211service.com
Verwechslung von Osama bin Laden mit Johnny Rotten
Ende Februar startete das US-Heimatschutzministerium (DHS) sein Programm zur Ermittlung von Reisenden-Redressen für die über 30.000 Personen, die in den Jahren seit dem 11. keine Fly- und Selectee-Listen. Diese Personen können jetzt über einen Beamten um investigative Bewertungen bitten Webseite , in der Hoffnung, dass die TSA ihre Namen irgendwann streichen wird.
Leider kann die Verwirklichung ihrer Hoffnungen lange aufgeschoben werden. Offiziell wird das stark verzögerte, computergestützte Passagier-Prescreening-System Secure Flight der TSA frühestens im Herbst 2008 eingeführt. TSA-Administratoren haben dem Kongress jedoch mitgeteilt, dass die vollständige Implementierung des Systems – das bereits 140 Millionen US-Dollar kostet und mindestens 80 Millionen US-Dollar mehr erfordert – möglicherweise nicht vor 2010 erfolgen wird Listen, und Personen auf den Listen werden weiterhin einer zusätzlichen Überprüfung ihrer Personen und ihres Handgepäcks unterzogen.
Kurz gesagt, die Farce der Bemühungen des Bundes, ein effizientes System zur Profilerstellung von Terroristen zu schaffen, um Terroristen von Flugzeugen fernzuhalten – und die Farce der Reaktionen von Datenschutzorganisationen auf diese Bemühungen – wird weitergehen. Vor dem 11. September 2001 enthielt die Liste der mutmaßlichen Terroristen mit Flugverbot der US-Regierung 16 Namen. Danach hat jede Regierungsbehörde wahllos Informationen über jeden potenziellen Verdächtigen aus ihren Datenbanken auf die Beobachtungslisten geworfen. Bis März 2003, als die TSA erste Tests von CAPPS II (Computer Assisted Passenger Pre-Screening System II) durchführte, waren die Beobachtungslisten auf 75.000 Namen angewachsen – viele von ihnen waren notorisch gängige Namen wie Ted Kennedy und Robert Johnson.
CAPPS II hätte die Erhebung von vier personenbezogenen Daten – Name, Adresse, Telefonnummer und Geburtsdatum – erfordert, um die Identität der Reisenden zu authentifizieren. Es hätte diese Informationen dann an kommerzielle Datenvermittlungsunternehmen (hauptsächlich AcXiom , dem selbsternannten Branchenführer im Einsatz von Grid-Computing), um diese mit Daten aus Kreditauskünften, Wählerausweisen, Fahrprotokollen und dergleichen abzugleichen, um dann für jeden Einzelnen einen geheimen Risiko-Score zu generieren.
All dies allein reichte natürlich aus, um Organisationen zu provozieren, die sich für Bürgerrechte einsetzen, wie die American Civil Liberties Union (ACLU), die Electronic Frontier Foundation (EFF) und das Electronic Privacy Information Center (EPIC). Darüber hinaus wollten das Weiße Haus, das DHS und das Justizministerium jedoch CAPPS II erweitern, um illegale Ausländer und inländische Kriminelle zu fassen, trotz der Einwände von TSA-Administratoren, die versprochen hatten, das System auf die Profilerstellung ausländischer Terroristen zu beschränken. Im Sommer 2004 – als einige dieser Administratoren mit Meuterei drohten, CAPPS II ein Jahr überfällig war und nicht mehr funktionierte und das Government Accountability Office berichtete, dass das System die Privatsphäre von Einzelpersonen nicht schützen würde –, dann DHS-Chef Tom Ridge unaufrichtig schlug Reportern vor, sie zu töten.
Tatsächlich wurde CAPPS II zurück ans Reißbrett geschickt und verkleinert. Die Anforderungen für das Screening von Kriminellen wurden fallengelassen und das System wurde in Secure Flight umbenannt. Die Auseinandersetzungen zwischen der TSA und den Datenschutzorganisationen um Fragen wie die Frage, inwieweit die Agentur die von den kommerziellen Datenmaklern gesammelten Daten verwenden könnte, dauerten an. Im Februar 2006 teilten Quellen des Nationalen Zentrums für Terrorismusbekämpfung den Washington Post dass die Beobachtungslisten auf 325.000 Namen angewachsen waren – mehr als das Vierfache der 75.000 auf den Listen im Jahr 2003.
Vorerst hat das DHS – zu dem die TSA gehört – möglicherweise einen vorübergehenden Lauf um die Aktivisten erreicht. Im November 2006 gab das Datenschutzbüro des DHS bekannt, dass sein Automated Targeting System (ATS) seit jeher die internationalen Passagierdatensätze (PNRs) analysiert, die Fluggesellschaften DHS-Screener senden. Es hat auch Einzelpersonen geheime Risikobewertungen zugewiesen, die nicht nur auf ihren Namen, Adressen und Sitzplatzzuweisungen basieren, sondern auch darauf, wie ihre Tickets bezahlt wurden, mit wem die Passagiere möglicherweise reisen und welche Telefonnummern für die Flugbuchung verwendet wurden . Etwa 50 datenschutzaktivistische Organisationen reagierten mit Empörung darauf und behaupteten, sie seien fälschlicherweise zu der Annahme verleitet worden, dass das ATS lediglich zur Identifizierung von Fracht an Bord von Schiffen verwendet würde, und konzentrierten ihre Aufmerksamkeit auf CAPPS II und Secure Flight Systeme.
Als Reaktion darauf hat DHS-Chef Michael Chertoff darauf bestanden, dass er in Hunderten von Reden über das Sammeln und Analysieren solcher Informationen durch den Heimatschutz gesprochen hat – was er hat, wenn auch nie neben der Erwähnung des ATS. In einem 8. Dezember 2006, Nationale Zeitschrift Artikel, Chertoff frönte auf Kosten der Datenschutzaktivisten einer kleinen Scherze: Ich habe eine neue Regel. Wenn ich ein Geheimnis bewahren will, halte ich eine Rede darüber. Denn wenn ich eine Rede halte, nimmt sie niemand auf. Aber wenn ich es in ein Dokument lege und unter den Tisch schiebe, dann bekommt es die Titelseite. Derselbe Artikel berichtete, Chertoff beklagte sich ausführlich über die Vorliebe der Aktivisten, hohe Anforderungen an die Abteilung zu stellen und sie dann wegen Fristversäumnisses oder Ineffektivität zu tadeln.
Mit diesem letzten Kommentar hat Chertoff tatsächlich einen Punkt. Die Medienberichterstattung tendiert dazu, eine plumpe US-Regierung anzunehmen, die auf Orwellsche Überwachung abzielt, während sie die Behauptungen der datenschutzaktivistischen Organisationen ziemlich unkritisch akzeptiert. Obwohl viele Beweise sicherlich die plumpe These der US-Regierung stützen, ist es in Wahrheit auch logisch inkonsequent, dass die Aktivisten darauf bestehen, dass die Namen von Einzelpersonen alle Daten sind, die Regierungsdatenbanken sammeln sollten, während sie sich gleichzeitig über falsche oder falsche Identifizierungen beschweren positiv, sind endemisch. Latanya Sweeney, Direktorin des Data Privacy Laboratory an der School of Computer Science der Carnegie Mellon University in Pittsburgh, ist Informatikerin, die sich darauf spezialisiert hat, zu erfahren, wie personenbezogene Daten von Einzelpersonen angreifbar sind und wie ihre Privatsphäre bei fortschreitender Datenüberwachung geschützt werden kann – ein Prozess sie beschreibt als selektive Offenbarung. Sweeney sagt, dass False Positives bei den Watchlists offensichtlich problematisch sein werden: Die einzige Eingabe ist dort der Name, ohne Sekundärdaten zur Eindeutigkeit von Personen. Darüber hinaus ist die Watchlist-Technologie total inakzeptabel.
Sweeney meint, dass die Überwachungslisten der US-Regierung neben gebräuchlichen Namen wie Ted Kennedy von Variationen eines phonetischen Algorithmus namens Soundex abhängen. Wie sie sagt, ist Soundex ein altes Patent, das seit langem verwendet wird, wenn sie zwei Datenbanken haben, in denen sie versuchen, Datensätze abzugleichen. Tatsächlich stammt Soundex aus einer Zeit, als Hollerith-Lochkarten das Neueste in der Computertechnologie waren. Soundex wurde entwickelt, um klangähnliche Nachnamen mit unterschiedlichen Schreibweisen (wie Rogers und Rodgers), die über eine alphabetische Liste verstreut sind, zu indizieren und abzurufen. Soundex funktioniert, indem es den ersten Buchstaben eines Namens nimmt, alle Vokale weglässt und jedem der nächsten drei Konsonanten eine Zahl zuweist (mit ähnlich klingenden Konsonanten wie S und C die gleichen Zahlen erhalten), dann alle verbleibenden Konsonanten weglassen. Dabei reduziert der Algorithmus alle Namen auf einen Buchstaben gefolgt von drei Zahlen.
Folglich ordnet Soundex dem Namen Laden den Code L350 zu, ebenso wie Lydon, Lawton und Leedham. Dies ist mit anderen Worten ein Algorithmus, der für Identifizierungszwecke so unzulänglich ist, dass er Osama bin Laden von Al Qaida und Johnny (Lydon) Rotten von den Sex Pistols verwechselt. Um selbst zu sehen, wie schlecht Soundex abschneidet, gehen Sie zu nofly.s3.com , wo S3-Anpassungstechnologien hat den Algorithmus mit einer Liste potenzieller Terroristen kombiniert, die in Datenbanken der US-Regierung verzeichnet sind. Die US-Regierung aktualisiert ihre Listen offensichtlich täglich, daher halten wir dies nicht für aktuell, sagt James Moore, ein Unternehmenssprecher. Aber wir haben die besten verfügbaren Daten darüber, wer auf Terroristen-Überwachungslisten stehen würde, von verschiedenen privaten Geheimdiensten. Die Verwendung der Version der Beobachtungsliste von Soundex und S3 Matching Technologies zeigt, dass die Namen Jesus Christus und George Bush den Namen von Terroristen so ähnlich sind, dass sie der Flugverbots- oder Auswahlliste zugeordnet werden.
Wie rationalisiert die US-Regierung die Verwendung einer solchen fehleranfälligen Technologie für ihre Beobachtungslisten? Sweeney sagt, wen ich auch immer frage – ob DHS, DARPA oder das Justizministerium – im Grunde sagt jeder: „Wir werden einfach vorangehen.“ Beim DOJ bekomme ich die Antwort: „Es wird gelöst, wenn wir verwenden Biometrie.“ Sie glauben, dass das aktuelle Problem verschwinden wird, weil Sie Ihren Führerschein vorzeigen und Ihren Fingerabdruck mit dem gespeicherten Bild Ihres Fingerabdrucks auf Ihrem Führerschein abgleichen. Sweeney schlägt halbernst eine hypothetische Lösung für das Watchlist-Problem vor. Ich habe ChoicePoint gesagt, dass sie in das Watchlist-Geschäft einsteigen sollten.
Neben Lexis-Nexis und AcXiom, ChoicePoint ist eines der drei großen Datenvermittlungsunternehmen und in vielerlei Hinsicht das interessanteste von ihnen. Evan Hendricks, Redakteur und Herausgeber der in Washington ansässigen Datenschutzzeiten , sagt: Obwohl die meisten Amerikaner nichts über ChoicePoint wissen, ist es ein Unternehmen, das viel über Hunderte Millionen Amerikaner weiß. Hätte ChoicePoint mindestens vier Datenpunkte – Name, Adresse, Sozialversicherungsnummer und Geburtsdatum – für fast jeden erwachsenen US-Bürger und hätte daher genügend Informationen, um beispielsweise zwischen fünf Personen mit Namen zu unterscheiden, deren Soundex-Hashes würden? gleich rauskommen? Hendricks antwortet: Das stimmt sicherlich. Ebenso die drei wichtigsten Kreditauskunfteien. Hendricks fährt jedoch fort, während die drei großen Kreditauskunfteien – Experian, Trans Union und Equifax – die Kreditwürdigkeit von Einzelpersonen berechnen, definiert sich ChoicePoint als Datenaggregationsunternehmen, das umsetzbare Informationen sowohl an die Industrie als auch an die Regierung verkauft. wobei kreditbezogene Informationen nur eine Teilmenge dieses Ganzen sind.
ChoicePoint besitzt nicht nur umfangreiche Aufzeichnungen über US-Bürger (seine Tochtergesellschaft VitalChek Network bietet die Technologie zur Verarbeitung und zum Verkauf von Geburts-, Sterbe-, Heirats- und Scheidungsaufzeichnungen in jedem US-Bundesstaat). Es hat auch Daten von rund 300 Millionen Bürgern von Mexiko, Brasilien, Kolumbien, Argentinien, Nicaragua, Guatemala, Honduras, El Salvador und Costa Rica gesammelt – eine Tatsache, die 2003 bekannt wurde, nachdem das Unternehmen bekannt gegeben hatte, dass es Daten gekauft hatte (angeblich einschließlich sogar Passnummern und nicht aufgeführte Telefonnummern) auf der gesamten mexikanischen Liste von 65 Millionen registrierten Wählern. Ob ChoicePoint diese Informationen noch behält, ist unklar, da das Unternehmen im Rahmen seines 67-Millionen-Dollar-Jahresvertrags mit dem US-Justizministerium die Informationen an die US-Regierung weitergab und Mexiko, Nicaragua und Costa Rica mit Haftbefehlen reagierten – und im Fall Mexiko drohte er mit Anklage wegen Hochverrats – gegen die lokalen Einzelpersonen, die die Daten an ChoicePoint verkauft hatten. Im Juni 2003 behauptete das Unternehmen gegenüber den betreffenden Ländern, dass es die Informationen seiner Bürger aus seinen Datenbanken gelöscht habe.
Zu den weiteren Produkten und Dienstleistungen von ChoicePoint gehört die DNA-Identifizierung der Opfer der Angriffe auf das Word Trade Center am 11. Technologiegruppe Bode (von ChoicePoint im März ausverkauft) und Intelligente Suche , das eine Wildcard-Suche durchführt, die in wenigen Minuten ein umfassendes persönliches Profil erstellen kann, beginnend mit nur einem Vornamen oder einer Teiladresse. Umstrittener ist die Tochtergesellschaft ChoicePoint Datenbanktechnologien (auch bekannt als DBT Online) wurde beauftragt, eine Liste von Wählern zusammenzustellen, die vom Bundesstaat Florida von der Stimmabgabe ausgeschlossen wurden, und war dafür verantwortlich, dass angeblich 57.700 Menschen – hauptsächlich afroamerikanische und hispanische Demokraten – während der US-Wahlen im Jahr 2000 fälschlicherweise als Schwerverbrecher aufgeführt wurden Arten von Ausweisüberprüfungen, Überprüfungen des beruflichen Hintergrunds, Drogentests, Strafregister, Kraftfahrzeugregister, Hypotheken-Recherche, Mieter-Screening, Datenbanksoftware, medizinische Informationen und Dienstleistungen für die Bereiche Lebens- und Krankenversicherung.
Wäre es unter dem Strich gut oder schlecht, wenn die Regierung die Verwaltung der Beobachtungslisten vollständig an ChoicePoint abgeben würde? Hendricks sagt, ich denke, es wäre insgesamt eine sehr schlechte Sache. Darin spiegelt Hendricks die allgemeine Meinung unter Datenschutzbefürwortern wider. Bei den Big Brother Award-Zeremonien, die jährlich von britischen Datenschutz International , ChoicePoint war zweimal ein Gewinner: 2001 als Greatest Corporate Invader für den massiven Verkauf von Schallplatten, der genau und ungenau an Polizisten, Direktvermarkter und Wahlbeamte war, und erneut 2005 als Lifetime Menace Award für seine anhaltenden Bemühungen, Dossiers zu erstellen Einzelpersonen.
Es ist natürlich außergewöhnlich, dass private Unternehmen über die Mittel verfügen sollten, mehr persönliche Daten über Amerikaner zu sammeln – und zu handeln – als die US-Regierung besitzt. Darüber hinaus stehen den Bürgern angesichts der Vielzahl von Fehlern in den Datenbanken dieser Unternehmen nur begrenzte Möglichkeiten zur Berichtigung und Wiedergutmachung zur Verfügung. Nichtsdestotrotz haben die Datenschutzaktivisten in erheblichem Maße dazu beigetragen, dass diese außergewöhnliche Situation zustande kam, wie wir nächste Woche im zweiten Teil dieses Artikels sehen werden.