WASHINGTON (AP) – Ein Top-Administrator der Washingtoner Krankenversicherungsbörse entschuldigte sich am Mittwoch bei Mitgliedern des Repräsentantenhauses für die Datenschutzverletzung, die zur Offenlegung personenbezogener Daten von Tausenden von Benutzern, einschließlich Mitgliedern des Kongresses, führte.
Das Leck sei das Ergebnis menschlichen Versagens, sagte Mila Kofman, Exekutivdirektorin der District of Columbia Health Benefit Exchange Authority, auf einer gemeinsamen Sitzung von zwei Unterausschüssen der Hausaufsicht.
Sie sagte, Mitte 2018 sei bei der Installation des internen Kommunikationsprogramms Slack ein Server falsch konfiguriert worden. Diese fehlerhafte Konfiguration ermöglichte es einer nicht autorisierten Person, auf den Server zuzugreifen und zwei Berichte zu stehlen, die persönliche Informationen von „56.415 aktuellen und früheren Kunden, einschließlich Kongressmitgliedern, ihren Familien und Mitarbeitern“ enthielten.
Einige dieser Informationen wurden später in einem Online-Forum zum Verkauf angeboten. Das Problem wurde erstmals öffentlich bekannt, als Mitglieder des Repräsentantenhauses und des Senats darüber informiert wurden, dass sie und ihre Mitarbeiter möglicherweise betroffen sind.
Kofman entschuldigte sich wiederholt für den Fehler, lobte jedoch die Reaktion ihrer Agentur, als der Verstoß Anfang März entdeckt wurde. Sie sagte, externe Experten und die FBI Cyber Security Task Force seien hinzugezogen worden, um die Sicherheitslücke schnell zu identifizieren und zu schließen. Und denjenigen, die möglicherweise von dem Leck betroffen sind, wurde sofort Schutz vor Identitätsdiebstahl und Kreditüberwachung angeboten, sagte sie.
„Wir werden unsere Antwort nicht versagen“, sagte Kofman dem Komitee.
Repräsentantin Nancy Mace, RS.C. lobte die Reaktion der Agentur und sagte Kofman: „Von einem Krisenstandpunkt aus war die Reaktion ausgezeichnet.“
Mace nahm jedoch Anstoß an dem, was sie als „inakzeptablen“ Mangel an Details darüber bezeichnete, wer genau verantwortlich war und ob dieser Mitarbeiter oder Auftragnehmer bestraft oder entlassen worden war.
„Wir wollen wissen, wer verantwortlich ist, und wir wollen wissen, wie die Verantwortlichen zur Rechenschaft gezogen werden“, sagte sie.
Mace kritisierte auch einen Bericht der Cybersicherheitsfirma Mandient, der zur Identifizierung der Sicherheitslücke beitrug – und sagte, er sei in entscheidenden Details dünn. Mace nannte den Bericht „ziemlich lahm und uninformiert“.
Rep. Bryan Steil, R-Wis., fragte sich, ob der siebenseitige Bericht eine Art früher Entwurf sei, und nannte ihn „zutiefst enttäuschend, wenn dies der endgültige Bericht ist“.
Und Rep. Barry Loudermilk, R-Ga., ein ehemaliger IT-Experte, sagte, dass Kofmans gesamte Aussage sehr wenig Licht darauf werfe, wann genau der Datendiebstahl stattgefunden habe oder wer genau dafür verantwortlich sei.
„Ich bin verwirrter geworden, als ich heute hier sitze, was passiert ist. Ich dachte, das wäre klärend“, sagte er.
Die Anhörung steht im größeren Kontext einer weitreichenden Anstrengung des von den Republikanern gehaltenen Repräsentantenhauses, seine Aufsicht über die Regierung des District of Columbia zu verstärken. Der Kongress hat bereits eine Neufassung des DC-Strafgesetzbuchs aufgehoben – die den Senat mit erheblicher demokratischer Unterstützung verabschiedet hat.
Das Repräsentantenhaus hat am Mittwoch auch eine Resolution verabschiedet, um ein im vergangenen Jahr vom DC Council verabschiedetes Polizeireformgesetz aufzuheben, obwohl dieser Schritt im Senat düsterere Aussichten hat und Präsident Joe Biden bereits angekündigt hat, dass er bei Bedarf ein Veto dagegen einlegen würde.