Undurchsichtige Spiele mit Data-Mining-Programmen der US-Regierung

Zufällig nur kam auf, dass die Billigfluglinie JetBlue Millionen von Datensätzen ihrer Kunden einer Firma zum Test eines Pentagon-Programms zur Erkennung von Terroristen weitergegeben hat - vielleicht nur ein Deckmantel für das umstrittene Terrorist Information Awareness Programm?

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Zufällig hatte der amerikanische Bürgerrechtler Bill Scannell, der die Website Don't Spy On.Us betreibt und schon einen Boykott gegen die Flugline Delta organisierte, in einem Bericht entdeckt. dass letztes Jahr die Billigfluglinie JetBlue Daten von 5 Millionen Datensätze von mehr als 1,5 Millionen Passagieren an die Firma Torch Concepts weiter gegeben hatte. Torch Concepts hatte für CAPPS II, die geplante Datenbank zur Überprüfung von Flugpassagieren, die Daten im Rahmen eines Tests ausgewertet.

Welche Vergünstigungen JetBlue möglicherweise für das Überlassen der Kundendaten (Namen, Adressen, Telefonnummern) an die Firma erhalten hat, die im Auftrag des Pentagon tätig war, ist noch unbekannt. JetBlue verletzte damit die eigenen Datenschutzrichtlinien, erklärte dazu entschuldigend, es habe sich um einen Ausnahmefall gehandelt. Später beteuerte man in einer Email an Kunden, die sich beschwert hatten, dass man den Vorfall bedaure und versuchte, Bedenken einzunebeln:

Thank you for writing to JetBlue so that I have an opportunity to apologize to you personally and set the record straight. Most importantly, JetBlue has never supplied, nor will supply, customer information to the Transportation Security Administration, or any government agency, unless we are required to do so by law -- not for CAPPS II or for any other purposes, whatsoever. However, I regret that, more than a year ago, we responded to an exceptional request from the Department of Defense to assist their contractor, Torch Concepts, with a project regarding military base security. This project had no connection with aviation security or the CAPPS II program and no data files were ever shared with the Department of Defense or any other government agency or contractor.

Torch Concepts sollte anhand der Daten zeigen, dass es möglich ist, unterschiedliche Gruppen von Flugpassagieren zu identifizieren, um damit riskante Personengruppen zu erkennen. Die Weitergabe der Daten wurde durch die TSA (Transportation Security Administration) vermittelt, die gesagt habe, man benötige die Daten für eine Durchführbarkeitsstudie eines Programms, das die Sicherheit der Army-Stützpunkte verbessern soll.

Seltsam ist schon, wie Flugpassierdaten zur Verbesserung der Sicherheit von Stützpunkten beitragen sollen. TSA-Sprecher Brian Turmail erklärte, die Behörde habe die Daten nicht selbst erhalten und sie auch nicht zum Testen von CAPPS II verwendet (vgl. Zuerst die ganz Bösen, dann die weniger Bösen sowie Kriegsgegner auf CAPPS-Überwachungsliste). Doch schon ein Einblick auf den Torch-Bericht zeigt, dass die Daten der Fluglinie mit weiteren persönlichen Daten verbunden wurden, die man von Acxiom erhalten hat (Torch beschwerte sich darüber, nicht genügend Daten erhalten zu haben, Acxiom konnte zu 40% der Passagiere zusätzliche Daten bieten). Zudem steht die Auswertung ganz eindeutig in Zusammenhang mit CAPPS II. So habe man einige Kriterien herausgefunden, wie sich normale Reisende von bekannten Terroristen unterscheiden, nämlich anhand der Social Security Nummer, der Aufenthaltsdauer, dem Einkommen, dem Besitz eines Hauses.

Vermutlich aber steht die Entwicklung von CAPPS II in engem Zusammenhang mit der von der Darpa betriebenen Entwicklung des umstrittenen Terrorist Information Awareness (TIA) Programms, das aus einer Vielzahl von Daten und Datentypen aus möglichst vielen Datenbanken verdächtige Personen automatisch herausfischen soll. Nach Bekanntwerden des Projekts, das man wohl zur besseren Geheimhaltung beim Pentagon unterbrachte und das ursprünglich Total Information Awareness hieß, wurde laute Kritik in den USA geäußert und eine Überprüfung des Projekts vom Kongress angeordnet. Die US-Regierung entließ, um der Kritik, die nach dem Bekanntwerden der geplanten Future-Börse für Terroranschläge unüberhörbar wurde, einen Sündenbock zu opfern, den Leiter des Projekts, den einst maßgeblich an der Iran-Contra-Affäre beteiligten Admiral Michael Poindexter. Zuvor hatte man schon versprochen, dass nur "legal" erhobene Daten von US-Bürgern oder künstlich erzeugte verwendet würden, um den Prototyp zu testen.

Das von Torch vorgestellte Projekt ist allerdings auch dem TIA-Projekt sehr ähnlich. Man wolle, so hieß es in dem im Februar 2003 auf einer Tagung vorgestellten Bericht "Homeland Security -- Airline Passenger Risk Assessment", eine "Nadel in einem Heuhaufen finden, ohne zu wissen, wie die Nadel aussieht". Dabei sollten nicht nur Reisedaten von Transportunternehmen aller Art, sondern auch finanzielle Transaktionen und "biochemische Transaktionen" mit Daten von CIA, FBI und anderen Behörden verknüpft und durchforstet werden.

Die Army bleibt bislang dabei, dass die JetBlue-Daten von Torch verwendet wurden, um ein Data-Mining-System zu testen, das Terroristen aussortieren soll, die Militärstützpunkten in den USA oder im Ausland gefährlich werden könnten. Auffällig ist jedoch auch, wie Wired berichtet, dass Torch den Auftrag der Army über einen Nebenvertrag durch SRS Technologies erhielt, die wiederum für Darpa am TIA-Programm mitwirken ("the single prime contractor to support DARPA's Information Awareness Office"). Allerdings wird von der Darpa bestritten, dass Torch einen Vertrag habe und an Information Awareness Programmen mitarbeite. All das wirkt gleichwohl so, als würden in Kritik stehende Überwachungsprojekte heimlich und unter falschen Namen vom Pentagon und/oder der US-Regierung an der Aufsicht des Kongresses vorbei und dem Blick der Öffentlichkeit entzogen weiter entwickelt werden.

Für Lee Tien von der Electronic Freedom Foundation ist das alles sehr bedenklich: "Man muss nur schauen, wie wir darüber Kenntnis erlangt haben, nur, weil eine Firma so blöd war, öffentlich darüber zu reden. Wir sollten alle diese Data-Mining-Programme stoppen und eine ernsthafte nationale Diskussion darüber führen, weil Reisedaten nur ein Beispiel für die vielen Daten sind, die jede Data-Mining-Operation von der Privatwirtschaft einholen will."

Die Bürgerrechtsorganisation EPIC forderte die Federal Trade Commission auf, eine Untersuchung über den Vorfall einzuleiten, da JetBlue sowie Acxiom persönliche Daten ohne Zustimmung ihrer Kunden an Dritte weitergegeben und damit gegen das Datenschutzrecht verstoßen haben. Gegen JetBlue hat auch eine Gruppe von Kunden am Montag eine Klage eingereicht.