Eine kürzliche Prüfung der IT-Infrastruktur der Gemeinde Horseheads hat schwere Sicherheitsmängel aufgedeckt, die die Gemeinschaft gegenüber Datenlecks und Systemausfällen gefährden könnten. Die Prüfung, durchgeführt vom New Yorker Staatsrechnungshof, untersuchte die IT-Praktiken der Gemeinde von Januar 2024 bis Mitte 2025 und identifizierte mehrere kritische Probleme.

Unüberwachte Benutzerkonten und Sicherheitsrisiken

Die Prüfung fand heraus, dass die Gemeinde 28 aktivierte Netzwerk-Benutzerkonten und fünf lokale Benutzerkonten auf den untersuchten Computern hatte. Allerdings identifizierten die Prüfer 12 Netzwerkkonten, die keinem bestimmten Mitarbeiter zugewiesen waren, und zwei Konten, die von mehreren Nutzern geteilt wurden. Zudem waren fünf Konten weiterhin aktiv, obwohl sie Mitarbeitern zugewiesen worden waren, die zwischen 1½ und fünf Jahren zuvor die Gemeinde verlassen hatten.

Die Prüfer warnten, dass diese nicht zugewiesenen, geteilten oder inaktiven Konten ein großes Sicherheitsrisiko darstellen. Angreifer könnten sie nutzen, um sensible Informationen oder Systeme zu erreichen, was zu Datenlecks oder Betriebsstörungen führen könnte. „Nicht genutzte oder geteilte Konten können Sicherheitsrisiken schaffen, da Angreifer sie nutzen könnten, um sensible Informationen oder Systeme zu erreichen“, sagte der Bericht.

Fehlende Verträge und Notfallpläne

Ein weiterer großer Mangel war die fehlende schriftliche Vereinbarung oder Service-Level-Abrede mit dem externen IT-Dienstleister, obwohl die Gemeinde 2024 14.790 Dollar für Dienstleistungen wie Systemwartung, Antiviren-Überwachung und Datensicherungen gezahlt hatte. Die Prüfer betonten, dass das Fehlen eines formellen Vertrags die Gemeinde ohne klare Erwartungen oder Verantwortung für die Leistung des Dienstleisters lassen könnte.

Auch die Notfallvorbereitung war ein Thema. Die Prüfung stellte fest, dass die Gemeinde keinen schriftlichen IT-Notfallplan hatte, der beschreibt, wie das Personal auf Störungen wie Cyberangriffe oder Systemausfälle reagieren soll. Obwohl der IT-Dienstleister täglich Datensicherungen durchführte und die Prüfer eine erfolgreiche Wiederherstellung bestätigt hatten, könnte der fehlende formelle Plan die Wiederherstellung bei einem schweren Vorfall verlangsamen.

„Obwohl der IT-Dienstleister täglich Datensicherungen durchführte und die Prüfer eine erfolgreiche Wiederherstellung bestätigt hatten, sagte der Bericht, dass das Fehlen eines formellen Plans die Wiederherstellung bei einer großen Störung verlangsamen könnte.“

Schulung und Bewusstsein der Mitarbeiter

Die Prüfung zeigte auch, dass keiner der 18 Mitarbeiter, die Zugang zum Netzwerk der Gemeinde hatten, eine Schulung zur IT-Sicherheit absolviert hatte. Staatsbeamte betonten die Bedeutung solcher Schulungen, um Mitarbeitern dabei zu helfen, Bedrohungen wie Phishing-E-Mails, schädliche Downloads oder unbefugte Zugriffsversuche zu erkennen.

„Schulungen sind entscheidend, um Mitarbeitern dabei zu helfen, Bedrohungen wie Phishing-E-Mails, schädliche Downloads oder unbefugte Zugriffsversuche zu erkennen“, sagte der Bericht. Die Prüfung stellte fünf Empfehlungen vor, darunter die Einführung schriftlicher Richtlinien zur Verwaltung von Benutzerkonten, die Schaffung eines formellen Vertrags mit dem IT-Dienstleister, die Entwicklung eines umfassenden IT-Notfallplans und die Durchführung von Cybersecurity-Schulungen für Mitarbeiter.

Die Gemeindebeamten sagten, sie hätten die Ergebnisse geprüft und planen, einen Korrekturmaßnahmenplan zu entwickeln, um die in der Prüfung identifizierten Probleme zu beheben. „Wir nehmen diese Ergebnisse ernst und sind entschlossen, die notwendigen Maßnahmen zur Stärkung unserer IT-Infrastruktur umzusetzen“, sagte ein Gemeindevertreter in einer Erklärung.

Die Prüfung unterstreicht die wachsende Sorge um Sicherheitsmängel in lokalen Regierungssystemen. Ähnliche Probleme wurden in anderen Städten in New York und den Vereinigten Staaten gemeldet, was die Notwendigkeit einer Verbesserung der IT-Sicherheitspraktiken auf lokaler Ebene betont. Angesichts der sich weiterentwickelnden Cyber-Bedrohungen könnte die mangelnde Vorbereitung in Horseheads reale Auswirkungen auf die Bewohner und lokale Dienste haben.

Bei der Umsetzung ihres Korrekturmaßnahmenplans wird die Gemeinde als nächstes die Wirksamkeit neuer Richtlinien bewerten, die Einhaltung staatlicher Vorgaben sicherstellen und den Mitarbeitern kontinuierliche Schulungen anbieten. Der Zeitplan für die vollständige Umsetzung ist noch nicht klar, doch die Beamten haben angekündigt, den Prozess eng zu überwachen, um sicherzustellen, dass alle Sicherheitslücken geschlossen werden.