Laut Revisoren hat das US-Energieministerium (DOE) trotz Kenntnis von vermuteten Cyber-Sicherheitsproblemen nichts unternommen, um zu verhindern, dass die persönlichen Daten sowie Sozialversicherungsnummern von mehr als 104.000 Angestellten, deren Angehörigen und Auftragnehmern im Juli 2013 gestohlen wurden. Das DOE war seit 2011 dreimal Ziel von Cyberattacken, zweimal davon im Jahr 2013.

Im August 2013 wurde den Betroffenen mitgeteilt, dass sie kostenlose Unterstützung in Anspruch nehmen könnten, um Identitätsbetrug zu verhindern. Dieses Angebot könnte das Ministerium bis zu 3,7 Mio. US-Dollar kosten.

Im Bericht aus dem DOE-Büro des Generalinspektors, Gregory Friedman, wurde festgehalten, dass das DOE die

„gängigen Maßnahmen zum Schutz des Netzwerks außer Acht ließ und die Sicherheitskontrollen in den aller meisten Fällen nicht funktionsfähig hielt“.

Außerdem wären keine Korrekturen für bekannte Sicherheitsrisiken vorgenommen worden. Das Ministerium hätte auch

„direkten Internet-Zugang zu einem hoch-geheimen System zugelassen – ohne adäquate Sicherheitskontrollen“.

Auch hätte es zugelassen, dass Systeme mit bekannten, sehr kritischen Sicherheitsmängeln weiterhin betrieben wurden. Der Bericht sprach in der Zusammenfassung von „unklaren Verantwortungsstrukturen“ und „ineffektiver Kommunikation und Koordination unter den verantwortlichen Beamten“.

Trotz der letzten Hackerangriffe seien keine geheimen Regierungsinformationen entwendet oder gezielt angegriffen worden. Hacker könnten jedoch die gestohlenen persönlichen Daten verwenden, um Zugang zu anderen Behördensystemen zu erhalten und so zukünftig potenziellen Schaden anzurichten.

Aufgrund des beispiellosen Ausmaßes dieses Vorfalls seien sofortige und effektive Maßnahmen unerlässlich, so Friedman. Als Reaktion zu den Ergebnissen des Revisionsberichts erklärte das Ministerium sich bereit, alle vom Generalinspektor vorgeschlagenen Sicherheitsmaßnahmen durchzuführen.

Artikel von washingtonpost.com, 11.12.2013: DOE was aware of security issues that exposed employees to hackers
Artikel von energy.gov, Dezember 2013: The Department of Energy’s July 2013 Cyber Security Breach