Comcast, Millionenstrafe

Comcast zahlt Millionenstrafe nach Datenleck bei Dienstleister

28.11.2025 - 23:19:12

Comcast zahlt Millionenstrafe nach Datenleck bei Dienstleister - Foto: über boerse-global.de
Comcast zahlt Millionenstrafe nach Datenleck bei Dienstleister - Foto: über boerse-global.de

Ein alarmierendes Signal für die gesamte Telekommunikationsbranche: Der US-Kabelriese Comcast muss 1,5 Millionen Dollar Strafe zahlen, obwohl seine eigenen Systeme nie gehackt wurden. Der Grund? Ein externer Dienstleister verletzte Sicherheitspflichten – und die Aufsichtsbehörde macht den Auftraggeber verantwortlich.

Die amerikanische Kommunikationsaufsicht FCC (Federal Communications Commission) verkündete am Montag den Vergleich mit Comcast. Im Kern geht es um eine brisante Frage: Haften Konzerne für die IT-Sicherheitsmängel ihrer Zulieferer? Die Antwort der Behörde lautet eindeutig: Ja.

Rund 237.000 Kunden des Internetdienstes Xfinity wurden Opfer eines Datendiebstahls – nicht bei Comcast selbst, sondern beim beauftragten Inkassounternehmen Financial Business and Consumer Solutions (FBCS). Die gestohlenen Daten sind hochsensibel: Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten und Kundennummern. Genau jene Informationen, mit denen Identitätsdiebstahl kinderleicht wird.

Anzeige

Lieferanten-Pannen können Sie teuer treffen – wie der Fall um Comcast und das Inkassounternehmen zeigt. Unser kostenloses E-Book erklärt konkret, welche Pflichten sich aus der Auftragsdatenverarbeitung ergeben, welche Vertragsklauseln Audits und Löschpflichten regeln sollten und wie Sie Haftungsfallen vermeiden. Mit praktischen Vorlagen, Checklisten für Risikoanalysen und einer Schritt-für-Schritt-Anleitung für Compliance-Verantwortliche. Jetzt kostenlosen E-Book-Guide zur Auftragsverarbeitung sichern

Der zeitliche Ablauf offenbart das eigentliche Problem: Zwischen dem 14. und 26. Februar 2024 drangen Cyberkriminelle in die Systeme von FBCS ein. Das Unternehmen bemerkte den Angriff zwar kurz darauf, versicherte Comcast im März jedoch, keine Kundendaten seien betroffen.

Eine Lüge, wie sich herausstellte. Erst im Juli 2024 – fünf Monate nach dem Einbruch – korrigierte FBCS seine Aussage. Die öffentliche Bekanntmachung erfolgte schließlich im August. Für Betroffene bedeutete diese Verzögerung: Monate, in denen Kriminelle ihre Daten unbemerkt missbrauchen konnten.

Erschwerend kommt hinzu: FBCS meldete kurz vor der vollständigen Aufklärung Insolvenz nach Chapter 7 an. Damit verschwand der unmittelbar Verantwortliche faktisch von der Bildfläche. Die FCC richtete ihre Ermittlungen folgerichtig gegen Comcast als Auftraggeber.

Neue Compliance-Pflichten setzen Maßstäbe

Die 1,5 Millionen Dollar sind nur ein Teil der Konsequenzen. Weitaus bedeutsamer ist der Überwachungsplan, dem Comcast zustimmen musste. Das Unternehmen muss künftig:

  • Einen eigenen Compliance-Officer für Lieferantensicherheit benennen
  • Alle zwei Jahre umfassende Risikoanalysen seiner Dienstleister durchführen
  • Drei Jahre lang halbjährliche Berichte an die FCC übermitteln
  • Sicherstellen, dass Zulieferer nicht mehr benötigte Kundendaten tatsächlich löschen

Letzterer Punkt trifft den Kern des Problems: FBCS lagerte Datensätze jahrelang, obwohl die Geschäftsbeziehung längst beendet war. Comcast hatte die Zusammenarbeit 2020 aktiv beendet, die letzten Aufträge liefen 2022 aus. Dennoch behielt der Dienstleister sensible Informationen – ohne legitimen Geschäftszweck, wie die FCC betont.

Comcast wehrt sich – ohne Erfolg

Der Konzern selbst weist jede Schuld von sich. „Comcast war nicht verantwortlich und hat kein Fehlverhalten eingeräumt”, heißt es in einer offiziellen Stellungnahme. Man habe die Verträge mit FBCS beendet, und der Dienstleister sei vertraglich zur Einhaltung von Sicherheitsstandards verpflichtet gewesen.

Technisch mag das stimmen – rechtlich half es nicht. Die Botschaft der FCC ist unmissverständlich: Telekommunikationsanbieter müssen garantieren, dass ihre Vertragspartner höchste Sicherheitsstandards einhalten. Externe Expertise einzukaufen bedeutet nicht, Verantwortung auszulagern.

„Die eigenen Systeme waren nie kompromittiert”, betont Comcast. Diese Tatsache milderte vermutlich die Strafe. Doch sie entband das Unternehmen nicht von der Haftung für seine Lieferkette.

Lehrstunde für die gesamte Branche

Cybersecurity-Experten werten die Entscheidung als Warnung an alle Großkonzerne. „Man kann sein Risiko nicht outsourcen”, kommentiert die Sicherheitsanalystin Sarah Jenkins. „Wenn ein Dienstleister versagt, trifft die Regulierungsbehörde den Auftraggeber.”

Das Phänomen heißt in Fachkreisen Supply-Chain-Risiko – die Schwachstelle in der Lieferkette. Moderne Unternehmen arbeiten mit Dutzenden externen Dienstleistern: Cloud-Anbietern, Zahlungsabwicklern, Callcentern, Inkassobüros. Jeder einzelne kann zum Einfallstor werden.

Besonders brisant: das sogenannte Data Hoarding, das übermäßige Speichern von Daten. FBCS hätte die Comcast-Kundendaten nach Vertragsende löschen müssen. Stattdessen wurden sie zum leichten Ziel für Hacker. Eine Nachlässigkeit, die nun einen Präzedenzfall schafft.

Folgen für die Telekommunikation

In den kommenden drei Jahren steht Comcast unter verschärfter Aufsicht. Die halbjährlichen FCC-Berichte garantieren kontinuierliche Kontrolle. Andere Telekommunikationsanbieter dürften das Urteil genau studieren – und ihre eigenen Lieferantenverträge überarbeiten.

Erste Auswirkungen zeichnen sich bereits ab:
Strengere Audits bei Drittanbietern
Kürzere Benachrichtigungsfristen bei Datenpannen
Verschärfte Löschpflichten in Verträgen
Höhere Versicherungsprämien für Cyber-Risiken

Für Verbraucher könnte das bedeuten: detailliertere Datenschutzerklärungen und möglicherweise schnellere Warnungen bei Sicherheitsvorfällen. Ob die Maßnahmen tatsächlich greifen, wird sich zeigen.

Was bleibt, ist eine unbequeme Wahrheit: In vernetzten Ökosystemen ist ein Unternehmen nur so sicher wie sein schwächster Partner. Und die Behörden haben klargestellt, wer dafür geradestehen muss.

Anzeige

PS: Sorgen Sie dafür, dass Ihr Unternehmen nicht zur nächsten Schlagzeile wird. Dieses kostenlose Musterpaket zur Auftragsverarbeitung liefert Vertragsvorlagen, Audit-Checklisten und eine praxisnahe Anleitung, wie Sie Löschpflichten, Risikobewertungen und Meldefristen rechtssicher umsetzen – ideal für Compliance-Manager und Geschäftsführer. Kostenloses Musterpaket für Auftragsverarbeitung herunterladen

@ boerse-global.de
Die besten Black Friday Angebote für