Als wäre die Terroristen-Watchlist der US-Bundesbehörde FBI nicht schon umstritten genug, hat nun offenbar jemand mit Zugriff darauf auch noch grob bei der Datensicherheit gepatzt. Jedenfalls stand diese Liste noch vor kurzem ungeschützt im Internet. Die Konsequenz: Jeder, der die richtige Adresse wusste, konnte problemlos Details zu den fast zwei Millionen dort eingetragenen Personen erfahren.

Entdeckung

Aufgefallen ist dieser Umstand dem Sicherheitsforscher Bob Diachenko. Der hatte diese Liste auf einem ungeschützten Elasticsearch-Server entdeckt. Darin enthalten alle Personen, die die USA für potenzielle Terroristen halten. Die Grundlage dieser Einschätzung wurde in der Vergangenheit immer wieder kritisiert, landen doch schnell einmal Personen aufgrund von vagen Behauptungen Dritter auf dieser Liste. Trotzdem versteht sie sich als Warnung an Behörden, diese Personen besonders intensiv zu kontrollieren oder gar komplett von einer Reise abzuhalten.

Diachenkos Recherche offenbart nun, was hier alles gespeichert wird. So finden sich darin neben Name, Staatsangehörigkeit und Geschlecht auch andere persönliche Daten. Vor allem aber gibt es ein Extrafeld, das festschreibt, ob die Person auf der "No-Fly-List" steht oder nicht. Ist das der Fall, gibt es die Anweisung an Fluglinien, die Betroffenen nicht einsteigen zu lassen. Die Bedeutung einiger weiterer Felder konnte der Sicherheitsforscher nicht eindeutig klären.

Wer ist schuld?

Bleibt vor allem eine Frage: Wie kommt es dazu, dass diese Liste einfach so im Internet steht? Bekannt ist jedenfalls, dass das FBI die Liste mit Partnern teilt – allen voran zahlreiche Fluglinien. Die IP-Adresse des betreffenden Servers befand sich jedenfalls in Bahrain, was allerdings nichts über die reale Urheberschaft aussagen muss. Der Sicherheitsforscher hatte nach seiner Entdeckung umgehend das US-Heimatschutzministerium informiert, danach dauerte es noch drei Wochen, bis der Server offline genommen wurde. Am 9. August war es dann so weit, warum es so lang gedauert hat, bleibt vorerst ebenfalls ungeklärt.

Der Forscher sieht hier ein grobes Versagen bei der Datensicherheit. Auf dieser Liste würden sich viele Personen befinden, die nicht notwendigerweise wirklich etwas mit Terrorismus zu tun haben, aber denen – ebenso wie ihren Familien – Repressalien drohen, wenn jemand ihren Eintrag findet. Immer wieder gab es in der Vergangenheit auch Berichte darüber, dass Personen ohne guten Grund auf der No-Fly-Liste landeten. Bürgerrechtsorganisationen wie die ACLU kämpfen seit Jahren gegen die Nutzung dieser Liste, weil einem Eintrag darauf keinerlei ordentliches Verfahren vorausgehe.

Index

Unklar ist zudem, wie lange die Liste offen im Internet verfügbar war. Zumindest hat es aber dazu gereicht, dass die Inhalte sogar von mehreren Spezialsuchmaschinen wie Zoomeye oder Censys indiziert wurden. (apo, 18.8.2021)