Der Chef der Deutschen Polizeigewerkschaft, Rainer Wendt, warnt aber davor, alle Flüchtlinge unter Generalverdacht zu stellen. Es sei offensichtlich die Strategie des IS, Flüchtlinge zu diskreditieren, indem die Organisation eigene Leute als Asylbewerber nach Europa einschleuse, sagt Wendt. "Nötig wäre das nicht. Der IS hat Geld und könnte andere Wege nutzen." Die Terrororganisation gehe so vor, um Ängste zu schüren.

Ob der IS die Balkanroute nun taktisch nutzt oder ob die bis zu Jahresbeginn offenen Grenzen und die Tarnung als Flüchtling einfach praktisch sind, spielt eigentlich keine Rolle. Eine Sicherheitslücke gibt es ohnehin: Weder das Bundesamt für Migration noch die Sicherheitsbehörden können genau beziffern, wie viele sogenannte Gefährder mit den Flüchtlingstrecks nach Deutschland gekommen sind.

Der enorme Zustrom an Flüchtlingen vor allem in der zweiten Jahreshälfte 2015 traf die Behörden unvorbereitet. Dadurch entstand ein Problem, das bis heute noch nicht gelöst werden konnte: Hunderttausende trafen in Deutschland ein, ohne dass sicherheitsrelevante Daten von ihnen aufgenommen und in die Computersysteme der Polizei und anderer Sicherheitsbehörden eingespeist wurden.

Nach Informationen aus Sicherheitskreisen gingen bei den Ermittlungsbehörden bis Ende Mai 373 Einzelhinweise auf mögliche Dschihadisten unter Flüchtlingen ein. Allerdings waren darunter offenbar nur wenige Dutzend belastbare Informationen. Die Zahl der daraufhin aufgenommenen Ermittlungsverfahren liegt bei etwas mehr als drei Dutzend.

Daneben führt der Generalbundesanwalt im Zusammenhang mit dem Syrien-Krieg knapp 120 Verfahren mit mehr als 180 Beschuldigten. Bei ihnen geht es um den Verdacht der Mitgliedschaft in einer terroristischen Vereinigung oder um deren Unterstützung.

Eine wirkliche Kontrolle darüber, wer über die Flüchtlingsroute nach Deutschland kommt, gibt es erst seit Mitte Februar mit dem Start des Datenaustauschverbesserungsgesetzes. Erst seitdem werden von den neu Ankommenden alle sicherheitsrelevanten Daten wie Fingerabdrücke in einer für alle Sicherheitsbehörden einsehbaren Kerndatenbank gespeichert. "Wir registrieren seit Anfang des Jahres jeden Geflüchteten in einem bundesweit einheitlichen System und stellen die Ankunftsnachweise aus", sagt Frank-Jürgen Weise, Chef des Bundesamtes für Migration und Flüchtlinge (Bamf) unserer Redaktion. "Das ermöglicht uns, bislang unerkannt doppelte und dreifache Registrierungen von Flüchtlingen in den Bundesländern auszuschließen und einer Identität klar zuzuordnen", sagt Weise. "Ohnehin werden die Registrierdaten mit Datenbanken von Sicherheitsbehörden abgeglichen."

Das Problem ist die Zeit vor Mitte Februar - als auch die meisten Flüchtlinge kamen: Hier entstand die Sicherheitslücke. Der vollständige Sicherheitscheck findet nämlich erst dann statt, wenn das Bamf einen Asylantrag überprüft. Damit leben in Deutschland immer noch etliche Flüchtlinge, die sich bislang keinem Sicherheitscheck stellen mussten. Nach Auskunft des BAMF sind aktuell noch etwa 150.000 Flüchtlinge nicht in der neuen Kerndatenbank erkennungsdienstlich gespeichert.

Die Überprüfungen brauchen Zeit

Das bedeute allerdings nicht, dass die Identitäten dieser Personen den Behörden unbekannt seien. Denn die meisten von ihnen bezögen Asylbewerberleistungen. Um die zu erhalten, mussten sie persönliche Angaben machen. Doch die polizeiliche Überprüfung fand bei vielen dieser bis zu 300.000 Personen eben noch nicht statt. Denn das Datengesetz schreibt den auszahlenden Behörden erst seit Mitte Februar vor, von den Leistungsbeziehern auch sicherheitsrelevante Daten zu speichern. Potenzielle Terroristen können sich bislang also dem Zugriff der Sicherheitsbehörden entziehen. Mittlerweile ist die Balkanroute weitgehend dicht. Durch das EU-Türkei-Abkommen und die nationalen Grenzschließungen der südosteuropäischen Länder schaffen es kaum noch Flüchtlinge bis in die Mitte Europas.

Doch selbst wenn alle Flüchtlinge von Anfang an mit Fingerabdruck registriert und über die Terrordateien der Sicherheitsbehörden überprüft worden wären, hätten Leute wie der syrischen Drahtzieher des vereitelten Terroranschlags von Düsseldorf, Saleh A., unbehelligt agieren können. Saleh A. und seine Komplizen waren in keiner Gefährder-Datei erfasst.

Im Muster der Anschläge von Paris und Belgien sowie im Vorgehen der Terroristen bei den Planungen in Düsseldorf sieht der Vorsitzende des Innenausschusses im Bundestag, Ansgar Heveling, auch eine neue Herausforderung für den Gesetzgeber. Er kritisiert das Strafrecht zum Terrorismus als "recht eng gefasst" und fordert eine Reform. "Ermittlungsbehörden brauchen die nötigsten Instrumente, um gegen alle Formen des Terrorismus vorgehen zu können", sagt Heveling auf Nachfrage unserer Redaktion. So seien die Voraussetzungen derzeit eher hoch für die Annahme, dass es sich um terroristische Organisationen handele. "Mittlerweile gibt es offensichtlich immer mehr Einzeltäter, die sich radikalisieren. Die Behörden benötigen auch eine Handhabe, frühzeitig gegen solche Gefährder vorzugehen", forderte Heveling. Gleiches gelte für die Sympathiewerbung für terroristische Vereinigungen.