Milliardengrab Flugpassagierüberwachung
Inkompetenz, schlechtes Management, verärgerte Passagiere: Die zahlreichen Programme der US-Heimatschützer zur Überwachung von Flugreisenden haben sich als Milliardengrab erwiesen. Der US-Rechnungshof protestiert, das Heimatschutzministerium verlangt immer neue Dollar-Millionen, um die Fehler im System zu reparieren. Die EU will bereits im September die Verhandlungen über die Einführung eines ähnlichen Systems starten.
"Es ist paradox, dass die Europäische Union zwar eingewilligt hat, Flugpassagierdaten an Drittstaaten zu liefern, selbst aber noch keine Richtlinie erlassen hat, um aus einem derartigen System Nutzen zu sehen", heißt es in einem Ratsdokument, das vor ziemlich genau einem Jahr unter der französischen EU-Präsidentschaft erstellt wurde.
Wie die Erfahrungen aus mehreren Mitgliedsstaaten zeigten, sei eine derartige Passagierdatensammlung ein "sehr effektives Instrument", so der Richtlinienentwurf.
Dieses Thema ist ab September wieder auf dem Tisch.
Vorreiter Großbritannien
Wie so oft in Überwachungsangelegenheiten ist Großbritannien nämlich vorgeprescht. Mit dem Programm "e-Borders" ist in England ein Klon des auf dem US-Notstandsgesetz "Patriot Act" beruhenden Programms US-VISIT (Visitor and Immigrant Status Indicator Technology) angelaufen.
Alle Ein- und Ausreisebewegungen zu Land, Schiff und in der Luft sollen zentral erfasst werden mit dem erklärten Ziel, Bewegungsprofile aller Passagiere zu erstellen. Vom amerikanischen System aber läuft fünf Jahre nach dem entsprechenden Beschluss gerade die dritte Version an, nachdem sich die ersten beiden Startversuche - genannt CAPPS I und II - als wenig nutzbringend erwiesen hatten.
Vorbild USA
Der Ansatz, Flugpassagierdaten aus den diversen Systemen der Fluglinien zusammenzuführen und mit biometrischen Daten - wiederum aus verschiedenen Systemen - in Echtzeit abzugleichen, erwies sich als nicht durchführbar.
Die Folge waren massenhaft falsche Treffer, die im besten Fall stundenlange Verhöre zur Folge hatten, schlimmstenfalls durfte der betreffende Passagier nicht mitfliegen. Dass es den US-Heimatschützern beim Aufbau des Systems an Professionalität mangelte, kann man an den nunmehr erfolgten neuerlichen Änderungen ablesen.
Kleine Differenzen
Die Behörde für Transportsicherheit (TSA), eine Abteilung des Ministeriums für Heimatschutz, habe "etwas Flexibilität in die Prozesse eingebaut bezüglich der Namensgenauigkeit". Bereits in "naher Zukunft" sollten "kleine Differenzen" in der Namensschreibung zwischen dem mitgeführten Reisedokument und den Flugbuchungsdaten "kein Problem für Passagiere mehr darstellen".
Ein Beispiel: Es solle keine Rolle mehr spielen, ob der - in den USA äußerst beliebte - zweite Vorname vollständig ausgeschrieben, abgekürzt oder gar nicht vorhanden sei, heißt es im öffentlichen Frage-Antwort-Katalog der Behörde für Transportsicherheit.
Laut US-Rechnungshof kann das US-Heimatschutzministerium nicht sagen, ob und wann das automatisierte Biometriesystem für Ein- und Ausreisende (US-VISIT) wie geplant funktionieren wird. Heimatschutzminister Michael Chertoff konnte bis zum Ende seiner Amtszeit im Jänner 2009 jene Vorgaben nicht umsetzen, die er 2001 als oberster Terrorstrafverfolger der USA selbst formuliert hatte. Das hat die Briten nicht daran gehindert, ein strukturell zum Verwechseln ähnliches System aufzubauen.
Die Konsequenzen
Derartige Differenzen hatten bisher automatisch eine Intensivbefragung des betreffenden Passagiers zur Folge. Den daraus resultierenden Warteschlangen und notorischen Verspätungen im Luftverkehr versuchte man seitens des US-Heimatschutzministeriums ab 2005 durch ein weiteres Programm zu begegnen, eine Public-Private-Partnership.
Diese aber ging im Juni dieses Jahres mit einem Knall zu Ende, denn praktisch über Nacht stellte Clear, eine Tochterfirma von Verified Identity Pass, seine Dienste ein.
Das "Clear"-Programm
Gegen etwas mehr als 100 Dollar Jahresgebühr konnte man sich für das "Clear Registered Traveler"-Programm registrieren, in dem neben Iris- und Fingerabdruckscans auch ein Datenabgleich mit diversen FBI-Datenbanken vorgesehen war. Wer dieses "Clearing" hinter sich hatte, konnte vorbei an Warteschlangen zum Check-in. So weit die Theorie.
Beim Sicherheitscheck vor dem Boarding wurden die "Clear Traveler" dann oft genauer durchsucht als andere Passagiere. Wer mit einer Person auf den schwarzen Listen verwechselt wurde oder einen Ausweis mit ausgeschriebenem "Middle Name" bei sich hatte, der in den Buchungsunterlagen abgekürzt war, wurde wie alle anderen einer umfangreichen Befragung unterzogen.
Die Leiden des Ted Kennedy
Der kürzlich verstorbene US-Senator Edward "Ted" Kennedy war eines der prominentesten Opfer des Datenbanksalats. Kennedy wurde regelmäßig aus der Warteschlange geholt, mehrfach wurde er nicht befördert oder erst mit stundenlanger Verspätung an Bord gelassen. Der Grund: Auf der "No Fly"-List befand sich ein "T. Kennedy", der wegen verschiedener schwerer Verbrechen gesucht wurde. Das Problem war nämlich, dass die von den US-Behörden gelieferten Namenslisten in sich nicht konsistent waren und vielfach nicht einmal ein Geburtsdatum enthielten. Auch die Transkription von Namen aus arabischen und kyrillischen Alphabeten ins lateinische war nicht normiert.
Obendrein müssen die Airlines den Abgleich mit den beiden schwarzen Listen - neben "No Fly" gibt es mindestens eine weitere, die "Selectees" genannt wird - bis jetzt selbst durchführen. Da die Datenbankfelder und die Feldauswahl für den Boarding-Pass bei den Fluglinien wiederum nicht einheitlich waren, führte all das zusammen zur Anhäufung falscher Treffer.
Brisanter Datenfriedhof
Da Kunden von Clear davon genauso betroffen waren, kam die Firma niemals auf die kritische Masse, die nötig gewesen wäre, um das USA-weite System mit eigenen Terminals und Abfertigungsreihen auf 50 Flughäfen zu finanzieren.
Übrig blieben ein Loch von 120 Millionen Dollar sowie die sensiblen Daten von 250.000 Flugpassagieren. Die Clear-Datenbank enthält von der Sozialversicherungsnummer über Fingerabdrücke bis zu Irisscans intimste persönliche Daten aller Teilnehmer des Programms. Was damit passieren wird, ist völlig unklar, denn inzwischen ist sogar die Website des Clear-Betreibers Verified Identity Pass aus dem Netz verschwunden.
Das Ersatzprogramm
Dass diese Private-Public-Partnership desaströs verlaufen könnte, hatte sich bereits vor einem Jahr abgezeichnet. Im August 2008 startete das Ministerium für Heimatschutz noch unter Michael Chertoff sein "Registered Traveler Program", das sich von Clear im Wesentlichen nur dadurch unterscheidet, dass es allein vom Ministerium, also vom Staat, finanziert wird.
Mit 24. August 2009 wurde das Programm von sieben auf 20 US-Flughäfen erweitert.
Millionengrab Passagierüberwachung
Sechs Jahre nach seinem Start soll das mittlerweile von "CAPPS" in "Secure Flight" umbenannte System erstmals selbst die Watchlists von Geheimdiensten und FBI abgleichen können. Aber dafür brauchen die Heimatschützer wieder neue Geldsummen in unbekannter Größenordnung, denn der US-Rechnungshof (GAO) bemängelt in seinem neuesten Bericht, dass von zehn zu erfüllenden Punkten ein ganz zentraler noch nicht geregelt sei: die Finanzierung.
Kostenschätzungen für Lebenszyklen der verwendeten Technik fehlten ebenso wie Ausgabenpläne, Budgets und Zeitpläne im Allgemeinen, bemängelte der Rechnungshof erneut im April 2009.
Mehr Geld für IT
Janet Napolitano, die neue Ministerin für Heimatschutz, hat denn auch bereits angekündigt, dass ihr Ministerium mehr Geld für mehr Informationstechnologie benötige. Einer der größten Brocken ist dabei das US-VISIT-Programm mit einem Zusatzbedarf von 356 Millionen Dollar.
Was das System zur Auswertung von Flugpassagierdaten bis dato insgesamt gekostet hat, lässt sich kaum abschätzen. So wurde ein komplettes Fingerabdruck-Analysesystem angeschafft und USA-weit auf den Flughäfen installiert.
Fiasko mit zwei Fingern
Mit den Abdrücken von je zwei Zeigefingern eines Menschen lässt sich ein Biometriesystem mit Millionen Datenbankeinträgen zwar betreiben, allerdings mit einer großen Einschränkung. Bei Grenzkontrollen kann zwar überprüft werden, ob die beiden Fingerabdrücke eines Einreisenden mit den beiden Prints in seinem Visum, Reisepass oder einer Datenbank identisch sind.
Als Grundlage für eine Suche in einer Großdatenbank ("one against many") taugen zwei Fingerabdrücke freilich nicht. Bei 100 Millionen oder mehr Einträgen in der FBI-Datenbank kommt es zwangsläufig zu falschen Treffern, weil zwei Prints schlicht zu wenige Informationen enthalten.
Nach kaum drei Jahren wurde das Zweifingersystem daher wieder abgeschafft.
15 Milliarden Dollar
Die Umstellung auf das neue und wesentlich teurere Zehn-Finger-Erfassungssystem ist Ende August 2009 noch immer nicht fertig vollzogen, auch hier fehlt es Napolitano an Geld.
Ursprünglich waren für US-VISIT Gesamtkosten von 15 Milliarden Dollar bis 2015 eingeplant. Nach all den Fehlschlägen ist davon auszugehen, dass diese Summe bei weitem nicht reichen wird, um die Kosten abzudecken, wobei höchst fraglich ist, ob das System jemals wie geplant funktionieren wird.
Ausreisekontrollen
Es ist nämlich nicht nur darauf ausgelegt, Einreisende zu identifizieren, eine Kernfunktion von US-VISIT ist vielmehr die Ermittlung der Aufenthaltsdauer. Das funktioniert nur, wenn auch der Zeitpunkt der Ausreise erfasst wird.
Besucher mit abgelaufenen Visa - wie etwa einige der Attentäter vom 11. September 2001 - sollen so leichter ausfindig gemacht werden können, zumal die Datenbank automatisch Alarm auslöst und eine Fahndung nach der betreffenden Person eingeleitet wird.
Ein Blick auf den Kontrollpunkt San Ysidro an der US-Grenze zu Mexiko zeigt, dass es praktisch unmöglich ist, auch alle Ausreisen zu erfassen. Die nächste Vorgabe des US-VISIT-Systems, dass die Biometriedaten an allen Kontrollpunkten automatisch eingelesen werden, kann ebenso nicht erfüllt werden. San Ysidro weist 24 Fahrspuren und ebenso viele Kontrollkabinen für die einreisenden Pkws auf. Bei den sechs Ausreisespuren, die im Regelfall nicht überprüft werden, sind strukturell keine Kontrollen vorgesehen.
So das Konzept. Die Ausreisedaten aber wurden bis dato überhaupt nicht systematisch erhoben, erst jetzt laufen die ersten Versuche der US-Behörden an, auch diese Daten von Airlines zu bekommen. Wie ein solches System an großen terrestrischen Übergängen wie San Ysidro an der Grenze zu Mexiko je funktionieren soll (siehe Kasten links), steht völlig in den Sternen.
Das böse, alte Spiel
Die Chancen, dass Europa denselben Weg einschlägt, sind trotzdem hoch, denn Großbritannien spielt hier mit ausdrücklicher Unterstützung von Frankreich das böse, alte Spiel, das große EU-Mitgliedsstaaten seit jeher immer wieder spielen.
Schafft man es nicht, ein bestimmtes Gesetzesvorhaben durch das eigene nationale Parlament zu bringen, sammelt man gleichgesinnte Verbündete in Europa und versucht, das Vorhaben über eine EG-Richtlinie gewissermaßen "von oben herab" durchzusetzen.
Legt sich im umgekehrten Fall das EU-Parlament quer, prescht man auf nationaler Ebene vor und wendet sich dann an die EU-Kommission, um eine "europäische Harmonisierung" zu erzwingen.
Vor Lissabon
Da sich das EU-Parlament bereits mehrfach gegen die Einführung eines Systems für die zentrale Erfassung und Speicherung von Flugpassagierdaten ausgesprochen hat, wird man versuchen, Volksvertretung und Bürger vor Inkrafttreten des Vertrags von Lissabon im Ministerrat vor vollendete Tatsachen zu stellen.
Bis dahin hat dieses Gremium in Angelegenheiten wie dieser das letzte Wort, das EU-Parlament hat keine Möglichkeit, das zu verhindern.
(futurezone/Erich Moechel)