Hat ein Nutzer auf 4chan den Londoner Terroranschlag angekündigt?

Auf der Plattform 4chan hat jemand einen Code gepostet, der mit dem Anschlag in London in Verbindung stehen könnte. Weniger als 24 Stunden vor dem Attentat, bei dem vier Menschen starben, postete ein anonymer Nutzer einen Morsecode, der entschlüsselt genau auf den Ort hinweist, wo der Attentäter zunächst zwei Passanten überfuhr und dann einen Polizisten mit einem Messer erstach. Zuerst machte ein Twitter-Nutzer auf diesen Zusammenhang aufmerksam.

Der Beitrag erschien im 4chan-Forum „politically incorrect" und stammt von einem Nutzer mit der User-ID „n1SoXPxb". Es ist sein bislang einziger Post auf 4chan. Gegen 15.54 Uhr (MEZ) postete er den Code. Bereits vier Minuten später hatte ihn ein anderer User entschlüsselt. Er schreibt: „big ben?"

Der Morsecode führt zunächst zu einer Seite des Web-Dienstleisters Pastebin, der die anonyme Veröffentlichung von Texten und Daten erlaubt. In dem dort hinterlegten Dokument findet man einen aus 160 Zahlen bestehenden Binärcode, der – in Dezimalzahlen umgerechnet – ziemlich exakt die Google-Koordinaten jenes Ortes angeben, an denen der Londoner Attentäter auf der Westseite der Westminster Bridge sein Auto auf den Fußweg lenkte und ein Dutzend Passanten überfuhr.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Dass der Nutzer mit dem Morsecode nicht einfach zufällig die Koordinaten des Big Ben und damit einer weltberühmten Londoner Sehenswürdigkeit ins Forum posten wollte – wie ein User zunächst mutmaßt –, zeigt ein genauer Blick auf die Koordinaten, die der 4chan-Code enthält: Er verweist auf die Straße vor dem Big Ben, nicht auf den Big Ben selbst. Die Koordinaten des berühmten Uhrturms unterscheiden sich um wenige Sekunden von dem Code. Der Ort, den der 4chan-Code enthält, liegt wiederum genau auf einem Punkt der Amokfahrt des Londoner Attentäters: Wenige Meter nachdem dieser die ersten Passanten überfuhr und wenige Meter bevor er mit seinem Auto in den Parlamentszaun krachte.

Wer der Nutzer ist, wird schwer herauszufinden sein. Anonymität ist auf 4chan eines der höchsten Gebote. Der einzige Hinweis auf die Identität des Nutzers liefert die Tatsache, dass der Post womöglich in Dänemark abgeschickt wurde. Zumindest würde das die kleine dänische Flagge in der Kopfzeile des Beitrags nahelegen. Auch der 4chan-Chef Hiroyuki Nishimura bestätigt gegenüber Motherboard: „[Der Beitrag] wurde in Dänemark gepostet." Er glaube daher nicht an einen Zusammenhang mit dem Londoner Attentat.

Doch ob dies einen brauchbaren Hinweis über den Nutzer liefert, ist fraglich. Der Nutzer hätte leicht seine echte IP verschleiern können, etwa über VPN-Dienste oder Proxy-Server. So ist es etwa auf 4chan nicht unüblich, sich – ganz im Sinne der ironisch-anarchischen Board-Kultur – über spezielle Proxies die Flagge Nordkoreas an die Dachzeile ihrer Posts zu heften.

Der Webdienstleister Pastebin entgegnet auf Anfrage, keine Vermutungen über eine mögliche Verbindung anstellen zu wollen. Der Post auf 4chan sei jedoch bekannt und der Code im Pastebin-Dokument „von eigenen Mitarbeitern entschlüsselt worden", so ein Sprecher gegenüber Motherboard. Eine Anfrage von Seiten der Behörden habe es „noch nicht" gegeben.

Neben dem Morsecode postete der mysteriöse Nutzer ein Foto zweier halbautomatischer Pistolen, einer in Kroatien hergestellten XD 9 und einer ehemals in den USA produzierten Rohrbaugh R9. Daneben ist ein „Timestamp" zu sehen, ein Zettel, auf dem in krakeliger Schrift das Datum vom Dienstag vermerkt ist. „Timestamps" werden auf 4chan und anderen Foren häufig genutzt, um die Echtheit des Fotos zu belegen.

In diesem Fall entlarvt sich der User jedoch schnell selbst: Nicht nur sieht die Krakelschrift nach eher schlampiger digitaler Nachbearbeitung aus. Auch ergibt eine umgekehrte Google-Bildersuche schnell, dass das Foto einem Beitrag aus dem Jahr 2010 entnommen wurde – aus einem Forum für Autofans.

Dass auf 4chan Morsezeichen oder mysteriöse Binärcodes gepostet werden, ist erstmal gar nicht so ungewöhnlich. Im Gegenteil, Rätselaufgaben tauchen regelmäßig auf dem Imageboard auf. Mit den geposteten Aufgaben fordern sich User gegenseitig heraus oder machen sich daran, sie gemeinsam zu entschlüsseln. Das wohl prominenteste Beispiel: das Cicada 3301-Rätsel, das 2012 mit einem Post auf 4chan begann und seitdem hunderte Board-User beschäftigte.

Doch der aktuelle Post unterscheidet sich von solchen digitalen Schnitzeljagden: Denn der am Dienstag eingestellte Code ist vergleichsweise einfach zu entschlüsseln – weder gibt es einen doppelten kryptologischen Boden noch verwandelten rätselaffine 4chan-User den Thread in eine episch lange Lösungsdiskussion. All das war bei Fällen wie Cicada 3301 anders. Das Mysterium beschäftigte hunderte Anons und war extrem schwierig zu lösen: So führte der ursprüngliche 4chan-Post über obskure Chiffren-Sprache zu Bildern, die durch Software die Adresse einer Website enthüllten, auf dem sich dann wiederum Maya-Zahlen befanden. Bei einer späteren Ausgabe tauchten dann überall auf der Welt QR-Codes an zahlreichen Orten auf, die Rätselfreunde sogleich begeistert scannten.

Sollte also der mysteriöse Morse-Post des Users „n1SoXPxb" lediglich ein harmloses Rätsel für 4chan-Jünger sein, so wäre er zumindest auf eine Art und Weise gestellt, die für das Imageboard sehr ungewöhnlich ist.

Andererseits gibt es bislang auch kein Indiz darauf, dass der Post etwas mit dem Anschlag zu tun haben könnte. Auch ist 4chan bisher nicht als Plattform bekannt, auf der islamistische Attentäter ihre Taten ankündigen oder posten. Auch Pastebin wird nur selten von IS-Unterstützern genutzt, etwa für Beiträge auf ihren öffentlichen Twitter- oder Telegram-Kanälen.

Auf eine Motherboard-Anfrage, ob es Ermittlungen im Zusammenhang mit dem 4chan-Beitrag gebe, verwies ein Sprecher des Scotland Yard auf die allgemeine Pressemitteilung. Sie enthält keine Angaben zu möglichen Verbindungen des Anschlags zu 4chan oder Pastebin. So bleibt unklar, ob der 4chan-Post überhaupt Gegenstand der Ermittlungen ist.

Entdeckt wurde der 4chan-Post übrigens von Mitarbeitern des Rechercheprojekts Bellingcat, die auf Twitter auch angaben, die Informationen bereits der britischen Polizei gemeldet zu haben.