Dies ist die wahre Geschichte der den Taliban überlassenen afghanischen biometrischen Datenbanken

Afghanen, die von biometrischen Daten angegriffen werden

Andrea Daquino





Als die Taliban Mitte August durch Afghanistan fegten und das Ende von zwei Jahrzehnten Krieg erklärten, Berichte schnell in Umlauf gebracht, dass sie auch biometrische Geräte des US-Militärs erbeutet hatten, mit denen Daten wie Iris-Scans, Fingerabdrücke und Gesichtsbilder gesammelt wurden. Einige befürchteten, dass die als HIIDE bekannten Maschinen dazu verwendet werden könnten, Afghanen zu identifizieren, die Koalitionstruppen unterstützt hatten.

Laut Experten, die mit MIT Technology Review sprachen, bieten diese Geräte jedoch nur begrenzten Zugriff auf biometrische Daten, die auf sicheren Servern ferngehalten werden. Unsere Berichterstattung zeigt jedoch, dass eine größere Bedrohung von Datenbanken der afghanischen Regierung ausgeht, die sensible persönliche Informationen enthalten, die zur Identifizierung von Millionen von Menschen im ganzen Land verwendet werden könnten.

MIT Technology Review sprach mit zwei Personen, die mit einem dieser Systeme vertraut sind, einer von den USA finanzierten Datenbank namens APPS, dem Afghan Personnel and Pay System. Es wird sowohl vom afghanischen Innenministerium als auch vom Verteidigungsministerium verwendet, um die nationale Armee und Polizei zu bezahlen, und ist wohl das sensibelste System seiner Art im Land, da es extrem detailliert auf das Sicherheitspersonal und seine ausgedehnten Netzwerke eingeht. Wir haben den Quellen Anonymität gewährt, um sie vor möglichen Repressalien zu schützen.



Afghanen werden über WhatsApp, Google Forms oder auf andere Weise evakuiert

Die einzige Hoffnung für viele, die von der Übernahme durch die Taliban erwischt wurden, ist eine chaotische und manchmal riskante Reaktion von Freiwilligen im Internet.

APPS wurde 2016 gestartet, um Gehaltsscheckbetrug mit gefälschten Identitäten oder Geistersoldaten einzudämmen, und enthält nach Schätzungen von Personen, die mit dem Programm vertraut sind, etwa eine halbe Million Aufzeichnungen über jedes Mitglied der afghanischen Nationalarmee und der afghanischen Nationalpolizei. Die Daten werden ab dem Tag ihrer Einberufung gesammelt, sagt eine Person, die an dem System gearbeitet hat, und bleiben für immer im System, unabhängig davon, ob jemand aktiv im Dienst bleibt oder nicht. Aufzeichnungen könnten aktualisiert werden, fügte er hinzu, aber er sei sich keiner Löschungs- oder Datenaufbewahrungsrichtlinie bewusst – nicht einmal in Notfallsituationen wie einer Übernahme durch die Taliban.

ZU Präsentation über das Einstellungsverfahren der Polizei vom Combined Security Training Command-Afghanistan der NATO zeigt, dass nur eines der Antragsformulare allein 36 Datenpunkte erfasste. Unsere Quellen sagen, dass jedes Profil in APPS mindestens 40 Datenfelder enthält.



Dazu gehören offensichtliche persönliche Daten wie Name, Geburtsdatum und Geburtsort sowie eine eindeutige ID-Nummer, die jedes Profil mit einem vom afghanischen Innenministerium geführten biometrischen Profil verbindet.

Aber es enthält auch Details über die militärische Spezialisierung und den beruflichen Werdegang der Personen sowie sensible Beziehungsdaten wie die Namen ihres Vaters, Onkels und Großvaters sowie die Namen der beiden Stammesältesten pro Rekrut, die als Bürgen dienten für ihre Einberufung. Laut Ranjit Singh, einem Postdoktoranden der gemeinnützigen Forschungsgruppe Data & Society, der sich mit Dateninfrastrukturen und öffentlicher Ordnung befasst, wird aus einem einfachen digitalen Katalog etwas weitaus Gefährlicheres. Er nennt es eine Art Genealogie von Gemeinschaftsverbindungen, die all diese Menschen in Gefahr bringt.

Allein eines der Formulare für die Polizeirekrutierung enthielt 36 Informationen, darunter Daten über Bewerber und ihre Familien, die Details wie „Lieblingsobst und Lieblingsgemüse“ enthielten.



Die Informationen sind auch von großem militärischen Wert – ob für die Amerikaner, die beim Bau geholfen haben, oder für die Taliban, die beide nach Netzwerken von Unterstützern ihres Gegners suchen, sagt Annie Jacobsen, Journalistin und Autorin von First Platoon: Eine Geschichte des modernen Krieges im Zeitalter der Identitätsdominanz .

Aber nicht alle Daten haben einen so klaren Nutzen. Das Antragsformular für den Polizeiausweis scheint zum Beispiel auch nach dem Lieblingsobst und -gemüse der Rekruten zu fragen. Das Büro des Verteidigungsministers verwies Fragen zu diesen Informationen an das Zentralkommando der Vereinigten Staaten, das auf eine Bitte um Stellungnahme dazu, was mit diesen Daten geschehen sollte, nicht reagierte.

„Ich wäre nicht überrascht, wenn sie sich die Datenbanken ansehen und anfangen würden, Listen zu drucken … und jetzt Jagd auf ehemaliges Militärpersonal machen.“



Während die Frage nach Obst und Gemüse auf einem Rekrutierungsformular der Polizei fehl am Platz erscheinen mag, zeigt es den Umfang der gesammelten Informationen an und, sagt Singh, weist auf zwei wichtige Fragen hin: Welche Daten dürfen gesammelt werden, um den Zweck des Staates zu erreichen, und Ist das Gleichgewicht zwischen Vor- und Nachteilen angemessen?

In Afghanistan, wo Datenschutzgesetze erst Jahre nachdem das US-Militär und seine Auftragnehmer mit der Erfassung biometrischer Informationen begonnen hatten, geschrieben oder erlassen wurden, erhielten diese Fragen nie klare Antworten.

Die resultierenden Aufzeichnungen sind äußerst umfassend.

Geben Sie mir ein Feld, von dem Sie glauben, dass wir es nicht sammeln werden, und ich sage Ihnen, dass Sie sich irren, sagte eine der beteiligten Personen.

Dann korrigierte er sich: Ich glaube, wir haben keine Namen von Müttern. Manche Menschen mögen es nicht, den Namen ihrer Mutter in unserer Kultur zu teilen.

Eine wachsende Angst vor Repressalien

Die Taliban haben öffentlich erklärt, dass sie keine gezielte Vergeltung gegen Afghanen durchführen werden, die mit der vorherigen Regierung oder den Koalitionstruppen zusammengearbeitet haben. Aber ihre Handlungen – historisch und seit ihrer Übernahme – waren nicht beruhigend.

Am 24. August teilte die UN-Hochkommissarin für Menschenrechte einem Sondertreffen der G7 mit, das ihr Büro empfangen habe glaubwürdige Berichte von summarischen Hinrichtungen von Zivilisten und Kampfangehörigen der afghanischen nationalen Sicherheitskräfte.

Ich wäre nicht überrascht, wenn sie sich die Datenbanken ansehen und auf dieser Grundlage Listen drucken würden … und jetzt Jagd auf ehemaliges Militärpersonal machen, sagte uns eine Person, die mit der Datenbank vertraut ist.

Eine Untersuchung von Amnesty International fanden heraus, dass die Taliban neun ethnische Hazara-Männer folterten und massakrierten, nachdem sie Anfang Juli die Provinz Ghazni erobert hatten, während es in Kabul zahlreiche Berichte über Taliban gab, die von Tür zu Tür gingen, um Personen zu registrieren, die für die Regierung oder international finanzierte Projekte gearbeitet hatten.

Laut lokalen Medienberichten spielt die Biometrie bei solchen Aktivitäten seit mindestens 2016 eine Rolle. Bei einem weit verbreiteten Vorfall aus jenem Jahr überfielen Aufständische einen Bus auf dem Weg nach Kunduz und 200 Passagiere als Geiseln genommen , tötete schließlich 12, darunter lokale Soldaten der afghanischen Nationalarmee, die nach einem Familienbesuch zu ihrer Basis zurückkehrten. Zeugen sagten damals der örtlichen Polizei, dass die Taliban eine Art Fingerabdruckscanner benutzten, um die Identität von Personen zu überprüfen.

Es ist unklar, um welche Art von Geräten es sich dabei handelte oder ob es dieselben waren, die von amerikanischen Streitkräften verwendet wurden, um Identitätsdominanz zu etablieren – das Ziel des Pentagon, zu wissen, wer Menschen waren und was sie getan hatten.

Die Taliban, nicht der Westen, haben den technologischen Krieg in Afghanistan gewonnen

Die US-geführte Koalition hatte mehr Feuerkraft, mehr Ausrüstung und mehr Geld. Aber es waren die Taliban, die am meisten vom technologischen Fortschritt profitierten.

US-Beamte waren besonders daran interessiert, Identitäten zu verfolgen, um Netzwerke von Bombenbauern zu stören, die sich erfolgreich der Entdeckung entziehen konnten, da ihre tödlichen improvisierten Sprengsätze eine große Zahl von Opfern unter amerikanischen Truppen verursachten. Mit biometrischen Geräten könnten Militärangehörige die Gesichter, Augen und Fingerabdrücke von Menschen erfassen – und diese einzigartigen, unveränderlichen Daten verwenden, um Personen wie Bombenbauer mit bestimmten Vorfällen in Verbindung zu bringen. Rohdaten gingen in der Regel in eine Richtung – von Geräten zurück zu einer klassifizierten DOD-Datenbank –, während umsetzbare Informationen, wie Listen von Personen, nach denen Ausschau gehalten werden sollte, zurück auf die Geräte heruntergeladen wurden.

Vorfälle wie der in Kunduz schienen darauf hinzudeuten, dass diese Geräte auf breitere Datensätze zugreifen könnten, etwas, das das afghanische Verteidigungsministerium und amerikanische Beamte gleichermaßen haben immer wieder verweigert .

„Die USA haben umsichtige Maßnahmen ergriffen, um sicherzustellen, dass sensible Daten nicht in die Hände der Taliban gelangen. Diese Daten sind nicht missbrauchsgefährdet. Das ist leider alles, was ich sagen kann“, schrieb Eric Pahon, ein Sprecher des Verteidigungsministeriums, kurz nach der Veröffentlichung in einer E-Mail-Erklärung.

Sie hätten auch daran denken müssen, es zu sichern

Aber Thomas Johnson, ein Forschungsprofessor an der Naval Postgraduate School in Monterey, Kalifornien, liefert eine andere mögliche Erklärung dafür, wie die Taliban biometrische Informationen bei dem Anschlag in Kunduz verwendet haben könnten.

Anstatt die Daten direkt von HIIDE-Geräten zu nehmen, sagte er MIT Technology Review, sei es möglich, dass Taliban-Sympathisanten in Kabul ihnen Datenbanken von Militärangehörigen zur Verfügung stellten, anhand derer sie Abdrücke verifizieren könnten. Mit anderen Worten: Auch im Jahr 2016 waren möglicherweise eher die Datenbanken als die Geräte selbst das größte Risiko.

Unabhängig davon sind einige Einheimische davon überzeugt, dass die Erfassung ihrer biometrischen Informationen sie in Gefahr gebracht hat. Abdul Habib, 32, ein ehemaliger ANA-Soldat, der bei dem Anschlag in Kunduz Freunde verlor, machte den Zugang zu biometrischen Daten für ihren Tod verantwortlich. Er war so besorgt, dass auch er von den Datenbanken identifiziert werden könnte, dass er die Armee – und die Provinz Kunduz – kurz nach dem Busangriff verließ.

Als er kurz vor dem Fall Kabuls mit MIT Technology Review sprach, lebte Habib seit fünf Jahren in der Hauptstadt und arbeitete in der Privatwirtschaft.

Als es zum ersten Mal eingeführt wurde, habe ich mich über dieses neue biometrische System gefreut, sagte er. Ich dachte, es wäre etwas Nützliches und die Armee würde davon profitieren, aber jetzt rückblickend glaube ich nicht, dass es ein guter Zeitpunkt war, so etwas einzuführen. Wenn sie ein solches System bauen, sollten sie auch daran gedacht haben, es zu sichern.

Und selbst in Kabul, fügte er hinzu, habe er sich nicht sicher gefühlt: Einem Kollegen wurde gesagt, dass „wir Ihre Biometrie aus dem System entfernen werden“, aber soweit ich weiß, können sie sie, sobald sie gespeichert sind, nicht mehr entfernen .

Als wir das letzte Mal kurz vor Ablauf der Rückzugsfrist am 31. August mit ihm sprachen, als Zehntausende Afghanen den internationalen Flughafen Hamid Karzai in Kabul umstellten, um einen Evakuierungsflug zu starten, sagte Habib, dass er es geschafft habe. Seine biometrischen Daten waren kompromittiert, aber mit etwas Glück würde er Afghanistan verlassen.

Welche anderen Datenbanken gibt es?

APPS ist vielleicht eines der belastetesten Systeme in Afghanistan, aber es ist nicht einzigartig – noch nicht einmal das größte.

Die afghanische Regierung hat – mit Unterstützung ihrer internationalen Geber – die Möglichkeiten der biometrischen Identifizierung aufgegriffen. Biometrische Daten würden unseren afghanischen Partnern helfen zu verstehen, wer ihre Bürger sind ... Afghanistan helfen, seine Grenzen zu kontrollieren; und ... der GIRoA [der Regierung der Islamischen Republik Afghanistan] erlauben, eine „Identitätsdominanz“ zu haben, wie es ein amerikanischer Militärbeamter in a ausdrückte Biometriekonferenz 2010 in Kabul.

Im Mittelpunkt der Bemühungen stand die biometrische Datenbank des Innenministeriums mit dem Namen Afghan Automatic Biometric Identification System (AABIS), die oft einfach als Biometriezentrum bezeichnet wird. AABIS selbst wurde nach dem streng geheimen biometrischen System des Verteidigungsministeriums namens Automatic Biometric Identification System modelliert, das dabei half, Ziele für Drohnenangriffe zu identifizieren.

Afghanen werden über WhatsApp, Google Forms oder auf andere Weise evakuiert

Die einzige Hoffnung für viele, die von der Übernahme durch die Taliban erwischt wurden, ist eine chaotische und manchmal riskante Reaktion von Freiwilligen im Internet.

Laut Jacobsens Buch zielte AABIS darauf ab, bis 2012 80 % der afghanischen Bevölkerung oder etwa 25 Millionen Menschen abzudecken. Während es keine öffentlich zugänglichen Informationen darüber gibt, wie viele Datensätze diese Datenbank jetzt enthält, und weder der Auftragnehmer, der die Datenbank verwaltet, noch Beamte des US-Verteidigungsministeriums auf Anfragen nach Kommentaren geantwortet haben, gibt es eine unbestätigte Zahl aus dem LinkedIn-Profil des US-amerikanischen Unternehmens Programmmanager beziffert sie auf 8,1 Millionen Datensätze.

AABIS wurde von der vorherigen afghanischen Regierung auf vielfältige Weise eingesetzt. Bewerbungen für Regierungsstellen und -rollen bei den meisten Projekten erforderten eine biometrische Überprüfung durch das MOI-System, um sicherzustellen, dass die Bewerber keinen kriminellen oder terroristischen Hintergrund hatten. Biometrische Kontrollen waren auch für Pass-, Personalausweis- und Führerscheinanträge sowie Anmeldungen für die College-Aufnahmeprüfung des Landes erforderlich.

Eine weitere Datenbank, etwas kleiner als AABIS, wurde mit e-tazkira, dem elektronischen Personalausweis des Landes, verbunden. Zum Zeitpunkt des Sturzes der Regierung waren laut der Regierung rund 6,2 Millionen Anträge in Bearbeitung Nationale Statistik- und Informationsbehörde , wobei unklar ist, wie viele Bewerber bereits biometrische Daten eingereicht haben.

Biometrische Daten wurden auch von anderen Regierungsstellen verwendet – oder zumindest veröffentlicht. Die Unabhängige Wahlkommission setzte biometrische Scanner ein, um Wahlbetrug bei den Parlamentswahlen 2019 zu verhindern. mit fragwürdigem Ergebnis . Im Jahr 2020 das Ministerium für Handel und Industrie angekündigt dass es biometrische Daten von denen sammeln würde, die neue Unternehmen registrieren.

Trotz der Fülle an Systemen waren diese nie vollständig miteinander verbunden. Ein August 2019 Wirtschaftsprüfung Die USA stellten fest, dass APPS trotz der bisher ausgegebenen 38 Millionen US-Dollar viele seiner Ziele nicht erreicht hatte: Die Biometrie war immer noch nicht direkt in seine Personalakten integriert, sondern nur durch die eindeutige biometrische Nummer verknüpft. Das System war auch nicht direkt mit anderen Computersystemen der afghanischen Regierung verbunden, wie dem des Finanzministeriums, das die Gehälter übermittelte. APPS stützte sich laut Audit auch weiterhin auf manuelle Dateneingabeprozesse, die Raum für menschliche Fehler oder Manipulationen ließen.

Ein globales Problem

Afghanistan ist nicht das einzige Land, das Biometrie einsetzt. Viele Länder sind besorgt über sogenannte Geisterbegünstigte – gefälschte Identitäten, die verwendet werden, um Gehälter oder andere Gelder illegal einzutreiben. Die Verhinderung eines solchen Betrugs ist eine häufige Rechtfertigung für biometrische Systeme, sagt Amba Kak, Direktorin für globale Richtlinien und Programme am AI Now Institute und Rechtsexperte für biometrische Systeme.

Es ist wirklich einfach, diese [APPS] als außergewöhnlich zu malen, sagt Kak, der ein Buch über globale biometrische Richtlinien mitherausgegeben hat . Es scheint viel Kontinuität mit globalen Erfahrungen rund um Biometrie zu haben.

„Die biometrische Identität als einziges effizientes Mittel zur legalen Identifizierung ist … fehlerhaft und ein wenig gefährlich.“

Amber Kak, AI Now

Es ist allgemein anerkannt, dass der Besitz legaler Ausweisdokumente ein Recht ist, aber die Verwechslung biometrischer Ausweise mit dem einzigen effizienten Mittel zur legalen Identifizierung, sagt sie, sei fehlerhaft und ein wenig gefährlich.

Kak stellt in Frage, ob Biometrie – eher als Richtlinienkorrekturen – die richtige Lösung für Betrug ist, und fügt hinzu, dass sie oft nicht evidenzbasiert sind.

Aber hauptsächlich angetrieben von US-Militärzielen und internationaler Finanzierung war die Einführung solcher Technologien in Afghanistan aggressiv. Auch wenn APPS und andere Datenbanken noch nicht das angestrebte Funktionsniveau erreicht haben, enthalten sie immer noch viele Terabyte an Daten über afghanische Bürger, die die Taliban ausspähen können.

Identitätsdominanz – aber von wem?

Die wachsende Besorgnis über die zurückgelassenen biometrischen Geräte und Datenbanken und die unzählige andere Daten über das gewöhnliche Leben in Afghanistan , hat in den zwei Wochen zwischen dem Einmarsch der Taliban in Kabul und dem offiziellen Abzug der amerikanischen Streitkräfte das Sammeln sensibler Daten von Menschen nicht gestoppt.

Diesmal werden die Daten hauptsächlich von wohlmeinenden Freiwilligen gesammelt ungesicherte Google-Formulare und -Tabellen , wobei betont wird, dass die Lektionen zur Datensicherheit entweder noch nicht gelernt wurden – oder dass sie von allen beteiligten Gruppen neu gelernt werden müssen.

Singh sagt, dass der Frage, was mit Daten während Konflikten oder Regierungszusammenbrüchen passiert, mehr Aufmerksamkeit geschenkt werden muss. Wir nehmen es nicht ernst, sagt er, aber wir sollten es tun, besonders in diesen vom Krieg heimgesuchten Gebieten, wo Informationen verwendet werden können, um viel Chaos zu verursachen.

Kak, der Forscher für Biometriegesetze, schlägt vor, dass der beste Weg zum Schutz sensibler Daten vielleicht darin bestünde, dass diese Art von [Daten-]Infrastrukturen … gar nicht erst gebaut würden.

Für Jacobsen, den Autor und Journalisten, ist es ironisch, dass die Besessenheit des Verteidigungsministeriums, Daten zur Feststellung der Identität zu verwenden, den Taliban tatsächlich helfen könnte, ihre eigene Version der Identitätsdominanz zu erreichen. Das wäre die Angst vor dem, was die Taliban tun, sagt sie.

Letztendlich sagen einige Experten, dass die Tatsache, dass die Datenbanken der afghanischen Regierung nicht sehr interoperabel waren, tatsächlich eine Rettung sein könnte, wenn die Taliban versuchen, die Daten zu verwenden. Ich vermute, dass das APPS immer noch nicht so gut funktioniert, was angesichts der jüngsten Ereignisse wahrscheinlich eine gute Sache ist, sagte Dan Grazier, ein Veteran, der bei der Überwachungsgruppe Project on Government Oversight arbeitet, per E-Mail.

Aber für diejenigen, die mit der APPS-Datenbank verbunden sind und jetzt möglicherweise selbst oder ihre Familienmitglieder von den Taliban gejagt werden, ist es weniger Ironie und mehr Verrat.

Das afghanische Militär habe seinen internationalen Partnern, einschließlich und unter der Führung der USA, vertraut, ein solches System aufzubauen, sagt einer der mit dem System vertrauten Personen. Und jetzt wird diese Datenbank als Waffe der [neuen] Regierung eingesetzt.

Dieser Artikel wurde mit Kommentaren des Verteidigungsministeriums aktualisiert. In einer früheren Version dieses Artikels gab eine Quelle an, dass es keine Lösch- oder Datenaufbewahrungsrichtlinie gab; Seitdem hat er klargestellt, dass ihm eine solche Richtlinie nicht bekannt war. Die Geschichte wurde aktualisiert, um dies widerzuspiegeln.

verbergen