US-Rechnungshof warnt vor Datenschutzverletzungen bei neuem Rasterfahndungsprojekt

Das Data-Mining- und Analyse-Programm ADVISE des Department of Homeland Security soll zahlreiche Datenbestände nach Hinweisen auf terroristische Aktivitäten durchsuchen und die gewonnenen Informationen miteinander verknüpfen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 12 Beiträge
Von
  • Peter-Michael Ziegler

In ADVISE werden gesammelte Daten miteinander verknüpft und als "Semantic Graph" dargestellt.

Das für die Kontrolle von öffentlichen Ausgaben in den Vereinigten Staaten zuständige Government Accountability Office (GAO) hat vor Datenschutzverletzungen im Zusammenhang mit dem Data-Mining- und Analyse-Programm ADVISE des Department of Homeland Security (DHS) gewarnt. ADVISE (Analysis, Dissemination, Visualization, Insight, and Semantic Enhancement) ist ein Nachfolger des Überwachungsprojekts "Total Information Awareness" (TIA), das Anfang 2002 von US-Präsident George W. Bush ins Leben gerufen worden war. Ziel des TIA-Programms war die Entwicklung von Rasterfahndungs-Tools, mit denen große Datenbestände nach Mustern durchforstet werden können, die auf terroristische Aktivitäten einzelner Personen oder auch Gruppen hindeuten. Zwar verweigerte der US-Kongress Mitte 2003 mit großer Mehrheit eine weitere Finanzierung des inzwischen "Terrorism Information Awareness" genannten Programms, einzelne Projektteile wurden aber unter anderem Namen oder in einem anderen Rahmen weitergeführt.

ADVISE gehört zu den insgesamt 12 Data-Mining-Programmen, die das Department of Homeland Security bereits nutzt oder noch entwickelt. Das Projekt wurde seit 2003 mit rund 40 Millionen US-Dollar gefördert und ist beim Science and Technology Directorate des DHS angesiedelt. Es ist darauf ausgelegt, sowohl strukturierte Datenbestände (etwa Informationen aus Meldeverzeichnissen, Flugbuchungs- und Finanzsystemen oder auch Strafregistern) als auch unstrukturierte Daten (E-Mails, Berichte, Zeitungsartikel) auf bestimmte Suchkriterien hin automatisiert zu analysieren (Information Layer), die Ergebnisse miteinander zu verknüpfen und das Ganze in Form eines "Semantic Graph" grafisch darzustellen (Knowledge Layer). Ein ADVISE-Suchbefehl (Application Layer) könnte beispielsweise lauten, alle Datenbestände nach Informationen zu Personen zu durchsuchen, die in den kommenden sechs Monaten von den Vereinigten Staaten aus in den Nahen Osten reisen, und diese in Verbindung zu stellen.

Angaben des DHS zufolge wird das System nach der Fertigstellung in der Lage sein, pro Stunde bis zu drei Millionen "Beziehungen" zu erfassen und zu analysieren. Die Algorithmen sollen von MATRIX (Multistate Anti-Terrorism Information Exchange) stammen, einem 2002 entwickelten Fahndungssystem, das Informationen aus Behördendatenbanken und Datenbanken privater Informationsdienstleister kombiniert (PDF-Datei). Bei einer Demonstration des Systems zeigten die DHS-Entwickler zuletzt, wie Personen mit ihren Familienangehörigen und Freunden sowie deren Wohn- und Arbeitsorten verknüpft werden können, wenn unterschiedliche Datenbestände ausgewertet werden. "Das ADVISE-Programm ist darauf ausgelegt, Beziehungen und Zusammenhänge aus großen Mengen von Daten herauszufiltern. Dadurch werden wichtige Informationen über Terroristen sichtbar, die sonst verdeckt bleiben", heißt es in einer DHS-Beschreibung.

Mit datenschutzrechtlichen Bestimmungen nimmt das DHS es aber offenbar nicht sehr genau. In einem 35-seitigen Bericht zu ADVISE (PDF-Datei) hält das Government Accountability Office fest, dass das DHS es bislang versäumt habe, Kontrollen einzubauen, die verhindern, dass unbescholtene Bürger in Verbindung mit Kriminalität oder Terrorismus gebracht werden. So könnte schon eine Namensgleichheit mit bereits bekannten Terrorverdächtigen oder Straftätern ausreichen, um in ein Beziehungsgeflecht eingebunden zu werden. Auch gebe es bislang keine klaren Vorschriften, für welche Zwecke die gewonnenen Daten noch genutzt werden dürfen. Zudem habe es das DHS unterlassen, die nach dem E-Government Act of 2002 obligatorische Privacy-Folgenabschätzung (Privacy Impact Assessment, PIA) durchzuführen. "Wenn das Ministerium diese datenschutzrechtlichen Fragen nicht von Anfang an berücksichtigt, wird es später möglicherweise viel Zeit und Geld in eine Umrüstung des Systems investieren müssen", resümiert das GAO. (pmz)