Von der Fehlerverlässlichkeit von Antiterrorlisten
In Deutschland wurde die Antiterrorliste eingeführt, die Folgen des Wildwuchses von Antiterrorlisten und Überwachungsprogrammen lassen sich an den No-Fly- und No-Buy-Listen in den USA erkennen
Nach dem 11.9. 2001 hat die Transportation Security Administration (TSA), die nach der Gründung des Heimatschutzministeriums ein Teil dessen wurde, begonnen, eine No-Fly-Liste und eine "Selectee"-Liste über Menschen anzulegen, die eine Bedrohung darstellen können. Im Oktober 2002 wurde nach einem Antrag nach Einsicht gemäß dem Informationsfreiheitsgesetz erstmals belegt, dass solche, bislang heimlich geführten Listen existieren, nach denen Personen am Fliegen gehindert oder einer strengeren Kontrolle unterzogen werden. Zehntausende von Namen, vermutlich über 40.000, soll die No-Fly-Liste mittlerweile enthalten, in der Terrorist Identities Datamart Environment-Datenbank (TIDE), der Stammliste, aus der die andere Listen abgeleitet werden, sind über 300.000 Personen gespeichert (Die Mutter aller Terror-Datenbanken quillt über).
Das Problem der nach geheim gehaltenen Kriterien gesammelten Einträge auf den Listen ist neben einer gewissen Willkürlichkeit vor allem die hohe Fehlerquote. Sie soll bis zu 50 Prozent betragen, wie aus einem Bericht des Government Accountability Office hervorging. Fehler treten vorwiegend beim Vergleich der Namen auf. Ähnlichkeiten der Namen von Reisenden mit denen auf den Terrorlisten führen zu Verwechslungen, die unangenehme Folgen haben können, zumal es äußerst schwierig ist, einen Namen wieder von der Liste streichen zu lassen, und es undurchsichtig ist, warum ein Name oder eine Person auf diese geraten ist. Man darf gespannt sein, welche Folgen etwa die Antiterrorliste in Deutschland haben wird.
Ein entscheidendes Problem in den USA stellt das Programm zum Abgleich der Namen dar. Mit dem Soundex-Programm werden die Namen von Reisenden mit denen der No-Fly-Liste verglichen. Die auf der englischen Sprache basierende Suche stößt natürlich in den Reservierungsdatenbanken auf Probleme, wenn dort etwa arabische Namen in das römische Alphabet übersetzt werden, was bekanntlich in zahlreichen Versionen gemacht werden kann.
Soundex ist überdies ein altes, eigentlich bereits 1880 eingeführtes Programm, das – vorsichtig gesagt - einige grundsätzliche Schwächen hat, die dazu führen, dass auch bei englischen Namen zu viele Ähnlichkeiten ausgegeben werden. Dabei werden die Vokale entfernt und die Konsonanten durch drei Zahlen zwischen 1 und 6 ergänzt, um darzustellen, wie der Name ausgesprochen wird. H, W und Y werden nicht beachtet, was auch bei allen Konsonanten nach der dritten Stelle der Fall ist, weil nach dem ersten Buchstaben nur drei Zahlen kommen dürfen. Beispielsweise werden Black and Block jeweils als B-422 dargestellt. So können zahlreiche, unterschiedlich geschriebene Namen auf dieselbe Weise dargestellt werden und zu entsprechend vielen Warnhinweisen führen. Wie ungenau das Programm ist, haben Mitarbeiter der Firma S3 nicht uneigennützig demonstriert, weil sie behaupten, eine bessere Lösung zu haben. S3 bietet ein Tool an, mit dem sich sehen lässt, ob man auch einen "Treffer" landet. Angeblich hat die Firma Zugang zu den Listen gehabt.
An sich hatte sich bereits ein anderes Programm in den Startlöchern befunden, um Verdächtige auszusortieren, nämlich CAPPS II (Computer Assisted Passenger Pre-screening System II). Hier wären neben den Namen noch weitere persönliche Daten wie Adresse, Telefonnummer und Geburtstag zur Identifizierung eingeflossen. Die Informationen wären dann mit weiteren persönlichen Daten wie Kreditkarteninformationen, Finanztransaktionen und vielen anderen, von privaten Datenunternehmen gesammelten Daten abgeglichen und ergänzt worden, um eine Risikobewertung durchzuführen.
Obgleich vom Kongress die Gelder für CAPPS II 2004 aus Datenschutzgründen gesperrt wurde, ist Ende des letzten Jahres bekannt geworden, dass die TSA weiterhin mit dem Automated Targeting System (ATS) eine Risikobewertung von international Reisenden durchführt, wobei die Flugpassagierdaten mit weiteren Daten aus unterschiedlichen Quellen verbunden werden (US-Regierung bewertet das Risikopotenzial aller Ein- und Ausreisenden). Ob ATS Vorläufer oder Teil des Secure Flight-Programms ist, ist angesichts der verwirrenden Vielzahl von Projekten und Plänen zur Überwachung nicht eindeutig. Wie beim Secure Flight-Programm sollen jedoch bei ATS auch keine Daten von privaten Datenhändlern wie ChoicePoint verwendet werden. Das soll allerdings beim Registered Flight-Programm gemacht werden, an dem sich Reisende freiwillig beteiligen können, um nach einem Hintergrundcheck, der von beauftragten Firmen durchgeführt wird, schneller durch die Kontrollen zu kommen.
Nachdem Zehntausende von Beschwerden aufgrund von Verwechslungen aufgekommen sind und die Listen unter schwere Kritik geraten sind, hat nun das Heimatschutzministerium eine Website zur Abhilfe eingerichtet. Auf DHS TRIP (Traveler Redress Inquiry Program) können Reisende, die meinen, fälschlicherweise auf der Liste zu stehen, ihre Beschwerde einreichen. Sie müssen dazu zusätzliche Informationen eingeben, die überprüft und auch an andere Behörden weiter gegeben werden können. Mit TRIP lasse sich, so Minister Chertoff, die Liste säubern, die angeblich aber schon gründlich überprüft worden sei, um endlich das lange angekündigte Programm Secure Flight nächstes Jahr einführen zu können.
Beim Secure Flight-Programm werden PNR-Daten von Reisenden vor allem mit den Informationen aus der Terrorist Screening Database (TSDB) abgeglichen, um "verdächtige und bekannte Terroristen" zu erkennen und am Besteigen von Flugzeugen zu verhindern. Dazu will man offenbar die Terror-Liste bereinigen, auch wenn man mit den PNR-Daten mehr Informationen zur Überprüfung besitzt als nur die Namen. Das Problem mit Soundex ist damit allerdings noch nicht ganz gelöst. Angeblich hofft man im Heimatschutzministerium mit biometrischen Datenbanken die bislang dank Soundex hohen falschen Trefferquoten reduzieren zu können. Der Plan, nicht mehr nur zwei Fingerabdrücke, sondern die digitalen Fingerabdrücke aller 10 Finger zu erhalten, könnte damit zusammenhängen.
Die "No-Buy"-Liste des US-Finanzministeriums ist über 250 Seiten dick
Es gibt noch andere obskure Listen, beispielsweise die des Office of Foreign Assets Control (OFAC), das zusammen mit anderen Abteilungen des Finanzministeriums wie dem Office of Terrorist Finance and Financial Crime (TFI), das Financial Crime Enforcement Network (FinCEN) und dem Office of Intelligence and Analysis Sanktionslisten erstellt und verwaltet sowie Bankeinlagen von Verdächtigen einfriert, aber auch "verborgene Finanzwege von Sicherheitsbedrohungen" aufdeckt. Vor einem Senatsausschuss machte Adam Szubin, der Leiter von OFAC, die Möglichkeiten der Behörde deutlich und erklärte, dass die meisten Finanzbewegungen auch durch US-Banken im In- und Ausland gehen, was in Europa vor kurzem durch den SWIFT-Skandal deutlich wurde (Transparenz total). SWIFT hat internationale Finanztransaktionen, die über dessen Telekommunikationsnetz, an US-Geheimdienste und –Sicherheitsbehörden weitergegeben:
The United States is the world’s leading banking and financial center; to paraphrase an old saying, “all financial roads lead to New York.” When a designated party in Afghanistan tries to send money to Southeast Asia, that transfer will often pass through a United States bank, if only for an instant. The result is typically that these funds are frozen and we are notified by a call to our hotline or the filing of a blocking report. In addition, it is important to remember that U.S. persons and U.S. branches situated abroad are subject to U.S. law, and must comply with OFAC’s regulations as if they were in the United States. The jurisdiction also extends to foreign financial institutions that maintain a U.S. presence as well.
OFAC ist nicht nur für Sanktionen gegenüber Ländern und Institutionen sowie dem Einfrieren von Geldern von bestimmten einzelnen Terrorverdächtigen (die zum Großteil mit der UN-Liste übereinstimmen) verantwortlich, sondern verwaltet auch eine umfangreiche Liste, auf der sich Namen von verdächtigen Personen befinden, mit denen Amerikaner unter Androhung von hohen Geld- und Gefängnisstrafen keine Geschäfte machen dürfen. Geschäfte meint dabei auch, dass jemand in einem Restaurant etwas isst, ein Auto leiht oder irgendetwas einkauft. Geschäftsleute und im Prinzip alle US-Bürger sind verpflichtet, Namen, die sie etwa von Kreditkarten beim Bezahlen erhalten, mit den Einträgen auf der Specially Designated Nationals-Liste (SDN) und 10 weiteren Listen zu überprüfen.
In contrast to other laws targeting terrorist financing, Executive Order 13224 and other OFAC-administered rules are not applicable only to financial institutions. Rather, every individual and group in the United States is barred from transacting with designated persons, even if they do not know that a person is designated, and could be liable even for unwitting violations. Theoretically, before a grocer sells a pint of milk, a deli serves a sandwich, or a doctor treats a patient, they should all be checking the OFAC list to make sure they are not assisting a person on the list.
Auch hier können natürlich zahlreiche Fehltreffer durch Namensähnlichkeiten auftreten, wie der Bericht The OFAC List: How a Treasury Department Watchlist Ensnares Everyday Consumers des Lawyers Committee for Civil Rights of the San Francisco Bay Area deutlich macht. Schon ein Vorname oder ein verbreiteter Familienname kann zu Problemen führen, vor allem wenn es sich um arabische oder spanische Namen handelt. Geschäftsleute oder Unternehmen scheinen gerne, wenn ein "Treffer" erfolgt, sicherheitshalber alle Geschäftsbeziehungen einzustellen, ohne zu überprüfen, ob es sich wirklich um die verdächtige Person handelt. Plötzlich können Interessenten ein Haus nicht mehr beim Makler kaufen, erhalten Arbeitssuchende keine Jobs oder wird ihnen eine Krankenversicherung verweigert. Der Bericht des Lawyers Committee bezeichnet diese Liste in Analogie zur No-Fly-Liste als No-Buy-Liste. Beide Listen würden unschuldige Menschen beispielsweise wegen einer Namensähnlichkeit stigmatisieren oder mit Schwierigkeiten konfrontieren. Die SDN-Liste ist alleine schon 267 Seiten lang und umfasst über 12.000 Datensätze.
Aufgrund der No-Fly-Liste wurde noch kein Terrorist identifiziert. Ob solche derzeit von Sicherheitspolitikern geliebten Antiterrorlisten, die oft nur vage Informationen (etwa im Hinblick auf die Schreibweise von Namen) enthalten und auch mutmaßlich Verdächtige oder Kontaktpersonen aufführen, tatsächlich der Sicherheit dienen, darf bezweifelt werden. Mit Sicherheit geraten aber mehr und mehr Menschen in Verdacht und werden Schikanen unterzogen, die mit dem Terrorismus nichts zu tun haben. Zumal, wenn nicht Angehörige von Sicherheitsbehörden, sondern Unternehmen Listen verwalten oder völlig ungeschulte Privatleute mit den zur Verfügung gestellten Programmen wie bei der SDN-Liste Überprüfungen anstellen.