Datamining einer Geheimdienst-Mailingliste [Update]

Quintessenz, ein in Wien beheimateter Verein zur Wiederherstellung der Bürgerrechte im Informationszeitalter, hat eine umfangreiche Mailingliste des US-Geheimdienstes National Security Agency (NSA) einem Datamining unterzogen. Thema der Liste sind seit mehr als zehn Jahren Entwicklungen auf dem Gebiet der Biometrie und deren mögliche Einsatzfelder. Die untersuchte Mailingliste gehört zum Projekt The Biometric Consortium, dem ersten öffentlich gewordenen NSA-Projekt. Aufgrund eines Konfigurationsfehlers und einer Sicherheitslücke im Web-Interface der Mailingliste sei es dem Verein gelungen, das gesamte Archiv der Mailingliste mit über 10.000 Einzelpostings herunterzuladen. Das erste Kapitel mit gewonnenen Erkenntnissen, das bereits online abrufbar ist, umfasst eine kurze Vorgeschichte sowie eine Zusammenfassung wesentlicher Inhalte der Liste bis 1996. Außerdem ist eine Liste jener Mailserver aus dem .mil- und .gov-Domainraum verfügbar, die über die Mailingliste mit Informationen beliefert werden. Weitere Ergebnisse will Quintessenz in näherer Zukunft veröffentlichen. Da sich der Traffic auf der Mailingliste nach dem 11. September 2001 vervielfacht hat, ist der Großteil der Mails jüngeren Datums.

Nach Quintessenz-Informationen ist das Projekt Biometric Consortium das Ergebnis zweier für die NSA beunruhigender Entwicklungen: 1993 übernahm das französische Unternehmen Sagem jene Firma, die das Fingerabdrucksystem des FBI entwickelt hatte. Und 1994 bekam mit John Daugman ein Brite ein bedeutendes Patent für die Iris-Scanning-Technik zugesprochen. Die NSA habe daraufhin befürchtet, durch Biometrie-Patente in diesem Technologiebereich von Ausländern abhängig zu werden, berichtete Quintessenz am gestrigen Mittwoch im Rahmen einer Pressekonferenz in Wien. Die Gegenstrategie des US-Geheimdienstes sei eine Forcierung offener, patentfreier Standards für biometrische Technologien wie Fingerabdruckerkennung, Irisscans und Stimmerkennung gewesen. Um dieses Ziel zu erreichen, habe man versucht, direkten Einfluss auf internationale Standardisierungsorganisationen zu nehmen. Parallel soll die NSA daran arbeiten, bedeutende Technologiekonzerne auf "ihre Seite" zu ziehen. Als Vehikel dafür sei das Projekt Biometric Consortium ins Leben gerufen worden. Im Zuge der Recherche sei auch aufgefallen, dass viele Vorstände und Aufsichtsräte von Biometrie-Unternehmen ehemalige Geheimdienst- oder Militärangehörige seien.

Die Mailingliste, die heute dem Biometric Consortium als Kommunikationsbasis dient, war im Oktober 1994 für bestimmte Mitarbeiter und Geschäftspartner der NSA sowie US-Militärs eingerichtet worden, später wurde sie einem immer größeren Kreis geöffnet. Inzwischen sind Mitarbeiter unterschiedlicher Einrichtungen verschiedener Staaten sowie der globalen Biometrie-Industrie mit an Bord. Mit falschem Namen und einer Deckgeschichte war es einem Quintessenz-Aktivisten vor etwa einem Jahr gelungen, vom Administrator der Mailingliste freigeschaltet zu werden. Zunächst konnte nur der aktuelle Mailverkehr und das jüngere Archiv der Liste gelesen werden. Im Verlauf des Umzugs der Liste von einem Server auf einen anderen sei dem Administrator aber ein Fehler unterlaufen, wodurch für kurze Zeit das gesamte Archiv -- auch aus jener Zeit, als nur ein kleiner Personenkreis Zutritt hatte -- über ein Webinterface abgefragt werden konnte. Auf diesem Weg habe man jedoch immer nur ein Posting auf einmal lesen können. Mittels eines PHP-Scripts, das eine Sicherheitslücke ausnutzte und tausende funktionierende Session-IDs kreierte, sei es Quintessenz jedoch gelungen, den gesamten Datenbestand in einem Rutsch herunterzuladen -- 55 MByte reiner Text sowie gut ein GByte Präsentationsdateien von einschlägigen Konferenzen waren das Ergebnis. Da dies für eine Auswertung durch einzelne Menschen zu viel Material ist, bedienten sich die Wiener im Wesentlichen zweier Open-Source-Programme: Weka diente dem Datamining, während Kea zum Textmining herangezogen wurde.

Um den rechtlichen Bestimmungen zu entsprechen, wurde das Vorhaben, personenbezogene Daten auszuwerten, von Quintessenz bei der zuständigen österreichischen Datenschutzkommission im Bundeskanzleramt angezeigt und eine Genehmigung eingeholt. Über die Mailingliste wurden die Betroffenen informiert und an ihre nationalen Bürgerrechtsorganisationen verwiesen: Für den Fall, dass jemand mit der personenbezogenen Auswertung seiner Postings nicht einverstanden sein sollte, würden ihn diese Organisationen gerne unterstützen und entsprechend Kontakt mit Quintessenz aufnehmen. Da keine Widersprüche eingegangen seien, habe man damit begonnen, die Verflechtungen der postenden Subscriber automatisiert zu analysieren. Diese Ergebnisse sollen jedoch nicht online gestellt werden, da eine Veröffentlichung personenbezogener Daten den Quintessenz-Idealen widerspreche.

[Update]:
Die Datenschutzkommission im österreichischen Bundeskanzleramt legt Wert auf den Hinweis, dass eine Genehmigung auf die Durchführung des Datamining bei ihr beantragt, diese aber noch nicht erteilt wurde. Vielmehr habe die Datenschutzkommission Quintessenz dazu aufgefordert, den bereits gestellten Antrag zu verbessern. (Daniel AJ Sokolov) / (pmz)