Wer als Fluggast sehr unangenehm auffällt und etwa an Bord randaliert, landet in der Regel auf einer Sperrliste der Fluglinie. Und muss sich in Zukunft nach einem anderen Transportunternehmen für seine Reisen per Flieger umsehen. Aber nicht nur die Airlines führen Buch über "Personae non gratae", sondern auch Regierungen.

Das bekannteste Beispiel ist wohl die Watchlist des US-amerikanischen State Department, die man auch als dessen "No Fly List" kennt. Sie beinhaltet Personen ohne US-Staatsbürgerschaft, denen die Einreise in das Land auf jeden Fall verwehrt werden soll. Und diese Liste ist nun, offenbar zufällig, von der Schweizer Hackerin "Maia arson crimew" entdeckt worden.

Liste lag in ungesicherten Projektdaten

Wie sie in ihrem Blog berichtet, war sie eigentlich aus Langeweile auf schlecht geschützten Servern unterwegs, die sich über die Suchmaschine Shodan auffinden lassen. Dabei stieß sie auch auf einen Server der US-Fluggesellschaft Commutair. Es handelte sich dabei um eine Installation laufend mit der Open-Source-Automatisierungssoftware Jenkins, die häufig für die Verwaltung von Testumgebungen verwendet wird.

Nachdem es zunächst so aussah, als seien dort nur eher uninteressante Informationen für Entwicklungsprojekte zu finden, entpuppte sich bei näherer Betrachtung als "Jackpot". Neben etlichen Informationen über Angestellte im Bereich der Bordcrews fand sich unter den praktisch nicht abgesicherten Projektdaten auch die berühmt-berüchtigte Einreise-Verbotsliste.

Seit "9/11" massiv gewachsen

Diese Datenbank weist laut der Entdeckerin über 1,5 Millionen Einträge auf. Das bedeutet allerdings nicht, dass ebenso viele Personen darin gelistet sind. Tatsächlich gibt es pro Person in der Regel eine Vielzahl an Einträgen, etwa weil jemand verschiedene Namen verwendet oder es zahlreiche Schreibweisen gibt.

Ursprünglich sollen sich vor "9/11" lediglich 16 Personen auf der Liste befunden haben, nach dem Anschlag auf das World Trade Center im September 2001 wuchs sie allerdings rasant an. Laut Schätzungen in den letzten Jahren sollen bis zu 81.000 Personen mit einem kompletten Einreiseverbot belegt sein.

Viel Kritik

Terror, Drogenhandel und anderer schwerer Verdacht oder Delikte sind gängige Gründe dafür, auf der Sperrliste zu landen. Allerdings sorgt sie immer wieder für Kritik, da die Liste weder öffentlich ist und es für ihre Befüllung weder ein transparentes Verfahren, noch eine Einspruchsmöglichkeit gibt. So sollen laut Datenschützern auch schon Personen plötzlich beim Einreiseversuch zurückgewiesen worden sein, weil sie aus dem gleichen Wohnort wie ein Terrorverdächtiger stammen, entfernt mit diesem verwandt sind oder zufällig den gleichen Familiennamen tragen.

Auch Crimew selbst findet deutliche Worte zur No-Fly-Liste. Sie nennt diese "einen perversen Auswuchs des US-Polizei- und Überwachungsstaats." Eine solche Liste sollte "nirgendwo Platz haben." Dass sie auf einem schlecht gesicherten Testserver war, machte es aber sehr wahrscheinlich, dass irgendjemand sie früher oder später entdecken werde.

Fluglinie bestätigt Leck

Gegenüber "Vice Motherboard" hat Commutair den Leak "aufgrund eines falsch konfigurierten Entwicklungssservers" bestätigt. Laut der Airline handelt es sich um die No-Fly-List mit Datenstand von 2019, die Vornamen, Nachnamen und Geburtsdaten enthält. Auf Kundendaten soll Crimew keinen Zugriff gehabt haben. Zur Aufarbeitung der Causa wurde der Jenkins-Server vom Netz genommen und die US-Cybersicherheitsagentur informiert.

Die US-Flugsicherheitsbehörde TSA bestätigte lediglich "einen potenziellen Cybersicherheitsvorfall", der nun gemeinsam mit anderen Bundesbehörden untersucht werde.

Zugriff für Medien, Forscher und NGOs

Die Hackerin ist der Ansicht, dass öffentliche Einsicht in die Liste notwendig ist. Davon, sie der Allgemeinheit zugänglich zu machen, nimmt sie allerdings Abstand. Jedoch will sie Menschenrechts-NGOs, Forschern und Journalisten mit "legitimen Interessen" den Zugriff ermöglichen.

Sie hat gegenüber "Daily Dot" auch Beispiele aus der Datenbank genannt. Gelistet seien etwa Mitglieder der paramilitärischen, irischen Organisation IRA (Irish Republican Army), der russische Waffenhändler Viktor Bout, aber auch Personen, deren Nennung sich schwer erklären lässt – darunter ein laut Geburtsdatum achtjähriges Kind. (gpi, 21.1.23)