Landesregierung wurde wiederholt auf Thema IT-Sicherheit hingewiesen
Seit eineinhalb Wochen ist die Düsseldorfer Uniklinik durch einen
Hackerangriff weitgehend lahmgelegt. Dabei wurde das Thema
IT-Sicherheit mehrmals an die Landesregierung herangetragen. Die
Opposition will das nun aufarbeiten.
Düsseldorf (dpa/lnw) - Die NRW-Landesregierung ist im Vorfeld des
folgenreichen Hackerangriffs an der Düsseldorfer Uniklinik wiederholt
auf das Thema IT-Sicherheit der Krankenhäuser hingewiesen worden. Das
Bundesamt für Sicherheit in der Informationstechnik (BSI) habe dem
NRW-Gesundheitsministerium Anfang Oktober 2019 ein Gespräch
angeboten, bestätigte ein Sprecher der Behörde dem Wirtschaftsmagazin
«Business Insider».
Hintergrund für das Gesprächsangebot sei unter anderem ein zuvor
erfolgter Hackerangriff auf das Lukaskrankenhaus in Neuss gewesen.
Außerdem habe man über eine Entscheidung von NRW-Gesundheitsminister
Karl-Josef Laumann (CDU) sprechen wollen, kein Geld für Investitionen
in IT-Sicherheit aus dem Krankenhausstrukturfonds abzurufen, sagte
der BSI-Sprecher dem Magazin. Die SPD im NRW-Landtag warf der
Regierung vor, die Probleme bei der IT-Sicherheit völlig verkannt zu
haben. Die Opposition fordert nun Aufklärung im Landtag.
Dem «Business Insider» zufolge hatte BSI-Chef Arne Schönbohm in dem
Brief an Laumann dringenden Nachholbedarf beim Schutz der
Krankenhaus-IT in NRW angemahnt - und die Unterstützung seiner
Behörde angeboten. Ein Gespräch sei aber nicht zustande gekommen,
sagte der BSI-Sprecher. Für Nachfragen war die Behörde am Wochenende
nicht erreichbar.
Ein Sprecher des NRW-Gesundheitsministeriums sagte am Samstag, auf
das Schreiben Schönbohms «wurde bedauerlicherweise nicht konkret
genug und unzureichend reagiert». Auf die Frage, ob der BSI-Chef
dringenden Nachholbedarf beim Schutz der Krankenhaus-IT angemahnt
habe, teilte der Sprecher mit: «Wesentlicher Vorschlag von Herrn
Schönbohm war ein Kennenlernen und Informationsaustausch im Zeitraum
"Ende 2019/Anfang 2020".» Das Ministerium werde nun unverzüglich
Kontakt zum BSI aufnehmen.
Auch die Krankenhausgesellschaft Nordrhein-Westfalen (KGNW) hatte
unter anderem in Pressemitteilungen wiederholt stärkere Investitionen
in die IT-Sicherheit der Kliniken gefordert. Dem «Business-Insider»
zufolge haben Vertreter der Gesellschaft Laumann auch immer wieder
direkt auf das Thema angesprochen.
Gesundheitsminister Laumann ist in der NRW-Landesregierung allerdings
nicht für alle Krankenhäuser zuständig. Die Unikliniken liegen im
Ressort von Wissenschaftsministerin Isabel Pfeiffer-Poensgen
(parteilos) - für die übrigen Kliniken ist Laumann verantwortlich.
Pfeiffer-Poensgen hatte noch am Donnerstag im Düsseldorfer Landtag
zugegeben, dass das Land bislang zu wenig Geld für die IT-Sicherheit
der Unikliniken bereitgestellt habe. «Daran werden wir arbeiten»,
versprach sie. Konkret kündigte sie an, dass von den 900 Millionen
Euro aus dem Krankenhauszukunftsgesetz mindestens 15 Prozent in die
IT-Sicherheit der Kliniken fließen müssten. Alle Krankenhäuser sollen
unabhängig von der Patientenzahl Mittel bekommen.
Die SPD im Düsseldorfer Landtag warf Laumann und Pfeiffer-Poensgen
Verantwortungslosigkeit vor. «Offenbar haben beide die Dimension des
Problems völlig verkannt», teilten der gesundheitspolitische Sprecher
Josef Neumann und der wissenschaftspolitische Sprecher Dietmar Bell
am Sonntag mit.
Die Opposition fordert von der Regierung Aufklärung im Landtag. Am
Mittwoch wird ein Bericht von Justizminister Peter Biesenbach (CDU)
im Rechtsausschuss erwartet, in der Woche darauf will die
SPD-Fraktion im Wissenschaftsausschuss mehr über das Einfallstor der
Hacker erfahren. Laut dem BSI hatten die Hacker eine Lücke in der
Software Citrix ausgenutzt, um die Server der Uniklinik zu
verschlüsseln. Das BSI hatte nach eigenen Angaben bereits im Januar
vor dem Problem bei Citrix gewarnt. Die SPD vermutet, dass die
Uniklinik Sicherheits-Updates nicht rechtzeitig vorgenommen hat - und
will unter anderem wissen, was die Landesregierung über Citrix
wusste.
Das IT-System der Düsseldorfer Uniklinik war in der Nacht zum 10.
September nach einem Hackerangriff ausgefallen. Rettungswagen fahren
die große Einrichtung in der nordrhein-westfälischen Landeshauptstadt
seitdem nicht mehr an, Operationen wurden verschoben und geplante
Behandlungstermine abgesagt. Eine Patientin, die mit dem Notarztwagen
in eine Klinik nach Wuppertal umgeleitet werden musste, starb dort.
Die Staatsanwaltschaft ermittelt deshalb wegen fahrlässiger Tötung.