Der US-amerikanische Postdienst USPS (USA Postal Service) wurde in einer Anhörung vor dem Kongress für seine Reaktion auf einen Cybereinbruch gerügt. Von diesem waren das Netzwerk sowie Mitarbeiter betroffen.

Mitarbeiter von USPS sagten vor einem Komitee aus und wurden über die Reaktion befragt. Da mehr als 800.000 USPS-Mitarbeiter von dem Vorfall betroffen waren, wurde die Angemessenheit der Reaktion und der Benachrichtigungen untersucht. Ein Mitglied des Kongresses:

„Ich bin sehr enttäuscht, wie Sie mit diesem Vorfall umgegangen sind. […] Sie sollten mitteilsamer sein.“

Das US-amerikanische Computer Emergency Readiness Team (CERT) entdeckte den Einbruch am 11. September und benachrichtigte USPS. Erst am 16. Oktober erfuhr es dann, dass tatsächlich Daten kompromittiert worden waren. Am 4. November (fast zwei Monate später) wurde der Datendiebstahl schließlich bestätigt, so Randy Miskanic, stellvertretender Vorsitzender von Digital Solution bei USPS.

Die kompromittierten Informationen über Mitarbeiter beinhalteten Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern, Ein- und Austrittsdaten in das Unternehmen und Notfallnummern.

Die USPS-Mitarbeiter erfuhren von dem Vorfall am 10. November, rund zwei Monate nach der Entdeckung. Zu diesem Zeitpunkt hatte der Vorfall schon Schlagzeilen in den ganzen USA gemacht.

Miskanics Antwort auf die Verzögerungen bei der Benachrichtigung:

„Während des gesamten Zeitraums war es notwendig, den Umfang und die Auswirkungen des Vorfalls zu erfassen. Sobald wir im Oktober erfahren hatten, dass Daten gestohlen worden waren, mussten wir herausfinden, welche. Außerdem mussten wir Aktivitäten zur Eindämmung und Beseitigung einleiten.“

Der Kongress sieht dies anders und kritisiert die Vorgehensweise des Unternehmens, die Mitarbeiterdaten zusätzlichen Gefahren aussetzten.

„Normalerweise sollte es so funktionieren: Sobald Sie wissen, dass Daten kompromittiert wurden, die persönliche Informationen enthalten, […] benachrichtigen Sie den Mitarbeiter. Sie können nicht einfach aus eigenen Interessen heraus festlegen, wann die Daten gestohlen wurden.“

Artikel von scmagazine.com, 20.11.2014: USPS draws ire of Congress over data breach response
Artikel von nextgov.com, 19.11.2014: Hackers Possibly Copied Postal Employee Pay Records