Überwachungsmonitore am Flughafen Marseille © Bertrand Langlois/AFP/Getty Images

Manchmal ist es wichtig, sich in Erinnerung zu rufen, wie überraschend und schockierend die Anschläge vom 11. September 2001 für die USA waren. Dass die Attentäter nie auffielen, dass ihr Training und ihre Planung unentdeckt blieben, dass ihre Verbindungen zwischen Hamburg und Afghanistan nicht bemerkt wurden – all das waren krasse Versagen der Geheimdienste. Viele der Maßnahmen, die anschließend im "great war on terror" ergriffen wurden, sollten sicherstellen, dass es nie wieder vergleichbare blinde Flecken geben würde. Diesem Ziel wurde fast alles andere untergeordnet, nicht zuletzt der Schutz der persönlichen Daten unverdächtiger Menschen. Seit 9/11 schlägt die Verheißung auf Sicherheit den Datenschutz. Und das Verlangen der Sicherheitsbehörden nach Geheimhaltung obsiegt über öffentliche Kontrolle, nicht nur in den USA.

Als eine der ersten Maßnahmen stellten die USA Watchlists auf, beziehungsweise weiteten jene aus, die bereits geführt wurden. Das wirkt im Nachhinein fast wie eine Art bürokratischer Abwehrzauber gegen die so schwer greifbare Bedrohung. Der öffentlichen Kontrolle sind diese Listen weitgehend entzogen, der Grad ihrer Korrektheit ist zweifelhaft. Rund 875.000 Namen von angeblichen Terror-Verdächtigen sind heute in der größten dieser Datenbanken, TIDE, gespeichert. Das sind fast zehn mal mehr als noch vor zehn Jahren. Geheimdienste, Polizei, der Grenzschutz und andere Sicherheitsbehörden erstellen aus dieser Sammeldatei jeweils eigene Unterlisten, darunter die No-Fly-List für die vermeintlich Gefährlichsten der Gefährlichen. Vor 9/11 standen zwölf Namen auf dieser Liste. Heute sind es mehrere Zehntausend.

Die No-Fly-List ist jedoch nur die bekannteste der Listen der Geheimdienste. Vielfach wurden die Verfahren verfeinert, längst geht es auch nicht mehr nur um eine Auflistung Verdächtiger – sondern um das Aufspüren von Verdächtigen in den Daten aller anderen. Es wird sozusagen erst einmal der Heuhaufen zusammengeharkt, in dem dann die Nadeln gesucht werden.

Das nahezu unbekannte Programm PISCES ist ein Paradebeispiel für diese Entwicklung. Das Programm soll nicht nur der Sicherheit dienen, es liefert die Wertschöpfungskette für die gesammelten Daten gleich mit. Im Grunde sind bei PISCES die Daten die Währung, mit der für die Software bezahlt wird. Das kann man zynisch finden. Oder besonders ehrlich.

Die Geschichte von PISCES beginnt ein Jahr nach dem 11. September 2011. Damals bot das US-amerikanische Verteidigungsministerium einer Hand voll "Risikoländern" einen Deal an: Pakistan, Afghanistan, der Jemen, Irak und andere sollten das Grenzkontrollsystem Personal Identification Secure Comparison and Evaluation System (PISCES) geschenkt bekommen. Mit dieser Software können Reisende an Flughäfen und anderen Kontrollpunkten überprüft werden. In Echtzeit werden das Gesicht, die Ausweisnummer, der Fingerabdruck und andere biografische Informationen mit den Daten von Terror-Fahndungslisten abgeglichen.

Für Länder wie den Irak oder Afghanistan, die Reisende häufig noch manuell kontrollierten, bedeutete das Hochgeschwindigkeitssystem einen Quantensprung. Nun war es möglich, Daten von potenziellen Terroristen zu sammeln, zu vergleichen und zu analysieren. Und das geschah auch. Pakistan verdächtigte in der Folge pro Jahr ungefähr tausend Personen, die mit dem Programm bei der Ein- oder Ausreise überprüft wurden.