Verwaltung stopft digitale Sicherheitslücken
IT-Firma hat gravierende Mängel gefunden. Unbefugte hätten mit einfachen Mitteln auf vertrauliche Daten zugreifen können.
Sprockhövel. Sicherheitskopien funktionierten nicht, das Computernetzwerk bot Bösewichten viele Angriffsmöglichkeiten — bei der externen Prüfung der Sprockhöveler Stadtverwaltung durch eine IT-Firma (WZ berichtete) traten auch verschiedene Datensicherheitsprobleme zu Tage. Viele davon waren bereits im Juli 2015 bekannt. Im September 2015 wurde die Stadtführung über die Probleme informiert und eine Liste erforderlicher Maßnahmen erstellt. Aus personellen und finanziellen Engpässen heraus wurde davon jedoch nur der erste Punkt abgearbeitet und der Rest ignoriert.
Jetzt geht die Stadtverwaltung das Problem mit neuem Elan an. Die EDV-Abteilung wird zum 1. Januar 2018 von drei auf vier Mitarbeiter aufgestockt. „Wir haben mehr als 180 Arbeitsplätze und mehr als 60 Fachanwendungen — da waren drei Mitarbeiter einfach zu wenig“, sagt die Beigeordnete Angeli Bülow — zumal sich der Leiter der EDV-Abteilung auch viel um strategische Fragen kümmern muss. Der Mitarbeiter, der nebenher eine IT-Firma betreibt und bisher auch Computer an die Stadt lieferte, scheidet aus der Stadtverwaltung aus. Sein Nachfolger ist schon im Amt. Am 13. November gab es einen ersten Workshop mit allen vier zukünftigen Mitarbeitern. „Da haben wir zu einem guten Ergebnis gefunden“, lobt Angeli Bülow. Auch der Arbeitskreis Datensicherheit soll reaktiviert werden und am 11. Dezember tagen.
Er hat viel zu tun, wie der im Rat vorgestellte Bericht des Rechnungsprüfungsamtes zeigt. Einige der dringlichsten Probleme wurden bereits beseitigt: So fiel beim IT-Check auf, dass das automatische Daten-Backup nicht funktionierte. Rechtlich ist vorgeschrieben, dass die Daten einer Stadtverwaltung auf Bändern gespeichert und an einem sicheren Platz gelagert werden. Das passierte offenbar schon seit Jahren nicht mehr. Mit Hilfe des Herstellers wurde das Backup-System jetzt repariert. Seit Oktober werden dies Sprockhöveler Daten regelmäßig gesichert und die Bänder in einem Tresor der Sparkasse eingelagert.
Die Mitarbeiter der Stadtverwaltung sollen bezüglich der Daten- und IT-Sicherheit mindestens einmal im Jahr geschult werden. So wurden sie inzwischen dazu angehalten, ihre Passwörter in regelmäßigen Abständen — spätestens alle halbe Jahre — zu ändern. Auch die Benutzerkennworte wurden neu vergeben. Die Computer der Stadtverwaltung sperren sich jetzt nach acht Minuten ohne Aktion automatisch. Wenn der letzte Mitarbeiter sein Büro verlässt, muss er es abschließen. Geplant ist auch eine Festplattenverschlüsselung aller Arbeitsplätze, falls etwa ein Rechner gestohlen wird.
Ein Sicherheitsproblem sahen die Fachleute auch in den Netzwerkdosen, an denen sich freie Ports befinden. „Damit kann sich jeder einen Zugang zu den Unternehmensdaten und die IT-Landschaft verschaffen, zum Beispiel, wenn ein fremdes Notebook im Flur an einer Netzwerkdose angeschlossen wird“, warnt Stefan Rose, Leiter des Rechnungsprüfungsamtes. Hier sei eine Netzwerk-Kontroll-Lösung erforderlich. Das neue EDV-Team muss sich nun auch intensiv um die Aktualisierung veralteter Software kümmern, um Sicherheitslücken zu beheben. Hierfür schlagen die Experten ein Konzept vor, um alle Updates im Blick zu behalten. Der DNS-Server muss ebenfalls intensiver gepflegt werden.