Noch am Donnerstagmorgen sah es so aus, als müsste Werner Koch aufgeben. Er verdiente einfach zu wenig Geld mit dem Programmieren. Koch ist Sicherheitsexperte und arbeitet allein an GnuPG, dem wichtigsten Baustein für verschlüsselte E-Mail-Kommunikation, nutzt man die Betriebssysteme Linux, Mac OS und Windows. Das Programm hilft weltweit Journalisten, Verfolgten und Menschen, denen ihre Privatsphäre wichtig ist.

Dass Koch nun doch weitermachen kann – und sogar einen Mitarbeiter bekommt – verdankt er einem Text der Investigativ-Plattform ProPublica. Die Journalistin Julia Angwin schildert darin die schwierige Finanzierung des Projekts. Nutzer und Konzerne reagierten binnen weniger Stunden: Facebook und der Finanzdienstleister Stripe versprachen jährlich 50.000 US-Dollar; Kochs ins Stocken geratene Crowdfunding-Kampagne schoss weit über das Ziel hinaus.

Dann ist ja alles gut, sollte man meinen. Doch so ist es nicht. Koch ist nur einer von vielen Entwicklern, die ihre Arbeit an sensiblen Projekten wie ein Ehrenamt betreiben müssen. Nicht nur, dass sie wenig verdienen. Auch die Sicherheit der Nutzer leidet darunter. Die erreicht im schlimmsten Fall ein relevantes Update zu spät. Das kann Leben gefährden. Spätestens seit den Snowden-Enthüllungen, sollte jedem klar sein, wie wichtig das Recht auf Verschlüsselung ist. Ein so laxer Umgang mit Entwicklern von Programmen wie GnuPG ist fahrlässig.

Ohne Geld geht es nicht

Die zentralen Programme für sicheres Mailen, Chatten, Speichern und Löschen betreut heute eine kleine Zahl von Idealisten. Das ist ehrenhaft und wichtig. GnuPG ist nur ein Beispiel dafür, ein anderes der Dienst KeePass. Dominik Reichl entwickelt einen der wenigen quelloffenen Passwort-Manager. Auch er programmiert daran weitestgehend allein und verdient sein Geld anderswo. Während also auf der einen Seite milliardenschwere Geheimdienste an Entschlüsselung feilen, opfern auf der anderen Seite Privatleute ihre Freizeit.

Viele meinen, der Schwarm wird das alles irgendwie richten: Wenn jeder nur ein bisschen anpackt und ein paar Zeilen Code schreibt, werden Programme wie GnuPG und KeePass schon laufen. Ein Irrtum. Die Probleme von Koch zeigen, dass dieses Prinzip nur leidlich funktioniert. Zwar können viele nebenbei ein paar Fehler entdecken. Aber es braucht Menschen wie Koch und Reichl, die ein Projekt koordinieren sowie Anregungen und Fehlerberichte anderer Unterstützer überprüfen. Und das kostet eben Zeit und Geld.

Bundesregierung zieht sich zurück

Lange Zeit galten Spenden als der Königsweg. Um heute allerdings genügend Geld zusammenzubekommen, braucht es mehr als einen Flattr-Button in Stecknadelkopfgröße. Entwickler konkurrieren beim Einwerben von Geld mit Organisationen und deren Spendenabteilungen. So glücklich der Rettungsversuch von GnuPG auch ist. Es ist unwahrscheinlich, dass Spenden von Konzernen langfristig eine ganze Sicherheitsarchitektur im Netz finanzieren. Den Versuch unternimmt die Core Infrastructure Initiative, eine Allianz der größten Netzkonzerne. GnuPG ist nun auch dabei, KeePass und viele andere werden hingegen weiter übersehen.

Bleibt noch der Staat. Die Bundesregierung hat GnuPG zehn Jahre lang unterstützt. Im vergangenen Jahr stellte man die Zahlungen ein. Auf eine Kleine Anfrage im Bundestag äußerte sich ein Abgeordneter, dass man sich im Falle von GnuPG auf die Netzgemeinschaft verlasse. GnuPG wäre wegen dieses Irrglaubens fast gescheitert.  

Nicht kommerzielle Programme wie GnuPG dienen der gesamten Bevölkerung bei der Wahrung ihrer Grundrechte, etwa dem Grundrecht auf informationelle Selbstbestimmung. Eine staatliche Förderung ist deshalb durchaus keine Utopie. In Deutschland gäbe es gleich mehrere Stellen, die derlei Programme fördern könnten. Eine ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), das allerdings selbst unterfinanziert ist.

Eine andere Möglichkeit wäre die Förderung durch die mit Milliardenbeträgen ausgestatteten Forschungsverbünde, wie die Deutsche Forschungs-, die Helmholtz-Gemeinschaft oder das Fraunhofer-Institut. So oder so: Es ist Zeit, dass die öffentlichen Gelder vermehrt für die Entwicklung von Programmen zur Sicherheit der Bürger im Netz fließen. Dann kann Deutschland auch – wie die digitale Agenda fordert – Verschlüsselungsstandort Nummer eins werden.