Liebe Kolleginnen und Kollegen, meine sehr verehrten Damen und Herren, guten Morgen! Ich darf Sie zur 86. Plenarsitzung begrüßen.
Schriftführende Abgeordnete sind Herr Kollege Wagner und Herr Kollege Rahm. Herr Kollege Rahm wird die Redeliste führen.
Entschuldigt fehlen heute Herr Kollege Hartenfels, Frau Kollegin Huth-Haage, Herr Kollege Klein, Herr Kollege Schreiner und Herr Kollege Seekatz sowie Frau Staatsministerin Anne Spiegel heute Vormittag.
Ich rufe die Mündliche Anfrage der Abgeordneten Kathrin Anklam-Trapp und Sven Teuber (SPD), Cyberangriff auf Krankenhäuser – Nummer 1 der Drucksache 17/9818 – betreffend, auf.
1. Wie bewertet die Landesregierung den Cyberangriff auf rheinland-pfälzische Krankenhäuser und weitere Einrichtungen vom Juli 2019 vor dem Hintergrund von Patientenschutz und Patientensicherheit?
2. Welche Zielsetzung hatte der Runde Tisch „ITSicherheit“, zu dem das Ministerium für Soziales, Arbeit, Gesundheit und Demografie in der vergangenen Woche eingeladen hat, und welches weitere Vorgehen strebt das Ministerium an?
Sehr geehrter Herr Präsident, liebe Kolleginnen und Kollegen! Die Mündliche Anfrage der Abgeordneten Kathrin Anklam-Trapp und Sven Teuber beantworte ich namens der Landesregierung wie folgt:
Zu Frage 1: In einer zunehmend digitalisierten Gesellschaft wächst die Gefahr von Hackerangriffen. Im Krankenhaus
bereich sind derartige Angriffe besonders problematisch, weil die Versorgung, das Leben von zum Teil schwerkranken Patientinnen und Patienten gefährdet sein kann und besonders sensible Patientendaten betroffen sein können.
Im aktuellen Fall, dem Angriff auf die IT der DRKTrägergesellschaft Süd-West mit zahlreichen betroffenen Krankenhäusern in Rheinland-Pfalz und im Saarland, handelte es sich um die bislang umfassendste und schwerwiegendste Attacke von Hackern auf Einrichtungen des Gesundheitswesens.
Die Krankenhäuser hatten zeitweise keinen Zugriff auf die Daten, konnten die IT-Systeme nicht nutzen und mussten auf Stift und Papier ausweichen. Gleichwohl war die Sicherheit der Patientinnen und Patienten in den betroffenen Krankenhäusern nach den vorliegenden Erkenntnissen nicht gefährdet. Auch der Schutz der Patientendaten und die Versorgung waren gewährleistet. Der Virus hat keine Daten abgezogen, sondern diese verschlüsselt.
Zu Frage 2: Auch wenn der aktuelle Cyberangriff letztlich glimpflich ausgegangen ist, zeigt er doch die generelle Verwundbarkeit von Einrichtungen der kritischen Infrastruktur gerade im Gesundheitswesen auf.
Für die Landesregierung stehen Patientenschutz und Patientensicherheit einschließlich der Sicherheit ihrer Daten an erster Stelle. Ziel des Runden Tisches „IT-Sicherheit in Krankenhäusern“ vom 14. August 2019, zu dem ich kurzfristig nach der Cyberattacke eingeladen hatte, war es, dass sich alle relevanten Akteure zur Lage der ITSicherheit in den Krankenhäusern austauschen, Lehren aus dem aktuellen Vorfall ziehen und darauf aufbauend Maßnahmen zur weiteren Vorbeugung und zur Eindämmung der Folgen von Cyberangriffen erörtern.
Teilnehmerinnen und Teilnehmer waren beispielsweise Vertreterinnen und Vertreter des Bundesamtes für Sicherheit in der Informationstechnik, des Bundesverbandes der Krankenhaus-IT-Leiterinnen und -Leiter, des Verbandes der Krankenhausdirektoren Rheinland-Pfalz-Saarland, die DRK-Trägergesellschaft Süd-West, der Deutschen Krankenhausgesellschaft, der Krankenhausgesellschaft Rheinland-Pfalz e. V., des Innenministeriums und des Ministeriums für Soziales, Arbeit, Gesundheit und Demografie sowie des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Um konkrete Handlungsempfehlungen zu entwickeln, wird eine mit Expertinnen und Experten besetzte Projektgruppe eingesetzt, die bis zum Ende des Jahres 2019 verschiedene Handlungsoptionen diskutieren und einen Vorschlag für ein Maßnahmenpaket vorlegen wird. Die Arbeitsgruppe wird bereits im September erstmalig tagen. Ihre Ergebnisse werden bei Bedarf auch in die IT-Sicherheitsstrategie der Landesregierung einfließen. Es ist geplant, den Runden Tisch „IT-Sicherheit“ zum Abschluss der Arbeit der Projektgruppe erneut einzuberufen.
Zu Frage 3: Neben der Einrichtung der Projektgruppe, die bei den Teilnehmerinnen und Teilnehmern des Rundes Tischs auf ungeteilte Zustimmung stieß und an der sich alle maßgeblichen Akteure beteiligen werden,
Hervorheben möchte ich die Angebote des Bundesamtes für Sicherheit in der Informationstechnik, beispielsweise die Allianz für Cybersicherheit. Mit dieser Allianz steht das Bundesamt für Sicherheit in der Informationstechnik als die nationale Sicherheitsbehörde Unternehmen und Institutionen zur Seite. Das Netzwerk dient der Informationsweitergabe zu aktuellen Informationssicherheitslagen, dem Wissens- und Erfahrungsaustausch und der Erweiterung des Know-how. Die Erörterung beim Runden Tisch hat das MSAGD zum Anlass genommen, selbst der Allianz für Cybersicherheit beizutreten.
Im weiteren Verlauf wird es darum gehen, in Zusammenarbeit mit der Krankenhausgesellschaft alle Krankenhäuser für das Thema zu sensibilisieren und dafür zu werben, dass sie ähnliche Schritte prüfen. Ich werde der Krankenhausgesellschaft Rheinland-Pfalz empfehlen, eine entsprechende Empfehlung an unsere Krankenhäuser auszusprechen.
Deutlich wurde, dass ein bestmöglicher Schutz vor Cyberangriffen nicht nur verschiedene technische, organisatorische und personelle Maßnahmen erfordert, sondern auch einen erheblichen finanziellen Aufwand mit sich bringt. Dies hat mich dazu veranlasst, ein Sofortprogramm zur Verbesserung der IT-Sicherheit in den Krankenhäusern vorzuschlagen.
Kern des Sofortprogramms soll es sein, die Mittel des Krankenhausstrukturfonds für Investitionen in die IT-Sicherheit auf alle Krankenhäuser auszuweiten.
Bislang ist Voraussetzung für eine Förderung entsprechender Investitionen, dass die Krankenhäuser als kritische Infrastruktur jährlich mehr als 30.000 Behandlungsfälle aufweisen. Aber auch kleinere Krankenhäuser haben gerade in einem Flächenland wie Rheinland-Pfalz eine sehr wichtige Versorgungsfunktion und müssen in die Lage versetzt werden, die Sicherheit ihrer IT und damit der Patientendaten gewährleisten zu können. Dafür ist eine Aufstockung der im Rahmen des Strukturfonds zur Verfügung stehenden Mittel erforderlich; denn Ausgaben für die IT-Sicherheit dürfen nicht zulasten anderer sinnvoller Maßnahmen zur strukturellen Verbesserung der Krankenhausversorgung gehen.
Der Vorschlag wurde von allen Teilnehmerinnen und Teilnehmern des Runden Tisches unterstützt und ist damit bereits jetzt ein wichtiges Ergebnis. Ich habe mich mit diesem gemeinsamen Anliegen des Runden Tischs in einem Schreiben an Bundesgesundheitsminister Jens Spahn gewandt. Auch mit den anderen Ländern werden wir uns abstimmen und im Sinne der Patientensicherheit für eine zügige Umsetzung werben.
Weitere Maßnahmen werden in der Projektgruppe erörtert und dem Runden Tisch bis zum Jahresende vorgelegt.
Vielen Dank, Frau Ministerin. – Können Sie uns einen Einblick geben, wann Sie als Haus von dem Vorfall erfahren und wie schnell Sie reagiert haben?
Herr Abgeordneter Teuber, herzlichen Dank für die Frage. Sie gibt mir Gelegenheit, die Chronologie noch einmal darzustellen. Der Angriff auf die IT der Krankenhäuser und weiterer Einrichtungen der DRK-Trägergesellschaft SüdWest fand in der Nacht vom 13. auf den 14. Juli statt und war am Morgen des 14. Juli bemerkt worden.
Das komplette Netzwerk des Verbundes war von einer Schadsoftware befallen, die Server und Datenbanken verschlüsselt. Diese Verschlüsselung konnte bis zum frühen Nachmittag des 14. Juli gestoppt werden. Aus Sicherheitsgründen wurden die Server komplett vom Netz genommen, und die betroffenen Kliniken mussten beispielsweise in der Patientenaufnahme wieder mit Bleistift und Papier die Patientenaufnahme durchführen. Sie hatten keinen Zugang zum Internet und waren nicht per E-Mail, sondern nur noch per Telefon und Fax erreichbar.
Dadurch war aber – wie ich das vorhin schon ausführte, und das war uns natürlich besonders wichtig – die Patientenversorgung nicht gefährdet.
Das Ministerium für Soziales, Arbeit, Gesundheit und Demografie wurde am 14. Juli abends und damit sehr schnell über das Lagezentrum des Innenministeriums über den Hackerangriff informiert. Am Montag, 5. Juli, hat die Trägergesellschaft die Presse informiert. Im weiteren Verlauf wurden der Hersteller des Krankenhausinformationssoftwaresystems und das Bundesamt für Sicherheit in der Informationstechnik eingeschaltet.
Am 16. Juli wurde sodann die Schwachstelle in Form eines alten Dienstkontos mit umfangreichen Rechten entdeckt, das vor rund zehn Jahren angelegt wurde. Dieses konnte am 16. Juli identifiziert und deaktiviert werden.
Am 19. Juli war sodann das Bundesamt für Sicherheit in der Informationstechnik mit einem Team vor Ort in Neuwied. Nach Mitteilung des Landesbeauftragten für den Datenschutz beim Runden Tisch wurde auch er über den Vorfall rechtzeitig informiert.
Patientendaten sind – wie gesagt – nach Angaben der Trägergesellschaft nicht abhanden gekommen. Bis zum 20. Juli konnte der Regelbetrieb zu großen Teilen wiederhergestellt werden, und alle Standorte waren bis zum 22. Juli wieder am Netz und konnten wieder das Krankenhausinformationssystem nutzen.
Wir dürfen Gäste im Landtag begrüßen. Zunächst Schülerinnen und Schüler der Freien Waldorfschule Mainz, 11. Jahrgangsstufe. Herzlich willkommen im Landtag!
Wir dürfen den Liederkranz Andernach und den ehrenamtlichen Besuchsdienst im Krankenhaus St. Nikolaus in Andernach begrüßen. Herzlich willkommen im Landtag!
Sehr geehrte Frau Ministerin, es war der erste große Cyberangriff auf ein Krankenhaus in unserem Land. Sie haben mit Ihrer Informationsveranstaltung sensibilisiert. Wie steht es mit den anderen stationären und ambulanten Einrichtungen, die durchaus Zielrichtung eines Cyberangriffs werden können? Wie steht es um die Datensicherheit?
Frau Anklam-Trapp, herzlichen Dank für die Frage. – Wir haben uns zunächst mit dem Runden Tisch „IT-Sicherheit in Krankenhäusern“ auf die stationäre Versorgung konzentriert, weil insbesondere die Krankenhäuser zur kritischen Infrastruktur im Gesundheitswesen zählen. Da geht es um Leben und Tod.