I. Sachverhalt
In den letzten Wochen und Monaten wurden zahlreiche Krankenhäuser in Nordrhein-Westfalen (u.a. in Neuss, Arnsberg, Kleve, Mönchengladbach, Essen) Opfer einer breit gestreuten Attacke durch Schadsoftware: In den meisten Fällen gelang es Kriminellen, zum Beispiel mithilfe fingierter E-Mails oder infizierter Webseiten, Schadsoftware zu installieren. Bei der Software handelte es sich um den Typus „Ransomware“. Diese besonders heimtückische Art der Schadsoftware verschlüsselt nach der Infektion unbemerkt sämtliche Datenträger des Angriffsziels, sodass nicht mehr auf die Daten zugegriffen werden kann. In den betroffenen Krankenhäusern wurden die EDV-Systeme nach den Angriffen aus Sicherheitsgründen komplett vom Netz genommen und heruntergefahren. Im Neusser Lukaskrankenhaus mussten aus diesem Grund Operationen verschoben und Herzinfarktpatienten in andere Krankenhäuser mit funktionierender IT-Infrastruktur verlegt werden.
Die Krankenhäuser in Nordrhein-Westfalen stehen derzeit vor einer großen Herausforderung: Viele medizinische Geräte laufen noch unter veralteten Betriebssystemen, die von den Herstellern nicht mehr gewartet oder mit Updates versorgt werden. So endete der Support für die 2001 auf den Markt gekommene „embedded“-Version von Windows XP am 12. Januar 2016. Die Arbeit mit 15 Jahre alter Software macht Krankenhäuser zu einem leichten Ziel für Kriminelle und ist die eigentliche Ursache für eine landesweite – aller Wahrscheinlichkeit nach bundesweite – Sicherheitskatastrophe im Gesundheitswesen, die mit vorausschauender Politik und Investitionen in die sogenannte „Kritische Infrastruktur“ hätte verhindert werden können.
Dabei ist es gerade im Gesundheitswesen dringend geboten, die Vulnerabilität der IT-Systeme und die damit einhergehenden Risiken weitestgehend zu minimieren und die Resilienz der Systeme zu stärken. Denn insbesondere im Gesundheitswesen handelt es sich zumeist um überlebensnotwendige Infrastrukturen, bei deren Ausfall oder Beeinträchtigung es zu erheblichen Störungen oder anderen dramatischen Folgen kommen kann. Kettenreaktionen, bei denen der Ausfall einer Kritischen Infrastruktur zum Ausfall einer anderen Infrastruktur führen würde, Versorgungsengpässe und gar Todesfälle sind absehbar.
Bereits im Februar 2011 hat das damalige Bundeskabinett eine Cyber-Sicherheitsstrategie zum Schutz von Kritischer Infrastruktur beschlossen. Am 15. Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Betreiber Kritischer Infrastrukturen werden darin verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit und Informationstechnik (BSI) Sicherheitsvorfälle zu melden.
Bis heute ist allerdings unklar, welche der 365 Krankenhäuser in NRW davon betroffen sein werden und was einen „meldepflichtigen Sicherheitsvorfall“ darstellt. Möglicherweise werden 35 bis 50 Krankenhäuser der Schwerpunkt- und Maximalversorgung in NRW von dem IT-Sicherheitsgesetz adressiert.
Die aktuellen Computerangriffe auf zufällig ausgewählte Krankenhäuser verdeutlichen, dass über die vom IT-Sicherheitsgesetz angesprochenen Krankenhäuser hinaus, alle Krankenhäuser auf den neuesten Stand der Technik aufgerüstet werden müssen.
So wird mit dem Gesetz für sichere digitale Kommunikation und Anwendung im Gesundheitswesen (E-Health-Gesetz) ein konkreter Fahrplan für die Digitalisierung der Krankenhäuser, insbesondere die Einführung von digitalen Stammdaten und elektronischen Patientenakten sowie die bundesweite Einführung einer Telematik-Infrastruktur, festgeschrieben. Dabei sollen sämtliche Arztpraxen und Krankenhäuser bis 2018 flächendeckend an die Telematik-Infrastruktur angeschlossen werden (flächendeckender Roll-out).
Es zeigt sich, dass die neuen gesetzlichen Rahmenbedingungen, die mit dem IT-Sicherheitsgesetz und dem E-Health-Gesetz einhergehen, erhebliche Anforderungen an den neuesten Stand der Technik in allen Krankenhäusern in NRW stellen. Jedoch mangelt es an einer flächendeckenden auskömmlichen Bereitstellung von Investitionsmitteln, um die gesetzlichen Anforderungen erfüllen zu können.
Die Landesregierung, die nach §18 Krankenhausgestaltungsgesetz NRW (KHGG NRW) neben der Förderung von Neubauten, Umbauten und Erweiterungsbauten auch für die Förderung der Wiederbeschaffung von Anlagegütern mit einer durchschnittlichen Nutzungsdauer von mehr als drei Jahren bis zu 15 Jahren (EDV-Systeme) zuständig ist, stellt für das Haushaltsjahr 2016 rund 500 Millionen Euro für sämtliche Investitionsbedarfe zur Verfügung.
Die Krankenhäuser in Nordrhein-Westfalen investieren nach Angaben der Krankenhausgesellschaft 1,5 Prozent ihres Budgets in die IT-Infrastruktur. Im Vergleich dazu liegt die Investitionsquote bei den Sparkassen bei zehn bis 15 Prozent.
Bei 365 Krankenhäusern in NRW mit einem Gesamtbudget von 16 Milliarden Euro wird so von den Kliniken im Durchschnitt nur rund 700.000 Euro jährlich (inklusive Personalkosten) in den IT-Bereich investiert. Der in Fachkreisen geschätzte Bedarf liegt im Durchschnitt pro Krankenhaus allerdings bei circa drei Millionen Euro jährlich. Während der Gesamtbedarf an IT-Investitionsmitteln damit bei rund einer Milliarde Euro liegt, stagniert der Landesförderbetrag seit Jahrzehnten.
Im Jahr 1992 lag die Investitionskostenfinanzierung der Bundesländer noch bei 3,8 Milliarden Euro. Zwanzig Jahre später im Jahr 2012 haben die Bundesländer nur noch 2,6 Milliarden Euro im Bereich Investitionskostenförderung für Krankenhäuser zur Verfügung gestellt. Die Fördersumme der Bundesländer reduzierte sich somit um rund 30 Prozent. Der Anteil der Bundesländer an den Krankenhauskosten ist insgesamt von zehn auf drei Prozent gefallen. Als direkte Folge dieser mangelnden Investitionskostenförderung der Landesregierungen ist eine veraltete IT-Infrastruktur festzustellen.
Computerangriffe auf Kritische Infrastrukturen können nicht alleine durch die Verabschiedung von Gesetzen oder die schlichte Installation von Virenscannern verhindert werden. Vielmehr müssen die Systeme auf dem aktuellsten Stand der Technik sein und die Personen, die diese Systeme bedienen, müssen digitale Infektionsgefahren erkennen und vermeiden können. Bei der Gewinnung von IT-Fachkräften konkurrieren Krankenhäuser jedoch häufig mit Arbeitgebern aus der IT-Branche, die überdurchschnittliche Gehälter bezahlen.
Die Schwierigkeit, IT-Abteilungen in Krankenhäuser kompetent zu besetzen, kann auch dazu führen, dass EDV-Systeme entsprechend schlecht gewartet werden, Datensicherungen nicht immer aktuell sind und das medizinische Personal nicht richtig über die Gefahren und Vermeidung von Infektionen der IT-Systeme aufgeklärt und geschult werden.
II. Der Landtag stellt fest
- Die IT-Infrastruktur der Krankenhäuser in Nordrhein-Westfalen ist marode und veraltet.
- Die marode und veraltete Infrastruktur der Krankenhäuser bietet Kriminellen aus aller Welt eine große Angriffsfläche und gefährdet das Leben der Patientinnen und Patienten.
- Die Landesregierung ist für die Investitionskostenförderung und damit unmittelbar für die IT-Infrastruktur der Krankenhäuser in Nordrhein-Westfalen zuständig.
III. Der Landtag fordert die Landesregierung auf
- Die Investitionskostenförderung für Krankenhäuser um 500 Millionen Euro auf eine Milliarde Euro anzuheben.
- Ein Konzept für die Einführung von verpflichtenden und regelmäßigen IT-Sicherheitsaudits für Krankenhausbetreiber zu entwickeln.
- Sich für die Gewinnung von kompetenten IT-Fachkräften in Krankenhäusern einzusetzen.
- In Zusammenarbeit mit der Krankenhausgesellschaft die bestehenden Angebote von IT-Schulungen für Mitarbeiter weiter zu entwickeln und auszuweiten.
Mitschnitt der kompletten Debatte zum Antrag:
Protokoll der Rede von Daniel Düngel:
Daniel Düngel (PIRATEN): Sehr geehrte Frau Präsidentin! Liebe Kolleginnen und Kollegen! Wir reden über IT-Sicherheit in Krankenhäusern. Ich will kurz auf das eingehen, was in den vergangenen Wochen passiert ist. In Nordrhein-Westfalen sind rund 30 Krankenhäuser Ziel von Kriminellen geworden. Es wurden EDV-Systeme der Krankenhäuser mit Computerviren infiziert. Die Folge dieser Infektionen war: Die Krankenhäuser konnten nicht auf Daten zugreifen. Nur gegen ein Lösegeld – also Erpressung – sollten die Daten wieder freigegeben werden.
Einige Krankenhäuser haben sich daraufhin von der Versorgung abmelden müssen.
(Widerspruch von Ministerin Barbara Steffens)
Patienten mussten verlegt werden.
(Widerspruch von Ministerin Barbara Steffens)
Geplante Operationen mussten verschoben werden. Nun können wir feststellen: Wir haben letzte Woche im Ausschuss für Arbeit, Gesundheit und Soziales über dieses Thema bereits gesprochen. Die Ministerin hat dazu einen Bericht vorgelegt und hat versucht, das Thema etwas herunterzuspielen.
(Ministerin Barbara Steffens: Nein, das ist doch Quatsch!)
Es ist zum Glück in diesem Fall nichts Schlimmes passiert. Das können wir erst einmal festhalten.
Was finden wir in den Krankenhäusern vor? Wir haben veraltete Computersysteme. Die Krankenhäuser nutzen Windows XP, zumindest in besagtem Fall. Das ist Software, die mittlerweile selbst vom Hersteller nicht mehr unterstützt und supportet wird. Wenn ich in die Runde frage, wer von Ihnen noch ein derart altes Betriebssystem auf seinem Rechner hat – sei es dienstlich oder privat –, werden wahrscheinlich nicht allzu viele Hände nach oben gehen.
(Zuruf von der CDU: Ich!)
Wir alle versuchen, die Software möglichst aktuell zu halten, damit Sicherheitsbestimmungen eingehalten werden können – übrigens auch das Gesundheitsministerium. Danach hatte ich letzte Woche auch gefragt. Im Gesundheitsministerium gibt es selbstverständlich keine Soft- und Hardware mehr, die mit Windows XP betrieben wird.
(Zustimmung von Ministerin Barbara Steffens)
Das ist schon einmal ganz gut. Allerdings: Im Gesundheitsministerium reden wir eben nicht von kritischer Infrastruktur. In den Krankenhäusern ist es offenbar dem Gesundheitsministerium wurscht, welche Software dort benutzt wird.
(Ministerin Barbara Steffens: Quatsch!)
Übrigens – den Schwenk darf ich mir an der Stelle erlauben –: Wir reden hier über Windows XP, also über ein Betriebssystem, das natürlich längst nicht mehr unterstützt wird und damit längst unsicher ist. Aber eigentlich können wir festhalten, dass alle Windows-Betriebssysteme als nicht sicher gelten und wir uns eigentlich an der Stelle über offene Standards wie Linux unterhalten sollten.
(Beifall von den PIRATEN)
Was kann passieren? Krankenhäuser können gezielt angegriffen werden. Die Versorgung in einem ganzen Regierungsbezirk kann gefährdet werden. Die Daten werden nicht nur in Geiselhaft genommen, sondern werden möglicherweise veröffentlicht. Das sind mögliche Szenarien, die dann passieren können.
Die Frage ist: Wer ist dafür verantwortlich? Unseres Erachtens muss die Landesregierung genug finanzielle Mittel zur Verfügung stellen, damit die Krankenhäuser ihre IT-Infrastruktur auf aktuellem Stand halten können.
(Zuruf von der Regierungsbank: Die Krankenhäuser haben genug Geld!)
Die Ministerin sagte im Ausschuss, dafür sei sie letztlich nicht zuständig.
(Norwich Rüße [GRÜNE]: So ist das!)
Das ist einfach. Mich erinnert das dann eher an die bildlichen drei Affen: nichts sehen, nichts hören, nichts sagen.
(Ministerin Barbara Steffens: Das ist eine Unverschämtheit!)
„Nichts sehen“ ist der Innenminister; der sieht nichts. Die Gesundheitsministerin will nicht auf Ratschläge hören.
(Ministerin Barbara Steffens: Das ist Quatsch!)
Und die Ministerpräsidentin – gute Besserung an der Stelle – sagt überhaupt nichts zu diesen Vorfällen.
(Zuruf von den GRÜNEN: Die Ministerin stellt auch nicht die Ärzte direkt an!)
Wie hätte das verhindert werden können? Was muss in Zukunft passieren? Unser Antrag liefert dazu Lösungsansätze. Wir brauchen eben finanzielle Unterstützung für die Krankenhäuser, dass dort die IT-Infrastruktur aufgebessert werden kann. Das sehen Sie.
Wir müssen die Mitarbeiter sensibilisieren für dieses Thema. Schulungen und Sicherheitsaudits sind erforderlich. All das greift unser Antrag auf. Wir werden, da wir hier Wissensdefizite festgestellt haben – das hat sich im Ausschuss ganz klar gezeigt –, selbstverständlich zu diesem Antrag eine Anhörung beantragen, damit wir uns den Rat von externen Sachverständigen ins Haus holen können.
Zum Abschluss: Wie sehen die Lösungen der anderen aus? Auf Bundesebene erfährt unser Antrag durchaus Unterstützung. Karl Josef Laumann – in diesem Hause ja nicht unbekannt – hat zum Beispiel auch die Erhöhung der Investitionskosten auf Landesebene gefordert. Was macht die Gesundheitsministerin? Sie wartet ab, was der Bund unternimmt. Das, liebe Frau Ministerin Steffens, hilft uns aber, wenn wir auf das IT-Sicherheitsgesetz warten, nicht in der Fläche.
Präsidentin Carina Gödecke: Die Redezeit.
Daniel Düngel (PIRATEN): Ich komme zum Ende, Frau Präsidentin. – Die Krankenhäuser, so sagt sie, müssten aus ihrem Dornröschenschlaf erwachen und in eine sichere Infrastruktur investieren. Wie wollen Sie das machen, wenn die finanziellen Mittel nicht zur Verfügung stehen? Frau Steffens macht weiter wie bisher. Wann ist der Zeitpunkt gekommen, zu reagieren, zu handeln? Ich frage allen Ernstes, ob erst Patienten in den Krankenhäusern sterben müssen, damit das Gesundheitsministerium aufwacht. – Vielen Dank für Ihre Aufmerksamkeit.
(Beifall von den PIRATEN)