Das Medienunternehmen Comcast hat sich bereit erklärt, eine Geldstrafe von 1,5 Millionen US-Dollar zu zahlen, nachdem ein Datenleck des Anbieters Informationen von Tausenden seiner Kunden offengelegt hat. Die Sicherheitslücke ereignete sich innerhalb der Systeme von Financial Business and Consumer Solutions, einer Inkassofirma, die zuvor Kundenkonten für Comcast bearbeitet hatte. Der Anbieter erlebte im Februar 2024 einen Eingriff, der es Angreifern ermöglichte, auf Dateien mit persönlichen Informationen zuzugreifen. Die veröffentlichten Daten umfassten Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern und interne Kontonummern, die von Comcast verwendet wurden.
Comcast erklärte, dass seine eigenen Systeme nicht kompromittiert wurden. Der Vorstoß beschränkte sich auf vom Anbieter gespeicherte Daten. Das Unternehmen hatte seine Beziehung zum Anbieter 2022 beendet, doch der Anbieter behielt weiterhin Kundendaten, die eigentlich gelöscht werden sollten. Der Einbruch wurde Comcast im Juli 2024 gemeldet, mehrere Monate nachdem er stattgefunden hatte. Zum Zeitpunkt der Offenlegung hatte der Verkäufer bereits Insolvenz angemeldet, was die Reaktion zusätzlich erschwerte. Die Regulierungsbehörden stellten fest, dass Kundendaten trotz Ende der Geschäftsbeziehung nicht aus dem Umfeld des Anbieters entfernt wurden.
Die Federal Communications Commission gab den Vergleich bekannt und erklärte, dass Comcast eine stärkere Aufsicht über Drittanbieter einführen muss, die Kundendaten bearbeiten. Nach den Bedingungen des Vergleichs wird Comcast einen Compliance-Beauftragten ernennen, der für die Überwachung der Praktiken der Lieferantendaten verantwortlich ist. Das Unternehmen wird außerdem regelmäßige Prüfungen der Anbieter durchführen und alle sechs Monate über drei Jahre hinweg Compliance-Berichte an die Aufsichtsbehörde einreichen. Darüber hinaus muss Comcast sicherstellen, dass Kundendaten gelöscht werden, wenn sie für geschäftliche Zwecke nicht mehr benötigt werden.
Der Datenbruch betraf etwa 237.000 aktuelle und ehemalige Kunden. Die kompromittierten Daten stammten von Comcast-Diensten, darunter Internet, Fernsehen und Haussicherheit. Die offengelegten Informationen könnten es böswilligen Akteuren ermöglichen, Identitätsdiebstahl zu begehen, betrügerische Konten zu erstellen oder gezielte Betrügereien zu versuchen. Comcast hat die betroffenen Personen kontaktiert und ihnen geraten, ihre Konten auf verdächtige Aktivitäten zu überwachen. Es wurde außerdem Kunden gewarnt, nicht auf unerwünschte Nachrichten mit Anfragen nach persönlichen Daten oder Zahlungen zu reagieren.
Comcast erklärte, dass es die Bedingungen des Vergleichs akzeptiert, aber kein Fehlverhalten eingeräumt habe. Das Unternehmen erklärte, dass es sich verpflichtet hat, das Lieferantenmanagement zu verbessern und Kundendaten zu schützen. Der Vorfall hat eine Überprüfung der Behandlung der Daten ausgelöst, sobald sie an externe Dienstleister übertragen werden. Comcast erklärte, dass es seine internen Richtlinien aktualisiert, um eine stärkere Überprüfung zu verlangen, dass Anbieter Kundeninformationen löschen, wenn Verträge enden.
Der Fall hebt die Risiken auf, die mit der Speicherung von Daten durch Dritte verbunden sind. Selbst wenn ein Unternehmen strenge Sicherheitskontrollen auf seinen eigenen Systemen aufrechterhält, können Kundeninformationen, die von externen Anbietern gespeichert werden, offengelegt werden, falls diese keine ausreichenden Schutzmaßnahmen umsetzen. Regulierungsbehörden haben Unternehmen dazu ermutigt, klare Anforderungen an Anbieter zu setzen, darunter regelmäßige Audits und dokumentierte Verfahren zur Löschung von Daten. Das Unterlassen kann zu Geldstrafen, Verlust des Kundenvertrauens und langfristigen Reputationsschäden führen.
Kunden, deren Informationen möglicherweise offengelegt wurden, werden ermutigt, unerwartete Nachrichten mit Vorsicht zu behandeln und die Finanzkonten weiterhin zu überwachen. Identitätsdiebe könnten versuchen, offengelegte persönliche Daten zu nutzen, um Konten zu eröffnen oder sich als Opfer auszugeben. Kunden können auch in Erwägung ziehen, Kreditüberwachungstools zu nutzen und Betrugswarnungen in ihren Kreditakten zu platzieren, wenn sie verdächtige Aktivitäten bemerken.
Der Vergleich unterstreicht die Bedeutung einer starken Kontrolle, wenn Kundeninformationen mit externen Organisationen geteilt werden. Unternehmen, die große Mengen personenbezogener Daten verarbeiten, müssen sicherstellen, dass alle Partner die gleichen Sicherheitsstandards einhalten. Die Folgen eines Lieferantenverstoßes können sowohl Kunden als auch das für die Daten verantwortliche Unternehmen betreffen.