und niemand muss uns blind vertrauen. Wer die technischen Skills hat, kann unseren Quellcode analysieren.

Wer freie Software entwickelt, schreibt keine Software für die Schublade oder erfindet zum 20. Mal das Rad neu, z. B. weil anderer Code nicht verwendet werden darf. Natürlich ist uns auch wichtig, etwas Langfristiges und Nachhaltiges zu erschaffen. Nichts ist für die Ewigkeit, aber wir sind ziemlich sicher, dass GnuPG noch eine ganze Weile verschlüsseln wird.

GnuPG.org vs. GnuPG.com

Wir haben den Eindruck, dass Mail-Sicherheit für viele Unternehmen nicht so wichtig ist – entweder ist die Verschlüsselungs-Software nicht optimal konfiguriert, oder die Anwender werden damit allein gelassen und haben keine Anlaufstelle für ihre Fragen. GnuPG ist nicht so kompliziert und unbenutzbar, wie oft behauptet wird.

Im Gegenteil: GnuPG & Co. sind auch für große Unternehmen und Behörden attraktive Produkte. Oft suchen diese nach einem Hersteller, der die Ersteinrichtung übernimmt und mit dem sie einen Service- und Support-Vertrag abschließen können. Bis vor Kurzem gab es dafür keine Anlaufstelle – ein Problem, vor allem, wenn die firmeninternen Prozesse zwingend einen solchen externen Ansprechpartner vorschreiben.

Wir als GnuPG.com füllen diese Lücke: Wir bieten den „GnuPG Desktop“ an, eine für den Einsatz in Unternehmen maßgeschneiderte Version von Gpg4win, einer Software zum Verschlüsseln und Signieren von Mails, Dateien und Ordnern unter Windows. Über ein Service Level Agreement können wir Support mit garantierten Antwortzeiten bieten. Als Vertragspartner bekommen Sie also keinen Einzelkämpfer (möglicherweise in einer anderen Zeitzone), sondern ein Team aus Experten: unsere GmbH im rheinischen Erkrath.

Besonders stolz sind wir übrigens darauf, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) im November 2019 eine Freigabeempfehlung für Gpg4win und Gpg4KDE zur Übertragung und Verarbeitung von nationalen Verschlusssachen bis zum Geheimhaltungsgrad VS-NfD erteilt hat. Details kann man in unserer Pressemitteilung nachlesen.