schalen bestmöglich investiert und in welchen Bereichen notwendige Modernisierungen vorgenommen werden.
Wie jede Behörde und jedes andere Unternehmen tragen auch die Krankenhäuser selbst die Verantwortung für den Aufbau und die Aktualisierung von Sicherheitsmaßnahmen, gerade im IT-Bereich.
an geschützte Daten zu gelangen oder Systeme lahmzulegen, lassen sich in der heutigen digitalisierten Welt trotz präventiver Schutzmaßnahmen nicht gänzlich verhindern. Fast täglich werden neue Trojaner und Viren in den Umlauf gebracht, und leider verhält es sich bei der Aktualisierung von Antivirussoftware wie mit Impfstoffen: Eine bösartige Bedrohung muss zunächst entdeckt und entschlüsselt werden, bevor ein Schutz entwickelt werden kann.
Bei den Attacken auf die Krankenhäuser in Neuss und Arnsberg, die die Piraten zum Anlass für die heutige Diskussion nehmen, bestand zu keiner Zeit eine Bedrohung für die Patientinnen und Patienten. Nicht zuletzt die hohen Standards in den Krankenhäusern in NRW haben dazu beigetragen, dass die Notfallversorgung zu jeder Zeit gewährleistet war. Auch andere Krankenhäuser wie die Kliniken in Essen waren ebenfalls Hackerangriffen ausgesetzt, konnten die Attacken aber abwehren und ihre Systeme vor Viren schützen, weil ihre Abwehrmechanismen gegriffen haben.
Herr Kollege Yüksel, Entschuldigung, dass ich Sie unterbreche. Herr Kollege Lamla würde Ihnen gern eine Zwischenfrage stellen.
Nein. – Die Vorfälle zeigen, dass ein Teil der Krankenhäuser bereits nachgerüstet hat und den Cyberattacken nicht schutzlos ausgeliefert ist. Die Infizierung der Krankenhaussysteme konnte vor allem durch das Öffnen von unbekannten E-Mails und Anhängen gelingen.
Liebe Kolleginnen und Kollegen, wie Sie sicherlich aus persönlicher Erfahrung mit Ihren Landtags-MailAccounts wissen, landen auch bei uns trotz Spamfilter jeden Tag unbekannte Nachrichten. Gegen Malware gibt es kein Allheilmittel, und dagegen hilft auch keine pauschale Erhöhung der Investitionsförderung. Die Kliniken können eigenverantwortlich über diese Mittel verfügen und dort nachrüsten, wo in ihrem Haus am dringendsten Modernisierungsbedarf besteht. Die jüngsten Vorfälle waren sicherlich ein Weckruf, zeigen aber auch, dass viele Krankenhäuser im Bereich IT-Sicherheit bereits gut vorbereitet sind und ihre Mitarbeiterinnen und Mitarbeiter gezielt vorbereitet haben.
Darüber hinaus steht die Landesregierung in regelmäßigem Austausch mit der Krankenhausgesellschaft, um die Krankenhäuser zu sensibilisieren und über die Gefahren durch Cyberattacken aufmerksam zu machen.
Weiterer Regulierungsbedarf seitens des Gesetzgebers besteht aus unserer Sicht somit nicht. Über die weiteren Aspekte werden wir dann im Ausschuss miteinander zu reden haben. Sie haben auch angekündigt, eine Anhörung beantragen zu wollen. Dann reden wir auch gern in einer Anhörung, um das Thema vertiefen zu können. – Danke für Ihre Aufmerksamkeit.
Frau Präsidentin! Meine sehr verehrten Damen und Herren! Die Digitalisierung unserer Welt führt nicht nur in eine rosige Zukunft. Leider ist sie auch mit neuen Formen der Kriminalität und neuen Unsicherheiten verbunden.
Die Angriffe durch Schadsoftware auf Krankenhäuser in den vergangenen Wochen, die Angriffe auf Verwaltungen und Unternehmen bis hin zu privaten Computern zwingen alle Nutzer, geeignete Schutzmaßnahmen zu ergreifen und sie ständig zu verbessern. Die Auswirkungen von Angriffen auf ITSysteme von Krankenhäusern sind in der Presse hinlänglich dargestellt worden. Wir haben auch im Gesundheitsausschuss bereits darüber gesprochen. Auch wenn die Gesundheitsministerin dort versichert hat, dass die medizinische Versorgung der Patientinnen und Patienten zu keinem Zeitpunkt gefährdet gewesen sei, dass es bisher nur um Daten oder nur um die Verschiebung von Operationen oder die Verlegung von Terminen gegangen sei, darf politisch verantwortungsvolles Handeln jedoch nicht außer Acht lassen, dass solche Attacken selbstverständlich zu großer Verunsicherung bei Patientinnen und Patienten führen.
Nicht auszudenken, was passiert, wenn medizinische Geräte in OP-Sälen oder auf Intensivstationen angegriffen würden und dies zu Ausfällen führen würde. Wenn ich zum Beispiel in der Presse lese, dass medizinische Apparate auf dem Sicherheitsniveau der 80er- oder 90er-Jahre sind – Hacker haben in deutschen Kliniken ein leichtes Spiel, heißt es dort –, dann dürfen wir uns nicht mit Äußerungen, es sei nichts passiert, beruhigen.
Cyberkriminalität ist ein schnelllebiges Geschäft, und die kriminellen Entwickler scheinen uns mehr als nur einen Schritt voraus zu sein. Das kann und darf nicht sein. Deswegen muss gehandelt werden.
Meine Damen und Herren, grundsätzlich ist es selbstverständlich Sache der Krankenhäuser, für ITSicherheit auf einem Niveau, das dem Stand moderner Sicherheitstechnik entspricht, zu sorgen.
Herr Kollege Düngel, es geht an der Stelle auch nicht ums Geld, sondern es geht um die Betriebsorganisation, die die Krankenhäuser sicherzustellen haben, wobei ich selbstverständlich weiß, dass die Investitionskostenförderung der Krankenhäuser in Nordrhein-Westfalen nicht ausreichend ist. Aber hier geht es in erster Linie um die Betriebsorganisation.
Viele Krankenhäuser sind sich der Probleme bewusst und arbeiten zum Beispiel mit eigenen ITSicherheitsexperten zusammen. Krankenhäuser
brauchen in der Tat Konzepte, um ihre Netzwerke und die sensiblen Patientendaten zu sichern und einen möglichen Zugriff von außen auf das Netzwerk und computergestützte Geräte zu verhindern.
In diesem Zusammenhang möchte ich sagen: Es ist keine Lösung, einheitliche Standards festzulegen, sondern hier sind – natürlich mit Rücksicht auf die individuellen Bedürfnisse der jeweiligen Krankenhäuser und deren Organisation – individuelle Konzepte erforderlich.
Worum geht es uns, meine sehr verehrten Damen und Herren? Uns geht es um die Versorgungssicherheit. Denn was passiert, wenn landesweit – flächendeckend, wie in diesem Fall – 30 Krankenhäuser gleichzeitig derart betroffen sind, dass nichts mehr geht? Dann ist die medizinische Versorgung der Bevölkerung sehr wohl gefährdet, und dann geht es nicht mehr um einen zu regelnden Einzelfall. Da ist in der Tat die Landespolitik, insbesondere auch das Gesundheitsministerium, Frau Ministerin Steffens, gefordert, und zwar, wenn Sie so wollen, vorsorgend.
Aus diesem Grund, der leider nicht unwahrscheinlich erscheint, brauchen wir spezifische Notfallpläne für den Fall von Cyberattacken auf Krankenhäuser. Ich habe im Ausschuss danach gefragt. Sie haben darauf geantwortet. Aber, wie gesagt, bei der Frage, was passiert, wenn gleichzeitig viele Krankenhäuser flächendeckend betroffen wären, sodass eben nichts mehr geht – ich vereinfache das jetzt –, ist in der Tat die Landespolitik gefordert. Für diesen Fall müssen Maßnahmen her – es müssen ja nicht unbedingt gesetzliche Maßnahmen sein –, die zumindest die Versorgung der Patienten vor Ort dann auch sicherstellen. Das muss im Ausschuss noch einmal detailliert erörtert werden. Aber in der Sache muss die Landesregierung federführend sein; sie darf sich an der Stelle nicht wegducken.
Auch präventive Handlungsempfehlungen, Beratungen, ein Warnsystem bei akuten Bedrohungen sind Themen, über die wir dann sprechen müssen. Der
Überweisung an den Ausschuss stimmen wir selbstverständlich zu. – Ich danke für Ihre Aufmerksamkeit.
Vielen Dank, Herr Kollege Preuß. – Für die Fraktion Bündnis 90/Die Grünen spricht Herr Kollege Ünal.
Frau Präsidentin! Liebe Kolleginnen und Kollegen! Meine Damen und Herren! Die zunehmende Digitalisierung der Krankenhäuser, die immer stärker werdende Vernetzung zwischen verschiedenen Abteilungen und die Tendenz, alle Abläufe zu digitalisieren, können natürlich den Klinikbetrieb verbessern, machen ihn aber auch angreifbar und risikobehaftet.
In unserer heutigen digitalisierten Welt sind Cyberangriffe leider kein neues Phänomen, auch in Krankenhäusern nicht. Es gibt bundesweit immer mehr Fälle, in denen Computersysteme von Krankenhäusern mit Schadsoftware angegriffen werden. Im vergangenen Jahr waren nach der Meldung der Krankenhausgesellschaft NRW auch hier Krankenhäuser davon betroffen.
28 Krankenhäuser sind tatsächlich betroffen. Damit aber keine Legendenbildung entsteht: Nur zwei Krankenhäuser waren von diesen Angriffen so weit betroffen, dass sie die Notfallversorgung teilweise abmelden mussten. Das klingt sehr dramatisch. Aber im Krankenhausalltag ist die Abmeldung der notfallmedizinischen Versorgung nichts Dramatisches. Sehr viele Krankenhäuser melden sich ab, wenn sie keine Kapazitäten mehr haben, damit die Patienten in andere Krankenhäuser transportiert werden.
Ja, auch in anderen Krankenhäusern, auch in privaten Einrichtungen und natürlich in sehr vielen Firmen gibt es ständig solche Angriffe. Dagegen gibt es keine hundertprozentige Sicherheit. Man kann nur die Systeme ständig erneuern, aufrüsten, damit man das Risiko minimiert.
Allerdings gibt es nicht in allen Krankenhäusern, wie Sie pauschal gesagt haben, eine IT-Ausstattung von 1980, sondern nach Meldung der Krankenhausgesellschaft haben sie sehr viele Krankenhäuser auch erneuert. Sie sind gezwungen, ihre Systeme zu erneuern, weil sie alle Abläufe digitalisieren. So gesehen, meine Damen und Herren, geht man in den Krankenhäusern, die in erster Linie selber zuständig sind, aber auch in der Krankenhausgesellschaft sehr sensibel mit dem Thema um.
In den letzten Jahren ist Folgendes passiert: Die Landesregierung hat die Mittel für die Wiederbeschaffung kurzfristiger Anlagegüter um 24 Millionen € erhöht. Im Moment stehen den Krankenhäusern Landesmittel in Höhe von 317 Millionen € zur Finanzierung kurzfristiger Anlagegüter zur Verfügung. Aber jedes Krankenhaus ist – entweder durch Aufsichtsrat oder Vorstand – selber dafür verantwortlich, wohin diese finanziellen Mittel fließen und welche ITSysteme sie im Krankenhaus aufbauen. Angesichts der vielfältigen Trägerschaft der Krankenhäuser kann das Gesundheitsministerium des Landes nicht alles selber bestimmen. Das Geld ist bereitgestellt. Die Krankenhäuser müssen selber entscheiden, welche IT-Systeme sie einführen.
Ich glaube, wir werden sachlich im Ausschuss darüber diskutieren. Wenn Sie gestern bei der Krankenhausgesellschaft gewesen sind, dann wissen Sie, dass die Krankenhausgesellschaft sensibilisiert ist. Alle Krankenhäuser sind angeschrieben worden. Die Mitarbeiter sind sensibilisiert, wie sie bei solchen Angriffen reagieren müssen. So gesehen ist das Notwendige eingeleitet.
Wir stimmen natürlich der Überweisung zu. Ich freue mich auf die Diskussionen im Fachausschuss. – Vielen Dank für Ihre Aufmerksamkeit.
Frau Präsidentin! Sehr geehrte Damen und Herren! Wenn ich meine Vorredner so höre, möchte ich sagen: Ganz so einfach machen dürfen wir es uns auch nicht. – Herr Yüksel, mein Rechner bekommt auch regelmäßig irgendwelche Spams oder virenbehaftete Nachrichten. Aber in dem Fall bringen wir auch keine Patienten in Gefahr, wie es hier passieren kann. Es ist Gott sei Dank noch nichts passiert, aber das zeigt doch die Anfälligkeit unseres Gesundheitswesens.
Über die relativ ungezielten Angriffe hinaus wären auch deutlich gravierendere Attacken vorstellbar. So könnten Daten manipuliert oder an Dritte weitergegeben werden. Denkbar wäre sogar ein Onlinezugriff auf medizinische Geräte, bei dem lebenserhaltende Systeme abgestellt werden. Das mögen derzeit noch Horrorvisionen sein, wir müssen aber jetzt schon vorbeugen. Die Verhandlungen vonseiten des Bundesamtes für Sicherheit in der Informationstechnik und auch der Krankenhausgesellschaft NRW dürfen hier nicht überhört werden.
Der Umgang mit sensiblen Daten und lebenswichtiger Technik erfordert eine besondere Verantwortung. Deshalb brauchen wir mehr Aufmerksamkeit für die
IT-Sicherheit in den Krankenhäusern. Dazu zählen eine Ausstattung mit modernen IT-Systemen und der Austausch veralteter Betriebssysteme wie Windows XP genauso wie die intensive Schulung der eigenen Mitarbeiter und die Einstellung qualifizierter ITFachkräfte. Insofern zielt der vorliegende Antrag in die richtige Richtung.
IT-Sicherheit erfordert aber insbesondere auch höhere Investitionen in die IT-Infrastruktur. Die Ministerin hat dazu auf die Landesmittel zur Wiederbeschaffung kurzfristiger Anlagegüter verwiesen. Das verkennt aber, dass die Krankenhäuser sowieso unter einem Investitionsstau leiden, der sich nicht erst seit gestern durch die Krankenhauslandschaft zieht. Die Landesregierung gibt zwar vor, sich bei der Investitionsförderung stärker zu engagieren, das reicht aber längst nicht aus.
Die FDP-Fraktion hat in den Haushaltsberatungen deshalb eine weitere Erhöhung der Investitionsmittel um 2 Millionen € gefordert. Das wäre zumindest ein kleiner Schritt angesichts des bekannten Investitionsstaus und der weit höheren Bedarfe.
Auf das IT-Sicherheitsgesetz des Bundes sollten wir hingegen nicht zu große Hoffnungen setzen. Zusätzliche Dokumentations- und Meldepflichten sind mit einem hohen bürokratischen Aufwand verbunden, ohne die Sicherheit konkret zu erhöhen.
Nur mit Investitionen in Technik und Mitarbeiter werden wir Verbesserungen erreichen. Dazu brauchen die Krankenhäuser und ihre Träger mehr Unterstützung des Landes, sonst werden wir sie überfordern. – Ich freue mich auf die Beratungen im Ausschuss und danke für Ihre Aufmerksamkeit.
Vielen Dank, Frau Kollegin Schneider. – Für die Landesregierung hat jetzt Frau Ministerin Steffens das Wort.