Dem Grunde nach hat die Bundespolitik das große Schadpotenzial erkannt und listet Krankenhäuser auch in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz auf – allerdings erst, wenn diese Häuser 30.000 stationäre Fälle im Jahr betreuen. Das machen die wenigsten Krankenhäuser, genau genommen nur 21 von 344. Natürlich sind das gerade nicht die auf dem Land.
Wir wissen auch aus anderen Zusammenhängen, dass sich in unseren Kliniken ein beträchtlicher Investitionsstau gebildet hat. Die digitale Ausstattung ist da keine Ausnahme.
Eine KPMG-Studie aus dem vergangenen Jahr ergab, dass knapp 60 % der Krankenhausverantwortlichen große bis sehr große Hürden sehen, um sich im Bereich der IT-Sicherheit auf dem Stand der Dinge zu halten. Ein Drittel der Häuser hat keine Digitalisierungsstrategie. Im Schnitt rechnet man pro Klinik mit einem Investitionsbedarf von 1,7 Millionen Euro, also landesweit mit insgesamt 347 Millionen Euro.
Es ist klar – da sind wir uns sicher einig –, dass wir sie damit nicht alleinlassen dürfen. Ein Sprecher von Bitkom erklärte kürzlich, dass viele Krankenhäuser mit veralteten IT-Systemen arbeiten, für die es häufig nicht einmal mehr Updates gibt. Neben dem geeigneten Material fehlt es vielerorts auch an entsprechend qualifiziertem Personal.
Dieser Zustand schafft nicht nur ein hohes Ausfallrisiko, er gefährdet auch in hohem Maße sensibelste Patientendaten. Wir haben mehrfach erlebt, was Doxing den Betroffenen antun kann. Doxing mit medizinischen Informationen kann die Betroffenen unter Umständen aber noch viel härter treffen.
Deshalb darf es nicht dabei bleiben, dass die ITSicherheit für viele Kliniken immer noch Neuland ist, wie die „Ärzte Zeitung“ im vergangenen Jahr titelte.
Unser Antrag fordert da keine Wunder. Aber es ist dann schon etwas mehr und etwas konkreter als die gestern vorgestellte Digitalstrategie der Landesregierung. Darin heißt es nur lapidar:
„Im Rahmen der aktuellen Möglichkeiten bauen Krankenhäuser schrittweise eine leistungsfähige, sichere IT-Infrastruktur auf und setzen verstärkt auf an klinischen Prozessen orientierte Informationssysteme.“
Erstens. Wir wollen bis 2021 alle Krankenhäuser im Land so ertüchtigen, wie es bisher nur für die 21 Krankenhäuser verlangt wird, die unter die Verordnung zur Bestimmung Kritischer Infrastrukturen fallen.
Zweitens. Weil wir wissen, dass die Kliniken dazu finanziell aus eigenen Kräften nicht in der Lage sind, möchten wir die Kosten aus dem Landeshaushalt bestreiten.
Vorstellbar wäre auch, sich zunächst auf die Häuser zu beschränken, die für die regionale Versorgung eine besonders große Rolle spielen, unabhängig von der Zahl der stationären Aufnahmen.
Langfristiges Ziel muss aber in jedem Fall sein, dass alle Kliniken entsprechend ausgerüstet sind; denn es muss nicht nur die Versorgungssicherheit, sondern auch die Sicherheit von Patientendaten gewährleistet sein. Das gilt insbesondere deshalb, weil zukünftig weit mehr Patientendaten gespeichert werden als bisher. Es geht nicht mehr nur um administrative Daten oder Abrechnungsdaten, sondern vermehrt auch um medizinische Informationen im engeren Sinne, wie zum Beispiel digitale Röntgenbilder.
Sehr geehrter Herr Präsident! Liebe Kolleginnen und Kollegen! Die Digitalisierung hat in allen Bereichen unseres Lebens Einzug gehalten. Auch der Gesundheitsbereich ist davon natürlich betroffen – sowohl im administrativen als auch im medizinischen Bereich.
Aber auch generell bringt die Digitalisierung enorm viele Vorteile für den Gesundheitsbereich mit sich. Ich verweise gerne noch einmal auf die gestrige Rede unseres Ministers zur Digitalstrategie, in der wir uns als Ziel gesetzt haben, bis 2020 zusammen mit der NRW-Koalition in Nordrhein-Westfalen bis zu 40.000 Arzt- und Zahnarztpraxen, über 350 Krankenhäuser und bis zu 4.400 Apotheken sowie Pflegeheime und weitere Einrichtungen des Gesundheitswesens zu vernetzen.
Somit wären Röntgenbilder und Patientendaten per Mausklick von einem Arzt zum anderen weiterzuleiten und abrufbar. Zudem könnten sich auch Krankenhausangestellte darauf verlassen, Krankenakten digital abrufen zu können und alle Informationen gesammelt vorzufinden.
Sicherlich bringt die Nutzung der IT-Infrastruktur nicht nur Vorteile, sondern auch Risiken mit sich. Aber wem erzähle ich das? Einige von Ihnen und uns konnten es bei dem Hackerangriff im Dezember letzten Jahres selbst erleben, als Daten entschlüsselt, veröffentlicht und geteilt worden sind. Selbst vor der Kanzlerin und dem Bundespräsidenten wurde nicht haltgemacht – und das nicht zum ersten Mal. Ich darf noch einmal auf den Angriff auf den Deutschen Bundestag im Februar 2018 erinnern.
Ob Politiker, Krankenhäuser oder Unternehmen: Hacker machen vor kaum einer Person oder Institution halt. Und ob es das letzte Mal war? Ich bezweifle das. Es wird auch weiterhin Angriffe geben.
Liebe Kolleginnen und Kollegen, in Ihrem Antrag verweisen Sie auf den Hackerangriff im Lukaskrankenhaus im Jahr 2012. Ich möchte kurz noch einmal rekonstruieren, wie es zu diesem Fall gekommen ist.
Am 10. Februar 2016 kam es zu einer Vielzahl von Fehlermeldungen, die die IT-Abteilung des Lukaskrankenhauses in Neuss erreichten. Grund dafür – Sie haben das eben schon gesagt – war eine E-Mail mit einem Anhang mit dem Namen „Rechnung“, die einen Trojaner enthalten hat. Ein Mitarbeiter hatte diesen Anhang geöffnet. Der Erpressungstrojaner legte das Lukaskrankenhaus lahm. Gegen einen Erpressungsbetrag von mehreren Tausend Euro hätte das Krankenhaus die Möglichkeit gehabt, eine Software zu erwerben, die das Debakel beendete. Aber zu Recht hatte sich das Krankenhaus dagegen entschieden und dem Erpresser kein Geld überwiesen.
Gemäß der eigenen IT-Planung wurde aber in der Nacht vor dem Zwischenfall ein Back-up angelegt. Somit konnte ein größerer Datenverlust verhindert werden. Das Lukaskrankenhaus konnte nach kurzer Zeit wieder arbeitsfähig gemacht werden.
In unserem Hause gab es dazu im Februar 2016 bereits einen Antrag. Dieser Antrag mit dem Titel „Die IT-Infrastruktur der Krankenhäuser in NordrheinWestfalen muss sicher sein – die Gesundheit der Patientinnen und Patienten darf nicht zum Spielball von Kriminellen im Netz werden!“ wurde hier schon behandelt. Auch darauf will ich gerne kurz noch einmal eingehen.
Im Rahmen dieses Antrags hat am 1. Juni 2016 eine Anhörung im Ausschuss für Arbeit, Gesundheit und Soziales stattgefunden. Zu dem Antrag hat der Sachverständige Roland Appel – ich zitiere mit Erlaubnis des Präsidenten – Folgendes gesagt:
„Die meisten Angriffe – die Methodik im Falle des Krankenhauses in Neuss war ähnlich – wurden durch menschliche Naivität und Versagen begünstigt. Man öffnet eine E-Mail, kann sie nicht als Spam oder Schadsoftware erkennen, und das System ist – zack – infiziert.“
Der Tenor war bei allen anderen Sachverständigen der gleiche. Auch hier wird darauf hingewiesen, dass es genauso andere Bereiche treffen kann, also nicht nur den Gesundheitsbereich.
Es war kein Zufall, dass ein Mitarbeiter die Mail geöffnet hat. Denn hier lag es daran, dass Investitionen in die IT-Technik nicht geholfen hätten. Hier wären Investitionen in die Sensibilität und das ITVerständnis der Mitarbeiter notwendig gewesen. Das hätte vielfach geholfen, ähnliche Fälle zu verhindern – auch im privaten oder persönlichen Bereich.
Wir stimmen der Überweisung an den Ausschuss natürlich zu. Ich bin auf die Beratungen gespannt. – Danke sehr.
Sehr geehrter Herr Präsident! Sehr geehrte Damen und Herren! Als ich den Antrag las, war ich doch einigermaßen erstaunt. Sie haben es tatsächlich geschafft, einen Antrag zu formulieren, in dem nicht die Flüchtlinge schuld sind,
die EU auch nicht und selbst der Klimawandel nicht geleugnet wird. Sie beschäftigen sich also tatsächlich einmal mit einer Sachfrage.
Nichtsdestotrotz geht der hier vorliegende Antrag an den Realitäten und den Bedarfen der Krankenhäuser in NRW vorbei.
Meiner Einschätzung nach wird er auch im falschen Ausschuss diskutiert; denn in Wirklichkeit muss es doch darum gehen, die Krankenhausfinanzierung auf eine solide Basis zu stellen und den Investitionsstau in den Krankenhäusern in NRW dauerhaft anzugehen. Das sind aber alles Themen, die im Ausschuss für Arbeit, Gesundheit und Soziales federführend diskutiert werden und dort auch richtig angesiedelt sind.
Die IT-Ausstattung und die damit implizierten Sicherheitsfragen in Krankenhäusern sind Teil der allgemeinen Infrastruktur des Krankenhauswesens. Mir erschließt sich zurzeit nicht, warum nun ausgerechnet der Digitalisierungsausschuss sich federführend damit beschäftigen muss und nicht stattdessen in die Mitberatung genommen wird.
Aber ich antworte Ihnen gern zu dem Thema mit den Ausführungen, die mein Kollege Serdar Yüksel bereits zu einem ähnlichen Antrag der Piraten – es ist spannend, dass Sie mit Ihrem Antrag auf die Arbeit
„Bei den Attacken auf die Krankenhäuser in Neuss und Arnsberg, …, bestand zu keiner Zeit eine Bedrohung für die Patientinnen und Patienten. Nicht zuletzt die hohen Standards in den Krankenhäusern in NRW haben dazu beigetragen, dass die Notfallversorgung zu jeder Zeit gewährleistet war.“
Der Eindruck, den Sie hier allerdings mit Ihrem Antrag vermitteln, ist dann doch wieder typisch AfD: Verunsicherung und Panikmache.
Sicher gibt es nichts, was nicht zu verbessern wäre. Hier aber so zu tun, als wären die Krankenhäuser in NRW nicht in der Lage, ihre IT-Systeme zu sichern, ist grob fahrlässig.
Wir sollten es den Krankenhäusern überlassen, welche Schwerpunkte sie wählen und wie sie ihre Pauschalen bestmöglich investieren. Jedes Krankenhaus in NRW ist anders aufgestellt und hat unterschiedlichen Investitionsbedarf.
Kurz gesagt: Wir sehen den Antrag sehr skeptisch. Die notwendigen vertiefenden Debatten werden wir im Ausschuss führen. – Vielen Dank.