Tierisch schlechtes Krisenmanagement: Berlins Zoo-Direktor ruiniert das Image durch Verharmlosung von Datenklau

Gorilla Bobby, die Flusspferde Knautschke und Bulette, die Schimpansin Susi, Alligator Mao – und natürlich Eisbär Knut: Forever süß! Es waren die tierischen Stars, die gefühlt 95 Prozent der Schlagzeilen für Berlins Zoo und Tierpark bestimmt haben. Und die vielen Inhaber der Zoologischer Garten Berlin AG zählen wohl zu den ganz wenigen Aktionären auf der Welt, die sich mit Futterneid aller Arten auskennen – aber nicht auf Rendite schielen.

Selbst ein – sagen wir mal – selbstbewusster und polarisierender Charakter wie der ehemalige Direktor Bernhard Blaszkiewitz hat es nicht vermocht, das Image von Zoo und Tierpark nachhaltig zu beschädigen. Sein deutlich konzilianterer und progressiverer Nachfolger Andreas Knieriem ("Der Pfotenkönig") macht das fast Unmögliche möglich: Er ist gerade dabei, das Vertrauen der Öffentlichkeit in diese altehrwürdige Institution zu zerstören. Der Mann hat offenbar den Schuss nicht gehört.

Hintergrund ist ein Ereignis, das die Zoo AG am Dienstag verniedlichend als "Datenpanne bei Webshop-Betreiber" (Hier Link zu der Pressemitteilung als PDF-Download) zu verschleiern suchte – und zwar erst nachdem die ersten Presseanfragen zum Thema eingetrudelt waren. Hacker haben bei dem Dienstleister Ticketcounter, einer jungen niederländischen Firma, die für mehr als 200 Freizeiteinrichtungen die Online-Ticketbuchungen abwickelt, bis zu 1,9 Millionen Datensätze erbeutet und das Unternehmen damit erpresst.

Namen, Telefonnummer, IP-Adressen und Passwörter erbeutet

Vollständige Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen und Passwörter sollen abgefischt worden sein, wenn auch keine Bankdaten. Betroffen sein könnten grundsätzlich alle Besucherinnen und Besucher von Zoo und Tierpark, die vor dem 5. August 2020 Online-Buchungen getätigt haben, räumten Zoo und Tierpark ein.

Knieriems Krisenmanagement kann man nur als katastrophal und tierisch unprofessionell beschreiben: Anstatt proaktiv und sofort nach Bekanntwerden des Datenlecks aktiv an die Öffentlichkeit zu gehen, um alle Besucher:innen (3,7 Millionen waren es allein 2019) zu warnen und zum Ändern ihrer individuellen Passwörter aufzufordern, reagiert das Unternehmen erst auf Nachfrage und möglicherweise erst Tage nachdem es von der Erpressung ihres Dienstleisters erfahren hat. Ersten Recherchen zufolge waren die Daten am 21. Februar zum Kauf angeboten worden.

[Wenn Sie alle aktuellen Entwicklungen zur Coronavirus-Pandemie live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Die Zoo AG sah sich am Dienstagabend nicht in der Lage, einige grundlegende Fragen zum Thema zu beantworten – zum Beispiel, ob auch Jahreskarten-Inhaber betroffen sein könnten. Und seit wann man überhaupt mit dem Unternehmen Ticketcounter zusammenarbeitet? Der Zoo-Sprecher schrieb: "Bitte haben Sie Verständnis, dass unsere sämtlichen Kapazitäten derzeit in die Analyse der betroffenen Daten fließen (ein äußerst komplexer Prozess)." Zugleich gaukelt er extrem verunsicherten Besucher:innen in einer offiziellen Mitteilung vor, es bestehe für keinen Kunden "unmittelbare" Gefahr.

© Kitty Kleist-Heinrich

Woher weiß er das, wenn die Dimension des Problems doch angeblich noch gar nicht überschaubar ist? Weder die Polizei in Düsseldorf, wo der Dienstleister sein Deutschland-Geschäft koordiniert, noch der Dienstleister Ticketcounter selbst, sahen sich imstande, eine qualifizierte Auskunft zu dem Fall zu geben. Wer jetzt ausschließen will, dass Datensätze inklusive Passwörter Hunderttausender Zoo- und Tierparkbesucher:innen durch das Darknet geistern, handelt verantwortungslos. Besucher:innen, die nun nicht sofort Passwörter ändern, sofern sie bei der Ticket-Buchung ihr 0815-Passwort angegeben haben, handeln schlicht fahrlässig.

Sensible Daten einem vermeintlichen Gratis-Anbieter überlassen

Ja, der Betreiber von Zoo und Tierpark betreibt traditionell ein sehr analoges Geschäft. Daher erwartet hier niemand speziellen Fähigkeiten im Umgang mit Cyber-Kriminalität. Um so mehr kann und müssen Kunden erwarten dürfen, dass das Unternehmen extrem pfleglich mit den Daten umgeht und sie nicht einem – vermeintlichen – Gratis-Dienstleister überlässt, um dann bei Bekanntwerden einer "Panne" nicht sofort 100 Prozent Transparenz an den Tag zu legen.

Wer also irgendwann einmal vor August 2020 in Zoo oder Tierpark war und sich in den kommenden Wochen über gekaperte Facebook-Accounts, verschwundene Summen bei Paypal oder unbekannte Telefonanrufer wundert, kann in letztgenannten Fällen ja an Andreas Knieriem und seinen Kommunikationschef durchstellen. Und die Herren bei der Gelegenheit fragen, ob sie wissen, wie man das Begriffe "Datenschutz" und "Respekt vor den Kunden" buchstabiert.