Ich möchte zunächst einmal all denen, die an der Uniklinik gerade ihren Dienst tun, nämlich den Ärztinnen und Ärzten sowie den Pflegerinnen und Pflegern, für ihre Arbeit ganz herzlich danken, die sie unter den schwierigeren Bedingungen leisten, die gerade vorherrschen.
Unsere Aufgabe ist es – dabei darf man niemanden ausnehmen –, IT-Sicherheit herzustellen. Es ist keinesfalls ein Thema, das aktuell hochgekocht ist, sondern das wir 2016 – Vorredner haben es schon erwähnt – mit dem Lukaskrankenhaus bereits erlebt haben.
Was damals passiert ist, ist nicht folgenlos geblieben, sondern wir haben zusätzliche Investitionsmittel bereitgestellt, und zwar über 1 Milliarde Euro. Davon fließt ein erheblicher Teil in IT und IT-Sicherheit.
Die Krankenkassen sind in der Pflicht, für die Unterhaltung zu sorgen, was sie meines Erachtens auch
tun. Die Investition ist Aufgabe des Landes, aber der Unterhalt geht eben die Krankenkassen an. Insofern wurde das erkannt.
Seit 2018 hat die NRW-Koalition für IT-Sicherheit 2 Millionen Euro pro Uniklinik zusätzlich auf den Weg gebracht. Das ist auch ein ganz wichtiger Schritt hin zu mehr IT-Sicherheit.
Wir werden trotzdem niemals ausschließen können, dass solche Fälle auftreten. Wir werden niemals ausschließen können, dass es genau wie im analogen Leben Kriminelle gibt, die sich solche Situationen zunutze machen.
In NRW vernetzen wir nicht nur die Kliniken intern, damit der Arzt oder die Ärztin mit dem Röntgenbild nicht mehr von A nach B gehen muss, sondern es digital übermitteln kann und damit die Patientendaten digital von A nach B übermittelt werden können.
Darüber hinaus wollen wir die Kliniken auch mit Arztpraxen vernetzen. Wir wollen die Kliniken mit anderen vernetzen, die im Gesundheitswesen und in der Pflege unterwegs sind. Wir wollen ein vernetztes System schaffen, das am Ende für die Patientinnen und Patienten gut ist.
Deshalb müssen wir noch stärker den Fokus darauf legen. Insofern ist die Initiative auf Bundesebene begrüßenswert. Ich bin mir sicher, dass wir gemeinsam mit Karl-Josef Laumann weiterhin die entsprechenden Weichen im Land stellen.
Es ist eine Menge getan und investiert worden. Wir gehen den Weg weiter. Beim Wirtschaftsministerium geht es insbesondere um die Förderung der Vernetzung und um neue E-Health-Angebote, die wir auf den Weg bringen. Gerade in Ostwestfalen laufen dazu spannende Projekte. Gleichzeitig treiben wir die Vernetzung im Gesundheitswesen voran; Bund und Land arbeiten gemeinsam daran.
Ich glaube, wenn wir den Weg gemeinsam weitergehen und aus diesem Fall lernen, wie wir es in Zukunft besser machen können, dann ist eine Menge gewonnen. Die Aktualität, wie gesagt, zweifele ich an der Stelle in Grenzen an. Denn es ist eine langfristige Sache, es ist eine langfristige Aufgabe, die wir hier vor uns haben.
Ich kann Sie alle nur herzlich darum bitten, daran mitzuwirken, dass wir gemeinsam genau diesen Weg weitergehen. Wir brauchen mehr Digitalisierung im Gesundheitswesen, und das bedingt natürlich auch mehr Maßnahmen für den Schutz.
Da sind wir unterwegs. Sie können sich auf diese Regierung, auf diese Koalition verlassen, dass sie in dem Punkt mittel- bis langfristig ein erfolgreiches, sicheres System, das den Patientinnen und Patienten sowie allen Beschäftigten im Gesundheitswesen nutzt, auf den Weg bringt. – Herzlichen Dank.
Vielen Dank. – Herr Präsident! Liebe Kolleginnen, liebe Kollegen! In den letzten Tagen und auch noch in den letzten Stunden hat sich die Nachrichtenlage rund um den Angriff auf die IT-Infrastruktur der Uniklinik Düsseldorf etwas gelichtet. Es sind – das ist entscheidend, anders als im Antrag unterstellt – wohl keine Patientendaten dauerhaft zerstört oder entwendet worden. Zumindest konnten noch einige dringliche Operationen bei den bereits aufgenommenen Patienten durchgeführt werden. Neue Patientinnen werden jedoch seit Tagen nicht aufgenommen. Die Uniklinik ist nach wie vor und wohl auch noch für eine gewisse Zeit von der Notfallversorgung abgeschnitten.
Mir ist es wichtig, zu diesem Zeitpunkt zu sagen, dass sowohl in der Klinik als auch in den Sicherheitsbehörden mit Hochdruck daran gearbeitet wird, die Folgen dieses Angriffs zu bekämpfen. Das ist sicherlich auch aller Anerkennung wert.
Wir sehen jetzt keine ganz neue Entwicklung; das haben auch meine Vorredner schon betont. Seit einiger Zeit sind vermehrt Cyberangriffe auf öffentliche Einrichtungen zu beobachten. Hier stehen Verwaltungen, Krankenhäuser, Hochschulen, Forschungseinrichtungen stärker im Fokus. Wir nehmen es auch stärker wahr.
Anfang des Jahres hatte es die Uni Gießen und die dortige Uniklinik erwischt. In NRW gab es in diesem Jahr größere Angriffe auf die Universitäten in Köln, Bonn, Duisburg, Essen, Wuppertal, auf das Forschungszentrum Jülich und den erheblichen Angriff auf die Ruhr-Uni Bochum. Das heißt, die Lage hat sich offensichtlich eher verschärft als gebessert.
Wir sehen in diesem Bereich einen Rüstungswettlauf zwischen Angreifern und Verteidigern. Alle, die sich damit beschäftigten, wissen, dass letztlich jedes informationstechnische System verwundbar ist und wir nur schauen können: Wie können wir solche Angriffe bestmöglich abwehren? Wie können wir dafür sorgen, dass solche Angriffe nicht erfolgreich sind?
Wenn wir das voraussetzen, müssen wir konstatieren, dass es in den letzten Jahren einfach zu wenige Maßnahmen gegeben hat. Kürzlich gab es dazu eine ausführliche Berichterstattung im Wissenschaftsausschuss. Es ist offensichtlich nach wie vor zu wenig Geld im System. Es gibt nach wie vor zu wenige Vernetzungen der Akteurinnen.
Anfang des Jahres hatten noch viele Hochschulen keine Vollzeit-IT-Sicherheitsbeauftragten. Dementsprechend gab es dann auch keine Koordinierung
Die Sensibilisierungsvorträge des LKA wurden angesprochen, sie wurden gelobt, aber eben nur teilweise in Anspruch genommen. Die landesweiten Sicherheitsleitlinien wurden nicht einheitlich angewandt. Es hat sich auch gezeigt, dass es offensichtlich keinen wirklichen Überblick über die IT-Störfälle in der letzten Zeit gegeben hat. Jedenfalls wurden es immer mehr, je häufiger wir nachgefragt haben. Das zeigt, dass es da offensichtlich an Koordinierung fehlt.
Die Lage ist also durchaus dramatisch. Was ist zu tun? Wir brauchen mehr Geld im System für ITInvestitionen in Krankenhäuser. Die 1 Milliarde Euro, die Kollege Braun und Kollege Matheisen eben bemüht haben, ist die Grundfinanzierung der Hochschulmedizin und keine Investition allein in ITSicherheit, wie Sie hier suggeriert haben.
Die Evaluierung der Hochschulmedizin durch den Wissenschaftsrat im Frühjahr hier im Landtag hat uns ein sehr deutliches Zeugnis ausgestellt. In der Evaluierung heißt es – Zitat –: „Die IT-Infrastrukturen der Universitätsmedizin sind desolat …“ Das habe nicht ich als Oppositionspolitiker gesagt, sondern der Wissenschaftsrat als neutrale Bewertungsinstitution.
Man kann es durchaus mit Zahlen untermauern. Der Wissenschaftsrat stellt allein für die Uniklinik Düsseldorf – für den Standort, der hier in Rede steht – einen Fehlbetrag von fast 3 Millionen Euro fest. Natürlich wird dieser Bedarf weiter steigen. Denn je größer die Anforderungen an die digitale Medizin sind, desto größer sind natürlich auch die Anforderungen an ITInfrastrukturen und an Sicherheit.
Katja Kümmel, die Leiterin des Geschäftsbereichs IT am Uniklinikum Münster, sagte in einem Interview kurz vor dem Angriff auf Düsseldorf – Zitat –:
„Initiativen wie der IT-Masterplan der NRWUniklinika betonen die Bedeutung von Investitionen in die IT, aber es kommt noch viel zu wenig Geld von Land und Bund.“
Da haben wir offensichtlich ein Problem. Selbst wenn wir diese Summen investieren würden, hätten wir nach wie vor nur die IT-Grundstruktur und noch nicht speziell die Sicherheitsfragen beantwortet, genauso wie wir insgesamt im Hochschulsystem erheblichen Bedarf für Investitionen in Digitalisierungsprojekte haben.
Zweites Grundproblem: IT wird erst als Thema gesehen, wenn sie nicht funktioniert. Aber bei allen Weiterentwicklungen muss künftig die IT-Infrastruktur mitgedacht werden. In einer zunehmend digitalisierten Medizin muss diese Infrastruktur einfach da sein.
Genauso muss die Sicherheit an solchen Stellen mitgedacht werden. Immer wenn ich ein neues ITProjekt an den Start bringe, muss ich die Sicherheitsfragen in den Mittelpunkt stellen, und zwar sowohl die technische Seite als auch – wenn man die Fachdebatte ein bisschen kennt – vor allem die sogenannte Schwachstelle „Mensch“. Da brauchen wir viel mehr Präventionsarbeit. Diese Präventionsarbeit muss auch koordinierter erfolgen als bisher.
Zuletzt brauchen wir auch noch – da ist vor allem der Bund in der Pflicht – solidere rechtliche Standards, was IT-Sicherheit angeht. Das IT-Sicherheitsgesetz zählt große Krankenhäuser richtigerweise zur kritischen Infrastruktur, aber so richtig viel folgt bei der bisherigen Rechtslage noch nicht daraus. Wir brauchen endlich eine Bundesregierung, die sich dieses Thema wirklich vornimmt und klare technische, rechtliche und organisatorische Vorgaben macht, wie IT-Sicherheit im Gesundheitsbereich gewährleistet werden kann, die dann auch proaktiv vorangeht und auf die Akteurinnen und Akteure zugeht.
Ich komme zum Schluss. Ich habe jetzt einiges umrissen, aber wir haben noch eine Menge zu tun. Wir brauchen mehr Einsatz für eine bestmögliche Sicherheit. Wir wissen, dass wir diese Angriffe niemals werden verhindern können, aber wir können doch daran arbeiten, dass sie nicht erfolgreich sind und dass wir die Schäden bestmöglich begrenzen. Dafür brauchen wir mehr Einsatz, und da ist noch eine ganze Menge zu tun. – Herzlichen Dank.
Herr Präsident! Meine Damen und Herren Abgeordnete! Zunächst zur aktuellen Situation am Universitätsklinikum Düsseldorf, die den Anlass zu dem vorliegenden Antrag gab: Seit Donnerstag letzter Woche ist das IT-System weitreichend gestört; das haben Sie gelesen. Der Vorfall ist natürlich Gegenstand staatsanwaltlicher Ermittlungen.
Zum aktuellen Stand der Ermittlungen hat der Justizminister soeben einen schriftlichen Bericht an den Rechtsausschuss versendet. Der eine oder andere mag ihn bereits gelesen haben. Ich würde gerne das Wesentliche zitieren:
„Der Leitende Oberstaatsanwalt in Köln hat zu den durch die Zentral- und Ansprechstelle Cybercrime (ZAC NRW) geführten Ermittlungen zunächst unter dem 11.09.2020 … berichtet:
‚Die ZAC NRW führt ein Ermittlungsverfahren gegen Unbekannt wegen des Verdachts der Erpressung und anderer Delikte zum Nachteil des Universitätsklinikums Düsseldorf. Dort wurde in der Nacht zum 10.09.2020 festgestellt, dass unbekannte Täter etwa 30 Server des Klinikums verschlüsselt hatten.
Dies hat dazu geführt, dass Notfallpatienten nicht aufgenommen und versorgt werden können. Bestandspatienten sind nach Auskunft des Klinikums … nicht gefährdet.
Im Zusammenhang mit dieser Verschlüsselung wurde ein Erpresserschreiben, gerichtet an die Heinrich-Heine-Universität Düsseldorf … aufgefunden. In diesem Schreiben fordern die unbekannten Täter zur Kontaktaufnahme auf. Eine zu zahlende Geldsumme als Gegenleistung für die Entschlüsselung der Daten wurde … nicht benannt.
Auf polizeilicher Ebene sind die Ermittlungen im Rahmen einer Besonderen Aufbauorganisation … von dem Polizeipräsidium Düsseldorf mit Unterstützung des Landeskriminalamts … geführt. Das Bundeskriminalamt wurde ebenfalls in Kenntnis gesetzt.‘
‚Nachdem durch das Polizeipräsidium Düsseldorf Kontakt zu den Tätern auf dem von diesen zur Verfügung gestellten Kommunikationsweg aufgenommen wurde und sie darüber in Kenntnis gesetzt worden sind, dass durch den Hackerangriff ein Krankenhaus mit einer erheblichen Gefährdung der zu behandelnden Patienten betroffen sei, nahmen die Täter von dem Erpressungsversuch Abstand und händigten einen Schlüssel zur Wiederherstellung der betroffenen Daten aus.
Erste Versuche haben ergeben, dass der mitgeteilte Schlüssel tatsächlich in der Lage ist, die Entschlüsselung der Daten zu bewirken.