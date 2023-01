Server ungesichert: Hacker-Aktivistin gelingt Zugriff auf "No Fly List" der US-Regierung

Auf den berüchtigten Flugverbotslisten der USA sind Personen verzeichnet, die als Sicherheitsrisiko oder Terrorverdächtige eingestuft werden. Nun ist eine dieser eigentlich als geheim eingestuften Listen einer Hacker-Aktivistin in der Schweiz mit dem Pseudonym "maia arson crimew" in die Hände gefallen.

Einer schweizerischen Hacker-Aktivistin ist es offenbar gelungen, eine Kopie der berüchtigten Flugverbotsliste des FBI zu erstellen. Darin hält das "Terrorist Screening Center" des FBI die Namen von Personen fest, welchen Flugreisen in den USA aufgrund vermuteter Verbindungen zum Terrorismus untersagt sind. Die Hackerin, die sich selbst "maia arson crimew" nennt, habe die Liste auf einem ungesicherten Server der in Michigan ansässigen Fluggesellschaft CommuteAir entdeckt, berichtete zuerst The Daily Dot.

Auf dem Server, der übrigens auch persönliche Daten von CommuteAir-Mitarbeitern enthielt, ließ sich auch eine Datei mit der Bezeichnung "NoFly.csv" identifizieren. Dieser 80 MB große Datensatz enthält insgesamt 1,5 Millionen Einträge, darunter Namen, Adressen und auch Geburtsdaten von Personen mit mutmaßlichen Verbindungen zu terroristischen Organisationen. Laut The Daily Dot stammen die gelisteten Personen demnach überwiegend aus dem arabischen Raum und dem Nahen Osten. Aber auch der aus Russland stammende Waffenhändler Viktor But, der im Westen als "Händler des Todes" bezeichnet wird und kürzlich im Austausch gegen den Basketball-Star Brittney Griner freigelassen wurde, sei auf der Liste zu finden, ebenso Namen, die mit der irischen paramilitärischen Organisation IRA in Verbindung gebracht werden.

In einigen Fällen hatten die gelisteten Personen mehrere Pseudonyme. So soll allein der russische Waffenhändler But dem Bericht zufolge mit mehr als 16 Aliasnamen verzeichnet sein. Neben der auf das Jahr 2019 datierten Flugverbotsliste enthielt der ungesicherte Server von CommuteAir Berichten zufolge auch Adressen, Passnummern und Telefonnummern von etwa 900 Mitarbeitern des Unternehmens CommuteAir für regionalen Flugverkehr innerhalb der USA. Die Hackerin geht deshalb davon aus, dass es sich um authentische Daten handelt. Zugleich zeigte sich "maia arson crimew" jedoch schockiert über den Umfang der Liste. "Es ist einfach verrückt zu wissen, wie groß die Terrorismus-Screening-Datenbank ist, und dennoch gibt es bei den Millionen Einträgen einen klaren Trend zu fast ausschließlich arabisch und russisch klingenden Namen", sagte sie Daily Dot.

CommuteAir selbst bestätigte den Diebstahl der Daten von dem Server, den die Airline als einen versehentlich "falsch konfigurierten Entwicklungsserver" bezeichnete. "Die Hackerin hat auf Dateien zugegriffen, darunter eine veraltete 2019er Version der US-Flugverbotsliste, die Vor- und Nachname und Geburtsdatum enthält", räumte CommuteAir gegenüber US-Medien ein. "Außerdem hat die Hackerin durch Informationen, die sie auf dem Server gefunden hat, Zugang zu einer Datenbank gefunden, die persönliche Daten von CommuteAir-Mitarbeitern enthält." Den betroffenen Server habe die Fluggesellschaft laut eigenen Angaben inzwischen vom Netz genommen.

Die Vereinigten Staaten führen seit Jahrzehnten eine Flugverbotsliste, die in den Tagen vor dem 11. September 2001 jedoch viel kleiner war. Damals umfasste sie etwa 16 Personen. Nach den Anschlägen und der Bildung des US-Ministeriums für Heimatschutz wurde die Liste jedoch rasch erweitert. Wie viele Personen genau darauf gelistet sind, ist derzeit nach wie vor nicht bekannt. Jüngsten Schätzungen zufolge betreffen die vom FBI verhängten Reiseeinschränkungen derzeit aber zwischen 47.000 und 81.000 Personen. Diese Personen müssen bei jedem Flug mindestens eine erweiterte Sicherheitskontrolle erdulden oder dürfen das Flugzeug gar nicht erst betreten. Flug- und Einreiseverbote werden von den USA jedoch nicht nur gegen Einzelpersonen verhängt: Die Trump-Regierung hatte 2017 aus Gründen der "nationalen Sicherheit" mehrheitlich den Einwohnern muslimisch geprägter Staaten sowie Nordkoreas und Venezuelas die Einreise in die USA grundsätzlich untersagt.

"Es ist ein perverser Auswuchs des US-amerikanischen Polizei- und Überwachungsstaates", kritisierte "maia arson crimew" das im Gespräch mit Daily Dot. "Einfach eine Liste ohne rechtsstaatliches Verfahren ... meistens nur aufgrund der Tatsache, dass sie mit jemandem verwandt sind oder aus demselben Dorf wie jemand kommen. Das ist so ungeheuerlich. Ich habe das Gefühl, dass das nirgendwo hingehört. Ich habe das Gefühl, dass dies kein Problem löst." Die Hackerin will die Daten nun Personenkreisen zugänglich machen, die ein berechtigtes Interesse daran haben könnten. Ihr sei bewusst, dass die Listen vertrauliche Informationen enthalten, sie glaube jedoch, dass es "in öffentlichem Interesse liegt, diese Liste Journalisten und Menschenrechtsorganisationen zur Verfügung zu stellen".

In einem Aufsehen erregenden Urteil hatte ein US-Bundesrichter im Jahr 2019 die "Terrorist Screening Database" für verfassungswidrig erklärt. Der Richter argumentierte damals, dass es keinen "feststellbaren Standard für die Aufnahme und den Ausschluss" gebe und somit die Rechte der in der Liste aufgeführten Personen verletzt würden. Seitdem hat es in den USA allerdings keine nennenswerten Versuche gegeben, dieses richtungsweisende Urteil tatsächlich durchzusetzen. Das FBI teilt seine Liste sogar mit über 500 privaten Einrichtungen, die es als "Strafverfolgungspartner" einstuft, sowie mit mehr als 60 ausländischen Regierungen.

