Samstag, 1. Februar 2014

Triggerwarnung

Dieser Text erscheint in der Reihe
"Lieber Spontan schreiben als grüblen, verschieben und sein lassen".

Einführung

Ich habe endlich meinen geistigen Knoten durchschlagen, warum mich Triggerwarnungen so aufregen. Die Lösung für war nicht etwa die Unnützlichkeit sondern die Nützlichkeit dieser Warnungen. Diese wiederum wurde mir durch die mediale Verbreitung der Bilder des gefolterten Ukrainiers Dmitro Bulatow (Achtung, harter Tobak: Link zur Bildersuche) endgültig bewusst.

Theorie

Zur Zeit ist es in manchen (Internet)Kreisen üblich vor Texten, Links oder Videos zu Bildern die kein flauschiges Leben beinhalten durch das Wort "Triggerwarnung" zu warnen. Dahinter steckt die Theorie, Menschen, die in der Vergangenheit eine schwere psychische oder physische Verletzung erlitten haben und weiterhin darunter leiden - Stichwort "Posttraumatische Belastungsstörung" (PTBS) oft fälschlich "Trauma" - von sogenannten "Triggern" - Auslösern oder Schlüsselreizen - , fernzuhalten.
Ein Standardbeispiel ist eine Person mit einer PTBS aufgrund einer Vergewaltigungserfahrung durch die erneute Konfrontation mit dem Thema Vergewaltigung eine Panikattacke erleidet. Diese Person soll vor der Konfrontation mit dem Thema und der damit verbundenen Reaktion geschützt werden.
An diesem Ansatz gibt es aber zwei Kritikpunkte: Erstens kann alles ein Schlüsselreiz sein, zum Beispiel ein Geruch, Jahrestag oder Lied. Eine Triggerwarnung hilft also tatsächlich wenig. Zweitens signalisiert dieser Umgang mit dem Thema PTBS die Ignoranz diesem gegenüber. Eine PTBS sollte nicht mit Vermeidungsstrategien behandelt werden. Tatsächlich ist eine besonders wirksame (Psycho-)Therapie die begleitete Konfrontation und Erinnerung an das traumatische Erlebnis.

Analyse

Triggerwarnungen werden häufig vor die Berichte von menschenverachtenden Praktiken gesetzt, zum Beispiel Diskriminierung oder Gewalt. Und solche Berichte sind je nach ihrer Heftigkeit tatsächlich nichts worauf ich ungewarnt stoßen möchte. Aber nicht, weil ich Angst vor einem Flashback oder einer Panikattacke habe sondern weil einem solche Berichte schnell Mal den Tag verderben. Es gibt Menschen die ziehen sich um vier Uhr früh allein in einem besetzten Haus einen Saw-Film rein. Und es gibt Menschen die nach der Lektüre eines Harry-Potter-Buchs zwei Tage nicht richtig schlafen können. Wahrscheinlich befinden sich die meisten aufgrund ihrer Suggestivkraft und dem Nervenkostüm irgendwo zwischen diesen Extremen. Wir müssen uns nicht ständig, ungefiltert und ungefragt mit der ganzen Scheiße dieser Welt bewerfen lassen. Auch als sozial verantwortlicher Menschen bin ich dazu nicht verpflichtet

Fazit

Der Name "Triggerwarnung" ist schlecht, denn er suggeriert einen völlig falschen Zweck dieser Hinweise. Besonders ärgerlich ist, dass die unsinnige Erklärung zu angeblichem Sinn und Zweck der Hinweise häufig ungeprüft wiederholt wird.
Tatsächlich wünsche ich mir aber viel Warnhinweise vor menschenverachtenden Wort-, Ton- und Bild-Berichten. Ich möchte in der Zeitung nicht unbedingt mit Bildern von Verstümmelten aus den Kriegszonen dieser Welt konfrontiert werden. Ich will nach einer Demo nicht immer minutiös von jedem Pfefferangriff und Schlagstockeinsatz der Bullen lesen müssen. Und ich will auch selbst entscheiden, ob ich mich in diesem oder jenem Text mit dem Greul einer Vergewaltigung beschäftige. Ja, ich möchte manchmal einfach die Freiheit haben im Kopf zu glauben, dass es sowas wie einen gute, warme und freundliche Welt gibt.
Gleichzeitig brauche ich auch weiterhin Mut mich mit der Schlechtigkeit dieser Welt zu Beschäftigen, hinzuschauen und uns einzumischen. Aber nur so lange, wie es für mich passt. Denn in dem Moment in dem es für mich nicht mehr passt, erleiden ich ein Trauma.

Sicherheit ist ein Kontinuum

Dieser Text erscheint in der Reihe
"Lieber Spontan schreiben als grüblen, verschieben und sein lassen".

Es scheint mir wichtig, gerade im Hinblick auf die zur Zeit erhöhte Aufmerksamkeit auf das Thema, darüber zu reden welche Sicherheit wir eigentlich erreichen können und wollen. Ich habe für mich drei Stufen gebildet die ich je nach Anspruch, Daten und Möglichkeiten anwenden möchte.
Weil das Thema gerade für Laien a) schwer zu Verstehen und b) notwendig zu Vermitteln ist möchte ich mit einer abstrakten Beschreibung beginnen.

Die vier Hoffmann'schen Stufen der Sicherheit


  1. Eine E-Mail zu schreiben ist, wie eine Postkarte zu verwenden
  2. Die nächste Stufe ist, die Postkarte in einen Briefumschlag zu stecken oder einen Brief zu schreiben. Das verhindert das automatisierte abfotografieren des Inhalts. Natürlich kann weiterhin die Absenderadresse automatisch erfasst werden und es ist ein leichtes für die böse Eve die Nachricht aus dem Umschlag heraus zu holen, nur geht es eben nicht mehr automatisch.
  3. Wenn ich mehr Sicherheit möchte packe ich die Nachricht in einen versiegelten Umschlag (hier hinkt die Analogie, weil ich keine technische Möglichkeit kenne ein physisches Objekt endgültig nur authorisierten Personen zugänglich zu machen).
  4. Als letzten Schritt für höchstvertrauliche Korrespondenz sichere ich den gesamten Prozess vom Schreiben der Postkarte bis zum Lesen ab. Das heißt ich vernichte die Schreibunterlage und den Stift um keine Rückschlüsse auf den Inhalt zu ermöglichen, ich schreibe in einem schallgeschützten Raum und versichere mich, dass mich niemand irgendwie dabei beobachtet und versichere mich, dass meine Kommunikationspartnerin ebenso vorgeht.
Bekannt ist, dass viele Leute gegen die Stufe 3 wittern weil sie nur Stufe 4 für ausreichend halten. Ich dagegen schlage vor, immer mindestens Stufe 2 zu verwenden weil es ein Anfang ist und nach dem 20/80-Prinzip schon ein deutlicher Sicherheitsgewinn.

Die Konkrete technische Interpretation am Beispiel Mail-Versand

Konkret auf das Beispiel E-Mail-Kommunikation bezogen bedeutet die Stufen:
  1. Ich schreibe eine E-Mail
  2. Ich schreibe eine E-Mail und verschlüssle symmetrisch oder mit einem ungeprüften Schlüssel oder sonst wie nur grundlegend
  3. Ich schreibe eine E-Mail mit einem geprüften, regelmäßig gewechselten, mit einem sicheren Passwort gesicherten Schlüssel.
  4. Ich schreibe eine E-Mail auf einem Rechner ohne Netzanschluss und Festplatte, betrieben mit OpenSourceSoftware gebootet von einem Live-System, dessen Integrität ich via Hash gesichert habe und verschicke den verschlüsselten Text dann von einem anderen Rechner.
Für die allermeisten Personen und Anlässe würde Stufe 4 einen nicht angemessenen Aufwand bedeuten und wäre schlicht nicht realisierbar (für manches aber doch). Mir ist aber wichtig, dass nur, weil wir nicht Stufe 4 realisieren, desshalb Stufe 3 und 2 noch lange nicht schlecht sind. Wenn wir alle anfangen würden unsere E-Mail-Kommunikation mit AES (einem symmetrischen Verschlüsselungsalgorithmus) und dem Absendedatum als Passwort zu verschlüsseln müssten Geheimdienste und andere Datenausspäher reagieren um ihre Wortlisten zu weiterhin pflegen zu können und das allgemeine statistische Rauschen des weltweiten Mailverkehrs zu bestimmen. Und wie viel leichter wäre es, von diesem Verfahren aus langsam mehr Sicherheit zu etablieren.
Es ist ebenfalls kein Sicherheitsverlust auf einem Android-Telefon ungeprüfte GPG-Schlüssel zu verwenden sondern oft ein Gewinn gegenüber dem Status Quo (wenn dieser immer noch auf Stufe 1 liegt).

Fazit

Wir sollten damit anfangen, all denen, die sich dafür interessieren einfache Werkzeuge in die Hand zu drücken. Es hilft deutlich mehr, wenn wir 20 Personen erklärt haben wie sie mit einfachsten Methoden Mails verschlüsseln, als fünf Personen wie GPG in allen Feinheiten funktioniert.
Eventuell brauchen wir eine Enigmail-Simple-Version (das GPG-Plugin von Thunderbird). Die hängt einfach an jede Mail den Public Key an. Die setzt standardmäßig kein Passwort für den GPG-Key. Die schaut vor jedem Mailversand nach, ob es auf den bekannten Key-Servern einen aktuellen Schlüssel für die Empfängerin gibt und verwendet den einfach. Die fragt nicht ob S/MIME oder inline, ob Anhang ja oder nein, ob Empfänger im BCC-Feld ein Problem sind. Die Verschlüsselt einfach nur. Und wenn der Gegenüber nicht verschlüsselt hängt sie ganz unaufdringlich einen kleinen Erklär-Text an die Mail. Von da aus das Niveau hochzuschrauben wäre schließlich immer noch einfach. Sicherheit ist kein entweder/oder, Sicherheit ist ein Kontinuum.