Eine Schweizer IT-Sicherheitsforscherin und Aktivistin hat in den USA einen Datenschutz-Skandal ausgelöst. Direkt und indirekt betroffen sind Menschen weltweit: Es geht um eine lange Liste mit Personen, die von US-Sicherheitsbehörden als Terrorverdächtige oder potenzielles Sicherheitsrisiko eingestuft werden und deshalb nicht fliegen dürfen.
Einer bekannten Schweizer Hackerin und Datenschutz-Aktivistin (siehe unten) sind höchst sensible, angeblich ungeschützte Daten der US-Regierung in die Hände gefallen.
Gemäss übereinstimmenden US-Medienberichten hat sie auf einem Server der regionalen US-Fluggesellschaft CommuteAir (Partner von United Airlines) ein brisantes Dokument entdeckt und heruntergeladen. Die Textdatei enthalte die Identitäten von Hunderttausenden Personen aus der Terrorist Screening Database und der «No Fly List». Demnach geht es um Daten, die darüber entscheiden, ob man an Bord eines Verkehrsflugzeuges gehen darf und ob man verschärften Sicherheitskontrollen unterzogen wird.
Das US-Medium Daily Dot hatte am vergangenen Donnerstag (19. Januar) exklusiv darüber berichtet. Als dann der Medienkonzern «Vice» das Thema aufgriff, sorgte es über das vergangene Woche international für Schlagzeilen.
Die unter dem Pseudonym Maia Arson Crimew agierende Person (ehemals Tillie Kottmann) ist gemäss ihrem Wikipedia-Beschrieb eine Schweizer Entwicklerin und Computerhackerin.
Sie wurde in der Vergangenheit wiederholt mit schlagzeilenträchtigen Daten-Leaks in Verbindung gebracht.
Im März 2022 gab die Hackerin swissinfo.org ein Video-Interview zu ihren Beweggründen und erklärte, dass sie bewusst die Grenzen des Gesetzes überschreite, um auf gesellschaftliche Missstände hinzuweisen. In den USA wurde sie 2021 angeklagt, weil sie Daten öffentlich gemacht hatte. Man warf ihr Verschwörung, Telekommunikationsbetrug und schweren Identitätsdiebstahl vor, wie republik.ch berichtete.
Nein. Dazu liegen keine Berichte vor.
Die unter dem Pseudonym Maia Arson Crimew agierende Hackerin will die Daten nicht einfach leaken, sondern Leuten zugänglich machen, die ein berechtigtes Interesse daran hätten. Ihr sei bewusst, dass die Listen vertrauliche Informationen enthielten, sie sei jedoch der Ansicht, dass es «im öffentlichen Interesse liegt, diese Liste Journalisten und Menschenrechtsorganisationen zur Verfügung zu stellen».
Die in der Innerschweiz lebende Hackerin hat sich also für ein Vorgehen entschieden, wie es die Öffentlichkeit von Edward Snowden kennt. Der NSA-Whistleblower kooperierte mit ausgewählten Journalisten und händigte ihnen höchst sensible Dokumente aus, die er von Geheimdienst-Servern kopiert hatte.
Der Vorfall belegt einen zu laschen Umgang von US-Institutionen mit schützenswerten Personendaten. Zudem dürfte der Inhalt der Textdatei noch zu diskutieren geben.
Die Liste sei seit den Terroranschlägen vom 11. September 2001 um Hunderttausende Namen gewachsen. Bürgerrechtsgruppen, darunter der Council on American-Islamic Relations (CAIR) und die American Civil Liberties Union (ACLU), hatten schon Klagen wegen Diskriminierung eingereicht.
In den frühen 2000er-Jahren hatte es viele Berichte über Menschen gegeben, die fälschlicherweise auf die Flugverbotsliste gesetzt worden waren.
Wichtig zu wissen: Die Flugverbotsliste («No Fly List») unterscheidet sich von der Terroristen-Beobachtungsliste («Terrorist Watch List») – einer viel umfangreicheren Liste mit Personen, die von den US-Behörden verdächtig werden, mit Terrorismus in Verbindung zu stehen, oder die als potenzielle Sicherheitsrisiken identifiziert wurden (siehe unten).
Das ist nicht öffentlich bekannt.
Die Liste soll rund 1,5 Millionen Namen enthalten, überwiegend aus dem arabischen Sprachraum; es fänden sich jedoch auch zahlreiche slawisch und spanische klingende Namen darunter, wie Daily Dot berichtete. Sie enthalte auch zahlreiche Aliase (Pseudonyme), weshalb die Zahl der eindeutig betroffenen Personen bei weit weniger als 1,5 Millionen liege.
Laut der Hackerin gibt es bei den Einträgen «immer noch sehr klare Tendenzen zu fast ausschliesslich arabisch und russisch klingenden Namen». Einige Personen auf der Liste seien zu der Zeit, als sie in die Liste aufgenommen wurden, erst vier oder fünf Jahre alt gewesen (siehe unten).
Die Daten stammten aus dem Jahr 2019 und seien von der betroffenen Fluggesellschaft CommuteAir teilweise unkenntlich gemacht (geschwärzt) worden, sodass «nur» die Namen und Geburtsdaten der Personen einsehbar seien.
Auf der Liste standen laut den recherchierenden Journalisten «mehrere bemerkenswerte Persönlichkeiten», darunter der kürzlich freigelassene russische Waffenhändler Viktor Bout, neben über 16 potenziellen Decknamen für ihn.
In oberster Instanz ist es die US-Regierung.
Die US-Flugverbotsliste wird vom Terrorist Screening Center (TSC) geführt, einer Bundesbehörde, die nach den Terroranschlägen vom 11. September 2001 gegründet wurde.
Die zur US-Bundespolizei FBI gehörende Behörde führt auch die sogenannte «Terrorist Screening Database» (TSDB). Dabei handelt es sich um die zentrale Überwachungsliste, in der bekannte und mutmassliche Terroristinnen und Terroristen aufgeführt sind. Diese deutlich umfangreichere Liste wird zahlreichen staatlichen Institutionen in den USA zur Verfügung gestellt, darunter Strafverfolgungsbehörden, das US-Aussenministerium, die US-Einwanderungsbehörde und die Transportsicherheitsbehörde (TSA). Letztere zeichnet auch für die Flughafen-Sicherheitskontrollen verantwortlich.
Das ist nicht bekannt.
Das Daten-Leck soll zu einer Untersuchung durch den US-Kongress führen. Dies liess der republikanische Abgeordnete Dan Bishop, der im zuständigen Aufsichtsgremium des Repräsentantenhauses sitzt, via Twitter verlauten.
Die US-Fluggesellschaft CommuteAir sagte, die Daten seien über einen «falsch konfigurierten Entwicklungsserver» von (nicht autorisierten) Dritten abgerufen worden. Die Schwachstelle soll also bei einem zu Software-Testzwecken betriebenen Online-Computersystem bestanden haben.
Darüber hinaus habe die IT-Sicherheitsforscherin auf dem Server auch Zugang zu einer Datenbank mit personenbezogenen Daten von CommuteAir-Angestellten erlangt.
Basierend auf ersten Erkenntnissen, seien keine Kundendaten offengelegt worden. Man habe den betroffenen Server sofort offline genommen und eine Untersuchung eingeleitet.
Nein.
Im August 2021 hatte der ukrainische Sicherheitsforscher Wolodymyr Djatschenko eine – vermutlich sogar aktuellere – Liste von Personen gefunden, die die USA als Sicherheitsrisiko einstufen. Damals sei eine Datenbank auf einem IT-System mit bahrainischer Internet-Adresse zugänglich gewesen, ruft heise.de in Erinnerung. Jene Liste habe nicht nur 1,9 Millionen Namen enthalten, sondern unter anderem auch die Staatsbürgerschaft, Geschlecht, Geburtsdatum, Reisepassnummer und den «No Fly»-Status der Betroffenen.
Das könnte damit zusammenhängen, dass nicht ein Max Müller in die Zwillingstürmen geflogen ist oder den USA dauernd mit einem Einsatz von Atomwaffen droht.
Die Forderung nach einer nach Nationalität, Hautfarbe und Geschlecht ausgewogenen Liste von Terrorismusverdächtigen wäre jetzt doch etwas kontraproduktiv.
Geht nicht darum ihre „Leistung“ zu schmälern, sondern um darauf hinzuweisen, dass die IT Sicherheitsvorkehrungen von vielen grossen Firmen weltweit immer noch himmeltraurig inexistent sind.