Anis Amri verriet seine Terrorpläne in Telegram-Chats und trotzdem passierte nichts

Deutsche Ermittler warnten bereits im Frühjahr 2016 davor, dass Anis Amri einen Terroranschlag begehen könnte. Schon neun Monate bevor der 24-jährige mit einem LKW in den Weihnachtsmarkt am Breitscheidplatz raste, wusste das LKA, wie gefährlich Amri ist. Das geht aus Schreiben des nordrhein-westfälischen LKAs hervor, über die die Welt heute ausführlich berichtet und die zeigen, wie Amri ins Visier der Behörden geriet.

Eine wichtige Rolle bei den Ermittlungen gegen Amri spielt die Chat-App Telegram, die von IS-Anhängern gerne genutzt wird – unter anderem auch deshalb, weil sie alle Inhalte auch mit einer besonders sicheren Ende-zu-Ende-Verschlüsselung schützen kann. Doch das LKA las im Februar 2016 trotzdem mit, als Amri mit IS-Anhängern in Libyen kommunizierte. Die Ermittler hatten sich zuvor die Erlaubnis besorgt, die Telekommunikation von Anis Amri zu überwachen, da er den Behörden als Kontaktperson im Umfeld des salafistischen Predigers Abu Waala aufgefallen war.

Doch wie genau konnten die Ermittler die Telegram-Chats von Anis Amri abhören? Aus den Papieren des nordrhein-westfälischen LKAs geht dies nicht eindeutig hervor. In den Unterlagen, deren zentrale Passagen Motherboard kennt, steht lediglich, dass das LKA im Rahmen einer üblichen Telekommunikationsüberwachung gehandelt habe. Doch technisch gesehen gibt es nur eine Möglichkeit, was das bedeutet: Die Ermittler nutzten den Trick des sogenannten Account-Hijackings.

Bei diesem Verfahren knackt man nicht die eigentliche Verschlüsselung der App, sondern greift auf einen Trick zurück, um sich Zugang zu verschaffen. Dazu melden Ermittler heimlich ein eigenes Gerät unter der Nummer des Verdächtigen an und können dann auf diesem zumindest all jene privaten Videos, Texte, Audiobotschaften und Bilder mitlesen, die ein Verdächtiger unverschlüsselt verschickt.

Das nordrhein-westfälische LKA las mit, wie Amri auf Telegram über Terror chattete. Schnell bemerkten die Ermittler, mit wem sich Amri da auf Telegram unterhielt. Zu seinen Gesprächspartnern gehörten IS-Terroristen, die sich in Libyen aufhielten. Ihre Profilbilder waren eindeutig: Sie zeigten IS-Flaggen und Sturmgewehre, wie die Welt berichtet. Auch eine Audiobotschaft ließ die LKA-Beamten hellhörig werden. Darin seien im Hintergrund „eindeutig Schüsse und Funksprüche zu hören", wie die Ermittler notierten.

Dass deutsche Behörden Telegram-Konten knacken können, zeigten Motherboard-Recherchen bereits im vergangenen Jahr. Damals wurde öffentlich, dass das BKA mit Hilfe von Account-Hijacking die Telegram-Chats von mehreren Rechtsterroristen geknackt hatte. Ob die Maßnahme überhaupt legal ist, ist allerdings unter Experten höchst umstritten. Trotzdem nutzt das BKA das Verfahren seit 2015 in mindestens 44 Fällen – neben Ermittlungen im Bereich Rechtsterrorismus auch bei Spionage oder internationalem Terrorismus. Der Fall Amri zeigt, dass die Methode auch bei Ermittlungen in der salafistischen Szene genutzt werden.

Doch der Hacking-Trick hat einen Haken: Er gibt den Ermittlern nämlich keinen Einblick in die verschlüsselten Telegram-Chats. Allerdings ist die Telegram-App so aufgebaut, dass es unvorsichtigen Nutzern leicht passieren kann, dass sie ihre Nachrichten unverschlüsselt verschicken. Die Ende-zu-Ende-Verschlüsselung von Telegram wird nämlich erst dann aktiviert, wenn ein Nutzer die Funktion in der App explizit auswählt. Wer dagegen einfach einen Kontakt aus seinem Telefonbuch anchattet, der unterhält sich unverschlüsselt. Für Gruppenchats steht die Ende-zu-Ende-Verschlüsselung gar nicht erst zur Verfügung. Von Sicherheitsexperten wird Telegram für diese eingeschränkten Funktionen bereits seit längerem kritisiert. In anderen Chat-Apps wie WhatsApp oder Signal ist jede Unterhaltung automatisch mit Ende-zu-Ende-Verschlüsselung geschützt.

Wer die Papiere des nordrhein-westfälischen LKA genauer studiert, dem fällt noch etwas über Anis Amri auf: Der Tunesier war in seiner Kommunikation erstaunlich unvorsichtig. Obwohl er damit rechnen musste, abgehört zu werden, schaltete er auf Telegram eben nicht die gesondert verschlüsselten „privaten Chats" ein. Auch seinen Gesprächspartnern fiel das Problem nicht auf. Außerdem benutzte Amri das Codewort „Hochzeit" und meinte damit wohl einen Anschlag – doch scheinbar kennen längst auch Ermittler das Wort und so ermahnten ihn seine libyschen Gesprächspartner das Wort im Chat nicht mehr zu nutzen.

Anis Amri hinterließ zahlreiche Spuren, die zeigten, wie gefährlich er ist – und das LKA las und hörte mit. Entsprechend empfahl die Düsseldorfer Behörde dann im März auch, Amri abzuschieben. Tatsächlich könnte Paragraph 58a des Aufenthaltsgesetzes eine solche Abschiebung zur Gefahrenabwehr erlaubt haben. Die Ermittler hatten erkannt, dass Amri vorhatte, einen Anschlag zu verüben und notierten das in der Zusammenfassung ihrer Überwachungsmaßnahmen auch in aller Deutlichkeit. Warum der Tunesier trotzdem nicht abgeschoben wurde, dürfte nun Thema im Amri-Untersuchungsausschuss im Landtag von NRW werden und damit auch zum Politikum vor der anstehenden Landtagswahl.

Zur bitteren Wahrheit im Fall Amri gehört auch: Es hätte genug Zeit gegeben, den Terroranschlag zu verhindern – geheime, verschlüsselte Chats waren jedenfalls nicht das Problem. Denn Anis Amri war offenbar schlicht nicht clever genug, Telegram sicher zu benutzen.