Nach Hackerangriff auf Ticket-Dienstleister: Zoo und Tierpark Berlin raten Besuchern zu Passwortänderung

Der in der Nacht zu Dienstag bekanntgewordene Hackerangriff hat offenbar praktische Konsequenzen für Besucherinnen und Besucher des Zoos, des Tierparks und des Aquariums Berlin - so wie für Hunderttausende, die bei anderen Freizeiteinrichtungen Eintrittskarten über den niederländischen Dienstleister Ticketcounter gekauft haben. Sie sollten ihre wichtigsten Passwörter ändern.

"Leider müssen wir Sie hiermit darüber informieren, dass uns unser niederländischer Partner Ticketcounter einen Datendiebstahl gemeldet hat. Als externer Dienstleister wickelt Ticketcounter derzeit unseren Online-Ticketverkauf ab", schrieb das "Team von Zoo, Tierpark und Aquarium Berlin" am Freitagmorgen an registrierte Besucherinnen und Besucher.

Der Diebstahl habe sich im Rahmen eines Systemupdates ereignet, bei dem ein Teil eines Backups von Kundendaten der Online-Shops zeitweise öffentlich zugänglich geworden sei. "Konkret handelt es sich dabei unter anderem um Daten von Gästen von Zoo, Tierpark und Aquarium Berlin, die im Zeitraum zwischen dem 28. April und dem 5. August 2020 Buchungen in den jeweiligen Online-Shops getätigt haben", erklärte Berlins Zoo-Betreiber. "Leider sind möglicherweise auch Ihre Daten betroffen."

Die Analysen seien zwar noch nicht final abgeschlossen, es handele sich aber höchstwahrscheinlich um Informationen zu Namen, E-Mail-Adressen sowie Details zu den gebuchten Produkten. Die Weitergabe von Passwörtern, Telefonnummern, Adress- oder Geburtsdaten könne "definitiv ausgeschlossen werden", da diese im Buchungsprozess der derzeitigen Online-Shops der Zoologischen Gärten Berlin nicht abgefragt würden. Man bereite eine Plattform vor, über die Kunden den genauen Umfang der betroffenen Daten im Einzelnen selbstständig abfragen können.

[Wenn Sie alle aktuellen Entwicklungen zur Coronavirus-Pandemie live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]
"Obwohl keine Passwörter erbeutet worden sein können, raten wir zur Vorsicht und empfehlen vorsorglich, Passwörter zu ändern, wenn sich diese leicht aus dem Namen und der E-Mail-Adresse herleiten lassen", teilte das Unternehmen mit und verwies auf Informationen und Tipps zum Thema Passwortschutz und der sicheren Vergabe von Passwörtern des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Zudem mögen Kunden besonders auf Spam-Nachrichten im E-Mail-Postfach achten. "Links oder Anhänge von nicht vertrauenswürdigen Absendern sollten keinesfalls geöffnet werden".

Man bedauere diesen Vorfall und bitte die entstandenen Umstände zu entschuldigen, auch im Namen von Ticketcounter. "Bitte seien Sie versichert, dass wir alle Hebel in Bewegung setzen, damit sich derartige Ereignisse künftig keinesfalls wiederholen. Schließlich hat die Sicherheit Ihrer Daten auch bei uns höchste Priorität!", heißt es in der Mail an Kunden.

© Kai-Uwe Heinrich

Gleichwohl bleiben Fragen offen, auf die die Zoologischer Garten Berlin AG auch auf Nachfrage bisher keine Antwort gegeben hat. Etwa, warum die Zusammenarbeit mit dem Dienstleister nicht umgehend beendet wurde angesichts des massiven Vertrauensverlustes. Und auch, wer genau die Entscheidung zur Zusammenarbeit mit Ticketcounter getroffen hat.

Auch Antworten auf die Fragen, wie viel Geld dem Unternehmen Ticketcounter für die Dienstleistung gezahlt wurde - das Unternehmen wirbt übrigens damit, dass die Dienstleistung zunächst kostenfrei ist - und wie Zoo, Tierpark und Aquarium vor der Zusammenarbeit mit diesem Unternehmen Online-Buchungen verwaltet haben, blieben bislang aus.

[Lesen Sie hier einen Kommentar zu dem Datendiebstahl bei Ticketcounter]

Auch Fragen an die Polizei Düsseldorf, wo die Deutschland-Niederlassung von Ticketcounter sitzt, und natürlich an das Unternehmen Ticketcounter selbst bleiben bis Freitagmittag unbeantwortet. In einer am vergangenen Mittwoch veröffentlichen Pressemitteilung ließ sich Zoo- und Tierparkdirektor Andreas Knieriem wie folgt zitieren: „Wir bedauern diesen Vorfall und setzen alles daran, um alle Fragen umfassend zu beantworten und unsere betroffenen Gäste zu informieren.“

Man habe die für für sein Unternehmen zuständigen Datenschutzbehörden in Deutschland umgehend über den Vorfall informiert, als man von Ticketcounter über den Datendiebstahl in Kenntnis gesetzt wurde. Die Besucherinnen und Besucher, deren Daten erbeutet worden sind, mussten darauf länger warten.