So regelmäßig wie das passiert, so regelmäßig haben wir uns im Parlament in den letzten Jahren mit der IT-Sicherheit von kritischer Infrastruktur auseinandergesetzt. Damit darf vielleicht ein Fragezeichen hinter die Notwendigkeit und Sinnhaftigkeit dieser Aktuellen Stunde gesetzt werden; das aber nur am Rande.
Dass es keinen hundertprozentigen Schutz gibt, ist im Übrigen kein reines Phänomen der digitalen Welt, sondern trifft gleichermaßen auf die analoge Welt zu. Daraus folgen meines Erachtens zwei Konsequenzen:
Erstens. Es braucht im Fall von Missbrauch und Angriffen Aufklärungs- und Strafverfolgungseinheiten, die technisch und personell gut ausgerüstet sind.
Zweitens. Es braucht eine gute Präventionsarbeit. Zur Aufklärung und Strafverfolgung investiert die Landesregierung in Nordrhein-Westfalen regelmäßig, sodass wir auch hier künftig gut aufgestellt sind.
In NRW haben wir glücklicherweise mit der schon erwähnten ZAC und Ähnlichem Spezialisten, die für diese Art der Kriminalität gut gerüstet sind.
Ich will mich auf die Prävention konzentrieren. Natürlich legen wir Wert auf Vorbeugung; das ist ein ständiger Lern- und Verbesserungsprozess. Es ist eine politische Aufgabe, diesen Lern- und Verbesserungsprozess zu unterstützen, einzufordern und, wo notwendig, auch mit gesetzlichen Vorgaben zu reglementieren.
Der gerade eben angesprochene Angriff auf das Lukaskrankenhaus ist ein sehr gutes Beispiel dafür, wie aus einer Krise die richtigen Schlüsse gezogen werden konnten – nicht nur im Lukaskrankenhaus selbst, sondern für die IT-Sicherheit an nordrhein-westfälischen Krankenhäusern insgesamt.
Ein ganz wesentlicher Schlüssel dafür sind die regelmäßige Bildung des Personals mit IT-Ausstattung und ein sensibler Umgang mit Daten.
Wenn wir uns die konkrete Ausgangslage in Nordrhein-Westfalen anschauen, stelle ich fest, dass uns Datensicherheit und der Schutz kritischer Infrastrukturen so wichtig sind, dass die Landesregierung mit einem Sonderinvestitionsprogramm vom August Krankenhäuser aktuell mit 750 Millionen Euro und die Unikliniken mit 1 Milliarde Euro fördert.
Sie sind uns so wichtig, dass on top im Jahr noch einmal 2 Millionen Euro allein für die IT-Infrastruktur in Universitätskliniken hinzukommen und das Wirtschaftsministerium an einer Verwaltungsvereinbarung mit dem BSI arbeitet, um das Know-how der Cybersicherheit für Unternehmen in Nordrhein-Westfalen nutzbar zu machen.
Deswegen möchte ich sowohl auf die Arbeit des BSI als auch des CERT hinweisen. In diesem Antrag wird völlig außer Acht gelassen, dass beide Behörden erhebliche Arbeit zur Verteidigung kritischer Infrastrukturen und öffentlicher Einrichtungen im Land leisten. So ist das Universitätsklinikum Düsseldorf schon seit 2018 vom BSI zertifiziert.
Wir haben 2005 das Computer Emergency Response Team NRW gegründet und es mit der Erkennung und Abwehr von Cyberbedrohungen, der Aufdeckung und Behebung von Schwachstellen und der nachhaltigen Vorbeugung durch Wissensvermittlung für Behörden und öffentliche Einrichtungen beauftragt.
Also: Wir haben das BSI für kritische Infrastruktur, wir haben das CERT für Behörden und öffentliche Einrichtungen – und jetzt kommt der Clou: Selbst für Unternehmen und weitere Einrichtungen, die nicht unter diese kritischen Infrastrukturen fallen, gibt es diese Beratungsangebote beim BSI umsonst. Die NRWLandesregierung legt ihr Augenmerk also bereits auf die Infrastruktur der IT in unserem Land.
Die Überschrift des Antrags – das sei mir an dieser Stelle gestattet – musste ich dreimal lesen und darüber grübeln, was denn eigentlich ein „langes Problem“ ist. Interessant wäre es, irgendwann einmal zu klären, was denn vielleicht ein längeres oder das längste Problem ist.
Für mich steht jedenfalls fest, dass das größere Problem in Ihrem Antrag ist, dass Sie behaupten, dass das Krankenhauszukunftsgesetz 2020 – auf das wir uns mit seinen 4,3 Milliarden Euro Fördergeldern vom Bund alle sicherlich sehr freuen – bereits beschlossen sei.
Das steht aber leider erst noch aus, wenn auch sehr zeitnah. Das habe ich herausgefunden, obwohl ich kein Gesundheitspolitiker bin. Aber mit einmal Googeln und mit einem Telefonat habe ich das feststellen können.
Wenn noch nichts beschlossen wurde, ist natürlich auch noch nichts bewilligt. Deswegen konnten auch noch keine Fördermittel abgerufen werden, was Sie hier in Ihrem Antrag unterstellen. Das möchte ich klarstellen, weil dies leider auch eine bekannte Nachrichtenagentur aufgegriffen hat. Deswegen trage ich gerne zur Aufklärung bei.
Wir freuen uns natürlich, wenn wir zukünftig auf diese Investitionen in Nordrhein-Westfalen zurückgreifen können. – Vielen Dank.
Sehr geehrter Herr Präsident! Liebe Kolleginnen, liebe Kollegen! Der Antrag zur Aktuellen Stunde adressiert aus meiner Sicht ein wichtiges Thema, nämlich die IT-Sicherheit in Krankenhäusern als Teil der kritischen Infrastruktur in Deutschland.
Der aktuelle Fall der Universitätsklinik in Düsseldorf ist dramatisch. Seit einer Woche ist ein Regelbetrieb aufgrund einer Cyberattacke nicht mehr möglich. Für Patientinnen und Patienten entfallen damit auch langfristig geplante Behandlungen und Operationen. Eine Beteiligung an der Notfallversorgung ist aktuell nicht leistbar.
Nach Aussage des Ärztlichen Direktors und des Berichtes an den Rechtsausschuss, den wir heute Morgen erhalten haben, wird die Beseitigung der Ausfälle erst in den nächsten Wochen gelingen.
Das verdeutlicht die Dimension des eingetretenen Schadens und wirft natürlich eine Reihe von Fragen auf, zumal die Prüfung der Staatsanwaltschaft möglicherweise auf den Vorwurf der fahrlässigen Tötung
in einem Fall ausgedehnt wird, wie wir heute auch durch den Bericht an den Justizausschuss erfahren haben.
Es bestätigt sich zunächst einmal die Einschätzung der im Antrag zitierten Studie des Bundesamts für Sicherheit in der Informationstechnik, dass die Krankenhäuser vor großen Herausforderungen stehen, um die notwendigen Grundlagen für die Informationssicherheit zu schaffen.
Hintergrund ist die problematische Sicherheitskultur in Krankenhäusern, die häufig eher unstrukturiert entstandene IT-Landschaft mit mannigfachen Anwendungen und vernetzbaren IT- und Medizingeräten mit unterschiedlichen Sicherheitsstandards sowie die nicht ausreichenden finanziellen Ressourcen der Klinikbetreiber. Ich zitiere mit Erlaubnis des Präsidenten aus der BSI-Studie:
„Grundsätzlich wurde im Rahmen der Betreiberbefragungen festgestellt, dass sich ein systematisches IT-Risikomanagement in vielen Häusern noch nicht auf dem notwendigen Niveau bewegt. So werden IT-Sicherheitsmaßnahmen nur teilweise risikoorientiert geplant. In Bezug auf die ITRisiken besteht bislang lediglich eine unvollständige Bedrohungsanalyse […], mit der Folge, dass zumeist vor- oder nachgelagerte Prozesse eine zu geringe Berücksichtigung in der Risikoanalyse finden.
Schutzkonzepte und Compliance-Regelungen werden oftmals nur unvollständig entwickelt und eine darauf aufbauende Schulung findet häufig nicht im erforderlichen Umfang statt. IT-basierte Schulungen beschränken sich zudem in der Regel auf Datenschutz-Themen. Darüber hinausgehende Einübung von Bewältigungsmaßnahmen im Rahmen eines Notfallmanagements (bspw. für manuelle Ersatzverfahren, die bei einem stunden- oder tageweisen Serverausfall angewendet wer- den müssten) finden kaum statt.“
Nun könnte man sich vor dem Hintergrund der Beschreibung der Einschätzung des Antragstellers anschließen, aber so einfach will ich es mir nicht machen, weil es nicht alleine eine Frage des Geldes ist; das habe ich hier gerade auch zum Ausdruck gebracht.
Herr Braun hat bereits darauf verwiesen, dass in die Kliniken und Universitätsklinika nicht unerhebliche Investitionsmittel fließen – auch hier in NordrheinWestfalen.
Die Frage ist allerdings, ob diese Investitionsmittel wirklich hinreichend mit dem Thema „IT-Sicherheit“ adressiert wurden. Erst das jetzt noch final zu verabschiedende Krankenhauszukunftsgesetz enthält die Verpflichtung, minimal 15 % in IT-Sicherheit zu investieren.
Herr Dr. Vincentz, dieses Gesetz ist übrigens nicht auf die großen Häuser beschränkt, sondern es sollen alle Krankenhäuser zum Zuge kommen; so ist jedenfalls unser Kenntnisstand. Das ist wichtig, denn die Botschaft ist einfach falsch adressiert, weil damit wieder Ängste geschürt werden, die nicht berechtigt sind.
Ich will sehr deutlich machen, dass es, anders als der Antrag suggeriert, auf Bundesebene in den letzten Jahren erhebliche Anstrengungen gegeben hat, kritische Infrastruktur robuster gegen Cyberkriminalität aufzustellen.
Sie wissen auch, dass das Universitätsklinikum Düsseldorf unter den Begriff der kritischen Infrastruktur fällt und insoweit ein erhebliches Risikomanagement etablieren musste. Das ist der sogenannte B3SStandard für Kliniken, die zur kritischen Infrastruktur zählen, der insgesamt 37 Managementanforderungen vorsieht.
Innerhalb dieses Risikomanagements müssen Krankenhäuser der medizinischen Maximalversorgung ein betriebliches Kontinuitätsmanagement entwickelt. Dazu müssen zunächst kritische Systeme, Komponenten oder Prozesse mit hohem Risiko identifiziert werden.
Für die Bereiche, deren Ausfall einen hohen Schaden verursacht, müssen Geschäftsfortführungs-, Notfall- und Wiederanlaufpläne erstellt werden.
Diese Pflicht zur Identifizierung kritischer Leistungen in Verbindung mit der Gefährdungsanalyse bildet die Grundlage eines betrieblichen Kontinuitätsmanagements. Dies alles soll dazu dienen, einen Fall wie den des Universitätsklinikums Düsseldorf zu vermeiden.
Nun sprechen wir hier über eine Einrichtung des Landes Nordrhein-Westfalen. Natürlich wirft es Fragen auf, wenn eine Einrichtung des Landes, die dem Schutz kritischer Infrastruktur unterliegt, möglicherweise auf Wochen ihre Arbeit nicht wieder hochfahren kann.
Ich will nicht Ursache und Wirkung verwechseln, aber die Fragen zum Stand der Umsetzung des betrieblichen Kontinuitätsmanagements und zum Stand der IT-Sicherheit an allen Universitätskliniken werden wir in den zuständigen Fachausschüssen stellen und sicherlich auch diskutieren müssen.
Wir haben gerade im Wissenschaftsausschuss einen umfangreichen Bericht zu den ebenfalls nicht unerheblichen IT-Angriffen auf die Wissenschafts- und Forschungsinfrastruktur in Nordrhein-Westfalen erhalten.
Wenn ich den Bericht des Rechtsausschusses richtig gelesen habe, besteht zumindest der Verdacht, dass sich der aktuelle Angriff ebenfalls eigentlich gegen
Wir haben zur Kenntnis genommen, dass die Hochschulen anstreben, ab 2021 die Basisabsicherung nach IT-Grundschutzmethodik des BSI oder das ITGrundschutzprofil für Hochschulen des ZKI anzuwenden.
Wir werden an dieser Stelle sehr intensiv nachfassen – ich will das so deutlich sagen –, ob diese Regelungen auch wirklich zur Anwendung kommen. Wir brauchen einen intensiveren Schutz für unsere Einrichtungen.
Dieser Fall hat deutlich gemacht, dass wir dieser Frage auch in unserer Debatte mehr Raum geben müssen, damit sich Fälle wie diese, die sich aktuell abgespielt haben, in Zukunft möglichst nicht in Einrichtungen des Landes wiederholen. – Herzlichen Dank für die Aufmerksamkeit.
Herr Präsident! Liebe Kolleginnen und Kollegen! Wir sehen an dem aktuellen Fall neben den Spekulationen, die gerade hier und da geäußert wurden und zu denen ich während des laufenden Ermittlungsverfahrens ebenfalls nicht Stellung nehmen möchte, vor allen Dingen: Wie sehr die Digitalisierung die Patientenversorgung und die Arbeit von Ärztinnen und Ärzten sowie Pflegerinnen und Pflegern verbessert und erleichtert hat, merkt man an der Stelle, an der sie wegfällt.
Ich möchte zunächst einmal all denen, die an der Uniklinik gerade ihren Dienst tun, nämlich den Ärztinnen und Ärzten sowie den Pflegerinnen und Pflegern, für ihre Arbeit ganz herzlich danken, die sie unter den schwierigeren Bedingungen leisten, die gerade vorherrschen.