Matthi Bolte-Richter (GRÜNE): Vielen Dank. – Herr Präsident! Liebe Kolleginnen, liebe Kollegen! In den letzten Tagen und auch noch in den letzten Stunden hat sich die Nachrichtenlage rund um den Angriff auf die IT-Infrastruktur der Uniklinik Düsseldorf etwas gelichtet. Es sind – das ist entscheidend, anders als im Antrag unterstellt – wohl keine Patientendaten dauerhaft zerstört oder entwendet worden. Zumindest konnten noch einige dringliche Operationen bei den bereits aufgenommenen Patienten durchgeführt werden. Neue Patientinnen werden jedoch seit Tagen nicht aufgenommen. Die Uniklinik ist nach wie vor und wohl auch noch für eine gewisse Zeit von der Notfallversorgung abgeschnitten.
Mir ist es wichtig, zu diesem Zeitpunkt zu sagen, dass sowohl in der Klinik als auch in den Sicherheitsbehörden mit Hochdruck daran gearbeitet wird, die Folgen dieses Angriffs zu bekämpfen. Das ist sicherlich auch aller Anerkennung wert.
(Beifall von den GRÜNEN – Vereinzelt Beifall von der CDU und der FDP)
Wir sehen jetzt keine ganz neue Entwicklung; das haben auch meine Vorredner schon betont. Seit einiger Zeit sind vermehrt Cyberangriffe auf öffentliche Einrichtungen zu beobachten. Hier stehen Verwaltungen, Krankenhäuser, Hochschulen, Forschungseinrichtungen stärker im Fokus. Wir nehmen es auch stärker wahr.
Anfang des Jahres hatte es die Uni Gießen und die dortige Uniklinik erwischt. In NRW gab es in diesem Jahr größere Angriffe auf die Universitäten in Köln, Bonn, Duisburg, Essen, Wuppertal, auf das Forschungszentrum Jülich und den erheblichen Angriff auf die Ruhr-Uni Bochum. Das heißt, die Lage hat sich offensichtlich eher verschärft als gebessert.
Wir sehen in diesem Bereich einen Rüstungswettlauf zwischen Angreifern und Verteidigern. Alle, die sich damit beschäftigten, wissen, dass letztlich jedes informationstechnische System verwundbar ist und wir nur schauen können: Wie können wir solche Angriffe bestmöglich abwehren? Wie können wir dafür sorgen, dass solche Angriffe nicht erfolgreich sind?
Wenn wir das voraussetzen, müssen wir konstatieren, dass es in den letzten Jahren einfach zu wenige Maßnahmen gegeben hat. Kürzlich gab es dazu eine ausführliche Berichterstattung im Wissenschaftsausschuss. Es ist offensichtlich nach wie vor zu wenig Geld im System. Es gibt nach wie vor zu wenige Vernetzungen der Akteurinnen.
Anfang des Jahres hatten noch viele Hochschulen keine Vollzeit-IT-Sicherheitsbeauftragten. Dementsprechend gab es dann auch keine Koordinierung der befassten Stellen untereinander, was bei IT-Sicherheit eine ganz entscheidende Frage ist.
Die Sensibilisierungsvorträge des LKA wurden angesprochen, sie wurden gelobt, aber eben nur teilweise in Anspruch genommen. Die landesweiten Sicherheitsleitlinien wurden nicht einheitlich angewandt. Es hat sich auch gezeigt, dass es offensichtlich keinen wirklichen Überblick über die IT-Störfälle in der letzten Zeit gegeben hat. Jedenfalls wurden es immer mehr, je häufiger wir nachgefragt haben. Das zeigt, dass es da offensichtlich an Koordinierung fehlt.
Die Lage ist also durchaus dramatisch. Was ist zu tun? Wir brauchen mehr Geld im System für IT-Investitionen in Krankenhäuser. Die 1 Milliarde Euro, die Kollege Braun und Kollege Matheisen eben bemüht haben, ist die Grundfinanzierung der Hochschulmedizin und keine Investition allein in IT-Sicherheit, wie Sie hier suggeriert haben.
Die Evaluierung der Hochschulmedizin durch den Wissenschaftsrat im Frühjahr hier im Landtag hat uns ein sehr deutliches Zeugnis ausgestellt. In der Evaluierung heißt es – Zitat –: „Die IT-Infrastrukturen der Universitätsmedizin sind desolat …“ Das habe nicht ich als Oppositionspolitiker gesagt, sondern der Wissenschaftsrat als neutrale Bewertungsinstitution.
Man kann es durchaus mit Zahlen untermauern. Der Wissenschaftsrat stellt allein für die Uniklinik Düsseldorf – für den Standort, der hier in Rede steht – einen Fehlbetrag von fast 3 Millionen Euro fest. Natürlich wird dieser Bedarf weiter steigen. Denn je größer die Anforderungen an die digitale Medizin sind, desto größer sind natürlich auch die Anforderungen an IT-Infrastrukturen und an Sicherheit.
Katja Kümmel, die Leiterin des Geschäftsbereichs IT am Uniklinikum Münster, sagte in einem Interview kurz vor dem Angriff auf Düsseldorf – Zitat –:
„Initiativen wie der IT-Masterplan der NRW-Uniklinika betonen die Bedeutung von Investitionen in die IT, aber es kommt noch viel zu wenig Geld von Land und Bund.“
Sie schätzt den Finanzierungsrückstand sogar auf 8 Millionen Euro pro Klinikum pro Jahr.
Da haben wir offensichtlich ein Problem. Selbst wenn wir diese Summen investieren würden, hätten wir nach wie vor nur die IT-Grundstruktur und noch nicht speziell die Sicherheitsfragen beantwortet, genauso wie wir insgesamt im Hochschulsystem erheblichen Bedarf für Investitionen in Digitalisierungsprojekte haben.
Zweites Grundproblem: IT wird erst als Thema gesehen, wenn sie nicht funktioniert. Aber bei allen Weiterentwicklungen muss künftig die IT-Infrastruktur mitgedacht werden. In einer zunehmend digitalisierten Medizin muss diese Infrastruktur einfach da sein.
Genauso muss die Sicherheit an solchen Stellen mitgedacht werden. Immer wenn ich ein neues IT-Projekt an den Start bringe, muss ich die Sicherheitsfragen in den Mittelpunkt stellen, und zwar sowohl die technische Seite als auch – wenn man die Fachdebatte ein bisschen kennt – vor allem die sogenannte Schwachstelle „Mensch“. Da brauchen wir viel mehr Präventionsarbeit. Diese Präventionsarbeit muss auch koordinierter erfolgen als bisher.
Zuletzt brauchen wir auch noch – da ist vor allem der Bund in der Pflicht – solidere rechtliche Standards, was IT-Sicherheit angeht. Das IT-Sicherheitsgesetz zählt große Krankenhäuser richtigerweise zur kritischen Infrastruktur, aber so richtig viel folgt bei der bisherigen Rechtslage noch nicht daraus. Wir brauchen endlich eine Bundesregierung, die sich dieses Thema wirklich vornimmt und klare technische, rechtliche und organisatorische Vorgaben macht, wie IT-Sicherheit im Gesundheitsbereich gewährleistet werden kann, die dann auch proaktiv vorangeht und auf die Akteurinnen und Akteure zugeht.
(Beifall von den GRÜNEN)
Ich komme zum Schluss. Ich habe jetzt einiges umrissen, aber wir haben noch eine Menge zu tun. Wir brauchen mehr Einsatz für eine bestmögliche Sicherheit. Wir wissen, dass wir diese Angriffe niemals werden verhindern können, aber wir können doch daran arbeiten, dass sie nicht erfolgreich sind und dass wir die Schäden bestmöglich begrenzen. Dafür brauchen wir mehr Einsatz, und da ist noch eine ganze Menge zu tun. – Herzlichen Dank.
(Beifall von den GRÜNEN)