Data Mining / Fusion und Verhaltensüberwachung in den USA auf dem Prüfstand
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Das "Committee on Technical and Privacy Dimensions of Information for Terrorism Prevention and Other National Goals" verschiedener Abteilungen des Nationalen Forschungsrats der US-Universitäten untersuchte für den 352-seitigen Bericht
Protecting Individual Privacy in the Struggle Against Terrorists - A Framework for Assessment
die Rolle staatlicher Data Mining Programme und Techniken der Verhaltensüberwachung in den USA hinsichtlich ihres Nutzens und ihrer technischen Effektivität zur präventiven Erkennung terroristischer Aktivitäten und Zusammenhänge für die Abwehr von Terrorangriffen, aber auch hinsichtlich ihrer Risiken für den Schutz der Grundrechte und die Privatsphäre aller Bürger, die durch die Programme und Techniken entstehen.
Es ist ja nicht neu, dass bei allen Sicherheitsbehörden in den USA, sei es die CIA, das Ministerium für Heimatschutz und das Verteidigungsministerium, das FBI, der Zoll und Grenzschutz, die NSA usw., ständig die Programme laufen oder neue Programme und Techniken entwickelt werden und das sie dazu Daten von Informationsbrokern und aus einer Vielzahl staatlicher und kommerzieller Datenbanken einkaufen, abziehen, miteinander verknüpfen und vergleichen, auswerten und austauschen.
Im Verlauf der Entwicklung und Umsetzung aller Programme stellte sich immer wieder heraus, dass sich trotz ihres Umfangs und Aufwands bis jetzt mit den Data Mining und Fusion Systemen nicht das System umsetzen ließ, was sich die Geheimdienste nach folgendem Kochrezept vorstellen:
Man nehme alle Daten und Informationen aus eigenstaatlichen, frei zugänglichen, käuflich zu erwerbenden und im Ausland angebundenen Datenquellen, die Aufnahmen und Messwerte von Videoüberwachungsnetzwerken und Sensoren, Protokolle des Reiseverkehrs, Geldverkehrs, Netzwerkverkehrs usw., führe sie in Datenbanken zusammen, über die Programme zur Verhaltensmustererkennung, Erkennung von Beziehungen, geplanten Aktivitäten und Drahtziehern autonom und automatisiert laufen und am Ende spuckt das System aus den Heuhaufen herausgefilterte, nützliche Informationen über tatsächliche terroristische Aktivitäten und Bestrebungen, eine noch unbekannte Terrorgruppierung, die sich gerade konstituiert, Personen, die terroristische Aktivitäten entwickeln und akut bevorstehende Terroranschläge aus.
Zugleich stellte sich bei vielen bekannt gewordenen Programmen immer wieder heraus, dass während der Entwicklungs- und Umsetzungsphasen unzulässig mit realen Daten angezapfter Datenquellen statt virtueller Testdaten gearbeitet wurde und später, dass Daten und Informationen erhoben und Datenquellen ohne Begrenzungen und Kontrollen eingebunden wurden oder wiederholt unbescholtene Bürger oder Gruppierungen, die nur ihr Recht auf politische Meinungsäußerung und Mitwirkung wahrnahmen, mit den Systemen durchleuchtet und in den Systemen als potentiell terroristisch gespeichert wurden.
Bestätigungen, dass die Systeme technisch nicht in der Lage sind, die angestrebten Zwecke effektiv zu erfüllen und einmal in die Welt gesetzte Systeme missbräuchlich und sich ausweitend eingesetzt werden. Beispiele dafür sind u. a. das Total (Terrorism) Information Awareness System, das TANGRAM Programm, die Terrorwatchlist-Datenbanken, die TALON Datenbank, das Automated Targeting System oder die Überwachungsprogramme der NSA. In Zukunft wird auch die Vorratsdatenspeicherung und die Online-Durchsuchung dazu zählen, weil bei ihnen änliche Techniken angewendet werden.
Die gleichen Probleme und Sachverhalte stellt auch der Bericht des Kommitees heraus und kommt deshalb zu folgenden Feststellungen und Empfehlungen, die im Iconoclast Beitrag Government report: Data mining doesn't work well und in der Pressemitteilung All Counterterrorism Programs That Collect and Mine Data Should Be Evaluated for Effectiveness, Privacy Impacts; Congress Should Consider New Privacy Safeguards des Kommitees gut zusammengefasst sind.
Sie sollten sich auch in Deutschland die Entscheider in den Sicherheitsbehörden und die Abgeordenten des Bundestages und der Landtage hinter die Ohren schreiben, wenn es um die Zustimmung zum nächsten Sicherheitsgesetz geht, das auf die Ausforschung per "Informationsaustausch", Data Mining, Fusion und Analyse abzielt.
Der Bericht ist aber nicht vollständig gegen staatliche Data Mining Projekte und die Anwendung von Techniken der Verhaltensbeobachtung, wie in einigen Meldungen behauptet.
So heißt es zur Verhaltensbeobachtung und Überwachung körperlicher Merkmale, dass man sie für Vorab-Überprüfungen verwenden könnte, um Personen zu identifizieren, die eine nähere Untersuchung verdienen.
Entgegen gegenteiliger Meinungen, die den Stellenwert der Nutzung des Internets durch terroristische Gruppierungen und Sympathisanten eher gering ansehen und im Widerspruch zu eigenen Aussagen über die Anwendnung von Verschlüsselung und Techniken des Sich-Verbergens, sind die Verfasser des Berichts der Auffassung, dass das Abfangen und Analysieren der "Informationsströme" im Internet wichtige Anhaltspunkte über die Natur von Bedrohungen bieten, die von international agierenden Terrorgruppen ausgehen, die das Internet zur Rekrutierung, zum Training, zur Planung und Kommunikation nutzten.
Und routinemäßig angewendete Data Mining Programme, mit denen man schnell mehrere Datenbanken durchsuchen kann, wären doch nützlich und eine wichtige Unterstützung, wenn es zum Beispiel darum geht, zu überwachen, wer mit einem Verdächtigen kommuniziert oder einem Verdächtigen Geld überweist.
Fast nach einem Freifahrtschein für private Unternehmen, die wie für die geheimen NSA Abhörprogramme illegal mit NSA und Regierung kooperieren, hört es sich an, wenn betont wird, dass private Unternehmen nicht zur Verantwortung gezogen werden sollten, "nur" weil sie Anordnungen der Regierung zur Übergabe von Daten entsprochen haben.
Vielleicht sollte man im Hinterkopf behalten, dass der Bericht im Auftrag des US-Heimatschutzministeriums (DHS) und der National Science Foundation (NSF) erstellt wurde, die beide alljährlich Unsummen von Dollars in universitäre Sicherheitsforschungsprogramme pumpen.
Der Bericht des Nationalen Forschungsrats ist der letzte Bericht mit Empfehlungen und Kritik zu staatlichen Data Mining Programmen in einer Reihe von Berichten, die zu ähnlichen Schlußfolgerungen, Kritikpunkten und Empfehlungen gelangten. Dazu gehören die Berichte der Staatlichen Rechnungsprüfungsbehörde des Kongresses Data Mining: Federal Efforts Cover a Wide Range of Uses von 2004, Data Mining: Agencies Have Taken Key Steps to Protect Privacy in Selected Efforts, but Significant Compliance Issues Remain von 2005 und Data Mining: Early Attention to Privacy in Developing a Key DHS Program Could Reduce Risks von 2007 oder auch die Berichte Total Information Awareness and beyond - The Dangers of Using Data Mining Technology to Prevent Terrorism des Bill of Rights Defense Committee von 2004 und Data Mining and Homeland Security von 2007 des Wissenschaftsdienstes des Kongresses.
Es ist ja nicht neu, dass bei allen Sicherheitsbehörden in den USA, sei es die CIA, das Ministerium für Heimatschutz und das Verteidigungsministerium, das FBI, der Zoll und Grenzschutz, die NSA usw., ständig die Programme laufen oder neue Programme und Techniken entwickelt werden und das sie dazu Daten von Informationsbrokern und aus einer Vielzahl staatlicher und kommerzieller Datenbanken einkaufen, abziehen, miteinander verknüpfen und vergleichen, auswerten und austauschen.
Im Verlauf der Entwicklung und Umsetzung aller Programme stellte sich immer wieder heraus, dass sich trotz ihres Umfangs und Aufwands bis jetzt mit den Data Mining und Fusion Systemen nicht das System umsetzen ließ, was sich die Geheimdienste nach folgendem Kochrezept vorstellen:
Man nehme alle Daten und Informationen aus eigenstaatlichen, frei zugänglichen, käuflich zu erwerbenden und im Ausland angebundenen Datenquellen, die Aufnahmen und Messwerte von Videoüberwachungsnetzwerken und Sensoren, Protokolle des Reiseverkehrs, Geldverkehrs, Netzwerkverkehrs usw., führe sie in Datenbanken zusammen, über die Programme zur Verhaltensmustererkennung, Erkennung von Beziehungen, geplanten Aktivitäten und Drahtziehern autonom und automatisiert laufen und am Ende spuckt das System aus den Heuhaufen herausgefilterte, nützliche Informationen über tatsächliche terroristische Aktivitäten und Bestrebungen, eine noch unbekannte Terrorgruppierung, die sich gerade konstituiert, Personen, die terroristische Aktivitäten entwickeln und akut bevorstehende Terroranschläge aus.
Zugleich stellte sich bei vielen bekannt gewordenen Programmen immer wieder heraus, dass während der Entwicklungs- und Umsetzungsphasen unzulässig mit realen Daten angezapfter Datenquellen statt virtueller Testdaten gearbeitet wurde und später, dass Daten und Informationen erhoben und Datenquellen ohne Begrenzungen und Kontrollen eingebunden wurden oder wiederholt unbescholtene Bürger oder Gruppierungen, die nur ihr Recht auf politische Meinungsäußerung und Mitwirkung wahrnahmen, mit den Systemen durchleuchtet und in den Systemen als potentiell terroristisch gespeichert wurden.
Bestätigungen, dass die Systeme technisch nicht in der Lage sind, die angestrebten Zwecke effektiv zu erfüllen und einmal in die Welt gesetzte Systeme missbräuchlich und sich ausweitend eingesetzt werden. Beispiele dafür sind u. a. das Total (Terrorism) Information Awareness System, das TANGRAM Programm, die Terrorwatchlist-Datenbanken, die TALON Datenbank, das Automated Targeting System oder die Überwachungsprogramme der NSA. In Zukunft wird auch die Vorratsdatenspeicherung und die Online-Durchsuchung dazu zählen, weil bei ihnen änliche Techniken angewendet werden.
Die gleichen Probleme und Sachverhalte stellt auch der Bericht des Kommitees heraus und kommt deshalb zu folgenden Feststellungen und Empfehlungen, die im Iconoclast Beitrag Government report: Data mining doesn't work well und in der Pressemitteilung All Counterterrorism Programs That Collect and Mine Data Should Be Evaluated for Effectiveness, Privacy Impacts; Congress Should Consider New Privacy Safeguards des Kommitees gut zusammengefasst sind.
Sie sollten sich auch in Deutschland die Entscheider in den Sicherheitsbehörden und die Abgeordenten des Bundestages und der Landtage hinter die Ohren schreiben, wenn es um die Zustimmung zum nächsten Sicherheitsgesetz geht, das auf die Ausforschung per "Informationsaustausch", Data Mining, Fusion und Analyse abzielt.
- Automatisierte Data Mining, Fusion und Analysis Tools, wie sie zum Beispiel für die Betrugserkennung oder Scoringverfahren im kommerziellen Bereich benutzt werden, können nicht so einfach auf die Früherkennung und Verhinderung von Terrorangriffen übertragen werden, wenn das überhaupt erfolgreich möglich ist. Aber selbst bei einer erfolgreichen Anwendung und gut organisierter Programme werden die Tools eine bedeutende Rate von Falscherkennungen auswerfen, besonders wenn die Tools hochautomatisiert arbeiten und aufgrund fehlerhafter Daten. Weil die zu analysierenden Daten vor allem von allen normalen, gesetzestreuen Bürgern und Unternehmen stammen (müssen), führen die Falscherkennungen (als "potentieller oder aktiver Terrorist) und Untersuchungen persönlichster Daten zu Eingriffen in ihr Recht auf Privatsphäre und Datenschutz.
- Während der Entwicklungsphase eines Programms zur Erfassung und Analyse von Daten dürfen nur künstlich erzeugte synthetische Datensätze für Erprobungen und Tests benutzt werden und keine realen Daten von Personen aus verfügbaren Datenbanken.
- Zur Anwendung von Techniken zur Verhaltensüberwachung und -überprüfung, die versuchen, Terroristen anhand der Verhaltensbeobachtung und Messung physischer Zustände bei Personen zu identifizieren, gibt es keine wissenschaftlichen Einigkeit zur Frage, ob diese Techniken überhaupt schon für Terrorbekämpfungszwecke einsatzbereit sind, wobei die Techniken ein enormes Potential für Verletzungen der Privatsphäre und Grundrechte in sich bergen, weil sie anvisierte Personen unweigerlich dazu zwingen, ihre mentalen und emotinalen Zustaände zu rechtfertigen und zu erklären.
- Aktivitäten wie Verhaftungen, Durchsuchungen oder die Verweigerung von Rechten sollten niemals allein auf der Grundlage der Ergebnisse automatisierter Data Mining Programme beruhen.
- Alle Behörden, die mit Informationsbeschaffung und Data Mining Programmen zur Terrorbekämpfung befasst sind, sollten dazu verpflichtet werden, alle öffentlich bekannten und als geheim klassifizierten Programme systematisch hinsichtlich ihrer Effektivität, Rechtmäßigkeit und Auswirkungen auf Datenschutz und Privatsphäre zu überprüfen, sowohl während der Entwicklungsphase und bevor sie aktiv genutzt werden. Überprüfungen sollten genauso in regelmäßigen Zeitabständen währen der gesamten produktiven Phase durchgeführt werden. Parallel dazu müssen die Programme von unabhängigen und mit Berechtigungen ausgestatteten Kontrollen begleitet werden, um das Umgehen von Sicherheitsbeschränkungen im Sinne des Datenschutzes während des täglichen Betriebs des Programms zu verhindern.
- Bereits beim Design eines Systems mit Programmen, die mehr oder weniger automatisiert ablaufen, müssen anlalog automatisierte Protokollier- und Logprozesse implementiert werden, die aufzeichnen, wer für welche Zwecke auf Daten zugreift, sie transportiert und auswertet.
- Das Parlament sollte alle existierenden Gesetze überprüfen, um festzustellen, wie Datenschutz und Privatsphäre in solchen Programmen geschützt werden können und die Weiterverwendung persönlicher Daten in anderen Programmen beschränken, die zuvor im Rahmen eines Programms bereits gesammelt und analysiert wurden. Parallel muss die Regierung regelmäßig Gesetze, Richtlinien und Verordnungen zum Datenschutz und Schutz der Privatsphäre überprüfen, um festzustellen, ob sie hinsichlich neuer Überwachungstechniken und Fortschritten im Bereich der des Data Minings und der Verhaltensüberwachung weiter ausreichen und angemessen sind.
Der Bericht ist aber nicht vollständig gegen staatliche Data Mining Projekte und die Anwendung von Techniken der Verhaltensbeobachtung, wie in einigen Meldungen behauptet.
So heißt es zur Verhaltensbeobachtung und Überwachung körperlicher Merkmale, dass man sie für Vorab-Überprüfungen verwenden könnte, um Personen zu identifizieren, die eine nähere Untersuchung verdienen.
Entgegen gegenteiliger Meinungen, die den Stellenwert der Nutzung des Internets durch terroristische Gruppierungen und Sympathisanten eher gering ansehen und im Widerspruch zu eigenen Aussagen über die Anwendnung von Verschlüsselung und Techniken des Sich-Verbergens, sind die Verfasser des Berichts der Auffassung, dass das Abfangen und Analysieren der "Informationsströme" im Internet wichtige Anhaltspunkte über die Natur von Bedrohungen bieten, die von international agierenden Terrorgruppen ausgehen, die das Internet zur Rekrutierung, zum Training, zur Planung und Kommunikation nutzten.
Und routinemäßig angewendete Data Mining Programme, mit denen man schnell mehrere Datenbanken durchsuchen kann, wären doch nützlich und eine wichtige Unterstützung, wenn es zum Beispiel darum geht, zu überwachen, wer mit einem Verdächtigen kommuniziert oder einem Verdächtigen Geld überweist.
Fast nach einem Freifahrtschein für private Unternehmen, die wie für die geheimen NSA Abhörprogramme illegal mit NSA und Regierung kooperieren, hört es sich an, wenn betont wird, dass private Unternehmen nicht zur Verantwortung gezogen werden sollten, "nur" weil sie Anordnungen der Regierung zur Übergabe von Daten entsprochen haben.
Vielleicht sollte man im Hinterkopf behalten, dass der Bericht im Auftrag des US-Heimatschutzministeriums (DHS) und der National Science Foundation (NSF) erstellt wurde, die beide alljährlich Unsummen von Dollars in universitäre Sicherheitsforschungsprogramme pumpen.
Der Bericht des Nationalen Forschungsrats ist der letzte Bericht mit Empfehlungen und Kritik zu staatlichen Data Mining Programmen in einer Reihe von Berichten, die zu ähnlichen Schlußfolgerungen, Kritikpunkten und Empfehlungen gelangten. Dazu gehören die Berichte der Staatlichen Rechnungsprüfungsbehörde des Kongresses Data Mining: Federal Efforts Cover a Wide Range of Uses von 2004, Data Mining: Agencies Have Taken Key Steps to Protect Privacy in Selected Efforts, but Significant Compliance Issues Remain von 2005 und Data Mining: Early Attention to Privacy in Developing a Key DHS Program Could Reduce Risks von 2007 oder auch die Berichte Total Information Awareness and beyond - The Dangers of Using Data Mining Technology to Prevent Terrorism des Bill of Rights Defense Committee von 2004 und Data Mining and Homeland Security von 2007 des Wissenschaftsdienstes des Kongresses.
von ravenhorst - Owl,
gepostet am Mittwoch, 8. Oktober 2008 um 13:31
