Ministerium furArbeit,

Gesundheit und Soziales

Der Minister des Landes Nordrhein-Westfalen

Ministerium furArbeit, Gesundheit und Soziales Nordrhein-Westfalen, 40190 Dusseldorf Datum: 2J. September 2020

Seite 1 van 1
An den
Prasidenten Aktenzeichen IV 2 -
des Landtags Nordrhein-Westfalen 17
G. 1122/0009
Herrn Andre Kuper MdL VORLAGE bei Antwort bitte angeben
17/3940
Kathrin Falke
Dusseldorf A01
Telefon0211 855-3443

Telefax0211 855-

kathrin.falke@mags.nrw.de
Fur den Ausschuss fiir Arbeit, Gesundheit und Soziales

Bericht des Ministeriums fiir Arbeit, Gesundheit und Soziales

Nordrhein-Westfalen zum Hackerangriff auf die Universitatsklinik
Diisseldorf

Sehr geehrter Herr Landtagsprasident,

die Vorsitzende des Ausschusses fur Arbeit, Gesundheit und Soziales,

Frau Heike Gebhard MdL, hatte mich auf Grundlage eines Schreibens

des Sprechers der SPD-Fraktion im Ausschuss fur Arbeit, Gesundheit

und Soziales, Herrn Josef Neumann, MdL, gebeten, uber das o.g. Thema

zu berichten.

Dienstgebaude und
Dieser Bitte komme ich gerne nach und ubersende Ihnen den erbetenen ueferanschrift:
Furstenwall 25,
Bericht mit der Bitte urn Weiterleitung an die Mitglieder des Ausschusses.
40219Dusseldorf
Telefon 0211 855-5
Telefax0211 855-3683

poststelle@mags.nrw.de
Mitfreundlichen GruRen
www.mags.nrw

Offentliche Verkehrsmittel:

(Karl-Josef Laumann) Rheinbahn Linie 709

Haltestelle: Stadttor

Rheinbahn Linien 708, 732

Haltestelle: Polizeiprasidium
1 Anlage
MAGS (IV 2/Kab/Sta)

Bericht

fur den Ausschuss fur Arbeit, Gesundheit und Soziales

des Landtags Nordrhein-Westfalen

,,Hackerangriff auf Uniklinik Dusseldorf - Wusste NRW

Gesundheitsminister Karl-Josef-Laumann schon vor einem

Jahr von Sicherheitsproblemen in Universitatskliniken des

Landes?"

Vorbemerkung

Mit Schreiben vom 21. September 2020 bat die Fraktion der

SPD um einen Bericht der Landesregierung.

In dem Schreiben fuhrt die SPD auf, dass Herr Minister

Laumann laut einem Bericht des Magazins ,,Business Insider"

schon fruhzeitig vom Bundesamt fur Sicherheit in der

Informationstechnik (nachfolgend BSI) auf das IT-

Sicherheitsproblem in der Universitatsklinik Dusseldorf und in

weiteren Universitatskliniken des Landes hingewiesen warden

ware. Auf den Hinweis habe er laut dem Bericht nicht reagiert.

Die Fraktion der SPD stellt folgende Fragen:

• Seit wann wussten die Landesregierung und der

verantwortliche Gesundheitsminister Karl-Josef

Laumann von den IT-Problemen und welche

MaBnahmen wurden seitdem ergriffen?

1/11
 • Seit wann ist der Uniklinik Dusseldorf die Problematik

bekannt und welche MalSnahmen wurden seitdem

ergriffen?

Mit dem folgenden Bericht sollen die beiden Fragen wegen

ihres Sachzusammenhanges gemeinsam beantwortetwerden.

Der Bericht gliedert sich in folgende Teile:

1. Hintergrunde in Bezug auf den Hackerangriff auf das

Universitatsklinikum Dusseldorf

2. Kenntnis uber IT-Probleme und die erfolgten

MaBnahmen

3. Erlauterungen uber die Finanzierung von Kosten fur die

IT-lnfrastruktur in Krankenhausern.

Vorweg: Krankenhauser sind primar selbst verpflichtet,

entsprechende IT-Sicherheits- und SicherungsmaBnahmen zu

ergreifen.

2/11
 1. Hintemrunde zum Hackerangriff auf das

Universitatsklinikum Dusseldorf

Am 10. September 2020 hat das MAGS durch eine WE-

Meldung vom selben Tag, 11.03 Uhr, erstmals Kenntnis

daruber erlangt, dass das Universitatsklinikum Dusseldorf

aufgrund von EDV-Problemen von der Notfallversorgung

abgemeldet wurde, und hat daraufhin eine

krankenhausaufsichtliche Prufung durch die Bezirksregierung

Dusseldorf veranlasst. Das Universitatsklinikum hat in den

darauffolgenden Tagen die Patientenzahl reduziert und

aufschiebbare Eingriffe verschoben. Im weiteren Verlaufwurde

bekannt, dass ein Hackerangriff ursachlich fur die massiven IT-

Probleme verantwortlich ist bzw. war.

Nach der dem Ministerium der Justiz durch den Leitenden

Oberstaatsanwalt in Koln unter dem 15. September 2020

berichteten Kontaktaufnahme zu den Tatverdachtigen durch

die Polizei sei von diesen ein Schlussel zur Entschlusselung

der Daten zur Verfugung gestellt worden. Es sei zu vermuten,

dass der Angriff nicht direkt dem Klinikum, sondern der

angegliederten Heinrich-Heine-Universitat Dusseldori'gegolten

habe.

Das IT-Problem der Universitatsklinik kann ggfs. auch, je nach

der weiteren Dauer des Ausfalls, zu Verlangerungen der

Behandlungszeit unter anderem in der Strahlentherapie

fuhren.

Zum Stand vom 23. September 2020, 11.10 Uhr waren laut
dem Bericht der Bezirksregierung Dusseldorf470 Betten in der

Universitatsklinik belegt.
3/11
Neuaufnahmen waren ab diesem Zeitpunkt wieder moglich.

Die Notfallambulanz konnte den regularen Betrieb seit dem 23.

September 2020 ab 11.00 Uhr wieder aufnehmen. Weitere

Teilbereiche des Klinikums konnten bereits fruher den

regularen Betrieb wieder aufnehmen. Die Bezirksregierung

Dusseldorf hat ebenfalls am 23. September 2020 berichtet,

dass die digitale Anbindung fur den internen Betrieb

umfangreich angelaufen ist. Die Erreichbarkeit von auBenwird

aus Sicherheitsgrunden jedoch erst zeitverzogert erfolgen.

2. Kenntnis uber IT-Probleme und erfolgte MaBnahmen

Grundsatzlich ist das Risiko von Cyberattacken u.a. durch den

Angriff auf das Lukaskrankenhaus in Neuss aus dem Jahr 2016

bekannt. Alle bekannt gewordenen Cyberangriffe werden im

Einzelfall im Detail durch die Krankenhausaufsicht gepruft, im

Besonderen in Bezug auf die Auswirkungen auf die

Versorgung von Patientinnen und Patienten.

Die KGNW hatte die Problematik ebenfalls aufgegriffen und

alle Mitgliedskrankenhauser entsprechend sensibilisiert.

4/11
In seiner Antwort vom 13. Februar 2020 auf die Kleine Anfrage

3306 eines Abgeordneten der AfD hat der Minister fur

Wirtschaft, Innovation, Digitalisierung und Energie namens der

Landesregierung im Einvernehmen mit dem

Ministerprasidenten sowie alien ubrigen Mitgliedern der

Landesregierung erlautert, dass, nachdem im Dezember2019

eine Sicherheitslucke in einer marktublichen Software bekannt

wurde, unverzuglich eine SchutzmaBnahme fur alle uber das

Internet erreichbaren Systeme der genannten Firma

implementiert wurde. Die durch die Firma bereitgestellten

Patches sind flachendeckend installiert warden. Ob und ggf.

inwieweit dies fur die Ereignisse in der Universitatsklinik in

Dusseldorf am 10. September 2020 relevant ist, kann nach

dem derzeitigen Ermittlungsstand noch nicht beantwortet

werden.

Im Oktober 2019 gab es seitens des BSI eine schriftliche Bitte

an das MAGS zu einem Kennenlernen und

Informationsaustausch. Dies war verbunden mit dem

allgemeinen Hinweis vor moglichen Angriffen, da der KRITIS-

Sektor Gesundheit ein hochst attraktives Ziel sei. Es sollte ein

gemeinsamer Gesprachstermin stattfinden, urn Wege zur

Forderung der Cybersicherheit im Gesundheitswesen in NRW

zu diskutieren.

5/11
Mundlich wurde dem BSI Gesprachsbereitschaft signalisiert,

ein konkreter Sitzungstermin kam bisher noch nicht zustande.

Im Januar 2020 signalisierte das BSI gegenuber dem MAGS,

dass es inzwischen uber ein anderes Informationsformat fur die

Krankenhauser in NRW nachdenke. Bedauerlicherweise

musste bei einer Uberprufung des Vorgangs erkannt werden,

dass dem Prasidenten des BSI nicht geantwortet wurde. Dies

wird nunmehr zeitnah nachgeholt.

Eine konkrete, die Universitatsklinik Dusseldorf betreffende

Warnung hat es im Vorfeld weder vom BSI noch von anderer

Stelle gegeben.

Krankenhausersind selbstfurihre IT-Sicherheitverantwortlich.

Dies gilt insbesondere fur die Betreiber Kritischer

Infrastrukturen, zu denen das Universitatsklinikum Dusseldorf

zahlt. Diese sind nach § 8 a BSIG verpflichtet, nach dem Stand

der Technik ,,angemessene organisatorische und technische

Vorkehrungen zur Vermeidung von Storungen der

Verfugbarkeit, Integritat, Authentizitat und Vertraulichkeit ihrer

informationstechnischen Systems, Komponenten oder

Prozesse zu treffen, die fur die Funktionsfahigkeit der von

ihnen betriebenen Kritischen Infrastrukturen maRgebIich sind.

Die Betreiber Kritischer Infrastrukturen haben mindestens alle

zwei Jahre die Erfullung der Anforderungen auf geeignete

Weise nachzuweisen." Als MaBstab fur den Stand der Technik

gilt der branchenspezifische Sicherheitsstandard (B3S). Der

Nachweis 1st ggu. dem BSI zu erbringen.

6/11
Wegen ihrer besonderen Bedeutung fur das Funktionieren des

Gemeinwesens sind im Sektor Gesundheit kritische

Dienstleistungen im Sinne des § 10 Absatz 1 Satz 1 des BSI-

Gesetzes unter anderem die stationare medizinische

Versorgung. Dies 1st in der KritisVO auf Grundlage des BSIG

(http://www.gesetze-im-internet.de/bsi-kritisv/index.html)

konkretisiert.

Hier werden auch spezielle Schwellenwerte definiert, fur

welche Einrichtungen die Verordnung einschlagig ist:

Anhang V (http://www.gesetze-im-internet.de/bsi-

kritisv/anhang_5.html) definiert Krankenhauser ab einer

Fallzahl von mehr als 30.000 p.A. als Kritische Infrastruktur. In

einem Gesprach uber Kritis in Krankenhausern in 2017, an

dem u.a. die Krankenhausgesellschaft NRW, dieAbteilungen I

und IV des MAGS beteiligt waren, war von 20 - 30

Krankenhausern in NRW die Rede, die unter die KritisVO

fallen. Anders als bei kleineren Krankenhausern besteht hier

also eine unmittelbare Zustandigkeit des Bundes fur die

Sicherheit der IT in Kritis Krankenhausern in NRW.

Laut Auskunft des fur Universitatskliniken zustandigen

Ministeriums fur Kultur und Wissenschaft des Landes

Nordrhein-Westfalen vom 24. September 2020 haben alle

Universitatskliniken in NRW, also auch das Dusseldorfer

Universitatsklinikum, auf Nachfrage ausdrucklich bestatigt,

dass die Anforderungen nach § 8a BSIG eingehalten werden.

7/11
Dies bestatigt auch der Bericht der Bezirksregierung

Dusseldorf vom 23. September 2020, laut dem das

Universitatsklinikum Dusseldorf im letzten Jahr nach ISO

27001 zertifiziert wurde. Der Erteilung eines ISO 27001-

Zertifikats auf der Basis von IT-Grundschutz geht eine

Uberprufung durch einen vom BSI zertifizierten ISO 27001-

Auditor voraus.

Wird dabei die Umsetzung der notwendigen IT-

Sicherheitsma&nahmen und eines Managementsystems fur

Informationssicherheit (ISMS) bestatigt, so wird das ISO

27001-Zertifikat auf der Basis von IT-Grundschutz erteilt. Die

Einhaltung von IT-Sicherheit nach dem Stand der Technik

muss von Betreibern Kritischer Infrastrukturen gemaf^ § 8a

BSIG alle zwei Jahre gegenuber dem BSI nachgewiesen

werden.

3. Erlauterungen uber die Finanzierung van Kosten fur die

IT-lnfrastruktur in KrankerLhausem

Das Thema Digitalisierung ist eines derwichtigen Themen der

jetzigen Landesregierung.

Im Rahmen der Forderung van Investitionskosten hat das Land

die Aufgabe, die Krankenhauser fur eine qualitativ

hochwertige, patienten- und bedarfsgerechte Versorgung mit

finanziellen Mitteln zu unterstutzen.

8/11
Die Aufstockung der pauschalen Krankenhausforderung im
Nachtragshaushalt 2017 urn 250 Mio. € ist dabei ein erster

Schritt gewesen. Die Kosten fur IT-lnfrastruktur konnen uber

die pauschale Krankenhausforderungfinanziertwerden, sofern

sie als ein Anlagegut mit einer durchschnittlichen

Nutzungsdauer von mehr als drei Jahren wiederbeschafft

werden. Zu diesen Anlagegutern zahlen unter anderem

Datenverarbeitungsanlagen, wie z.B. Gro&rechner oder

Workstations und deren Peripheriegerate (Drucker,

Bildschirme usw.).

Mit dem Sonderinvestitionsprogramm Krankenhauser stellt die

Landesregierung in 2020 schnell und unburokratisch

zusatzliche Mittel in Hohe von 750 Millionen Euro zur

Verfugung. Zu den forderfahigen Vorhaben zahlen auch hier

Investitionen in die IT-lnfrastruktur.

Auch aus dem NRW-Sonderprogramm fur die

Universitatskliniken in Hohevon insgesamt 1 Mrd. Eurowerden

60 Mio. Euro fur MaBnahmen zur Verbesserung der digitalen

Infrastruktur eingesetzt. Zur gezielten Unterstutzung der IT-

Infrastruktur an den Universitatskliniken gibt es zudem bereits

seit dem Haushaltsjahr 2018 einen eigenen Investitionstitel 891

25 ,,Zuschusse an die Universitatsklinik fur IT-lnvestitionen",

uber welchen die Universitatskliniken jeweils 2 Mio. Euro pro

Jahr erhalten.

Eine weitere gezielte Forderung der IT-lnfrastruktur wird aktuell

auf Bundesebene mit dem Krankenhauszukunftsgesetz

geschaffen. Das parlamentarische Gesetzgebungsverfahren

ist hierjedoch noch nicht abgeschlossen.

9/11
Der Forderschwerpunkt liegt auf modernen Notfallkapazitaten,
einer besseren digitalen Infrastruktur, der IT- und

Cybersicherheit sowie der Starkung der regionalen

Versorgungsstrukturen. Insgesamt stellt der Bund 3 Milliarden

Euro bereit. Die antragstellenden Lander, die

Krankenhaustrager oder beide gemeinschaftlich stocken die

Fordermittel auf insgesamt 4,3 Milliarden auf. Fur Nordrhein-

Westfalen stehen ab 2021 voraussichtlich Fordermittel in Hohe

von 900 Millionen Euro zur Verfugung (630 Millionen Euro

Bundesmittel zzgl. 270 Millionen Euro Kofinanzierung). Der

Stellenwert der IT-Sicherheit wird dadurch hervorgehoben,

dass mindestens 15 ProzentderfurdasVorhaben beantragten

Fordermittel in MaBnahmen zur Verbesserung der IT-

Sicherheit einzusetzen sind.

Der Entwurf des Krankenhauszukunftsgesetzes sieht zudem

eine Beteiligung der Universitatskliniken an dem

Krankenhauszukunftsfonds vor, sodass auch sie an den Mitteln

unter anderem fur Binnendigitalisierung und IT-Sicherheit

partizipieren konnen. Dem Gesetzentwurf zufolge durfen

maximal 10 Prozent der aufein Land entfallenden Fordermittel

fur Vorhaben an Universitatskliniken oder fur Vorhaben, an

denen Universitatskliniken beteiligt sind, eingesetztwerden.

Die Landesregierung NRW begruBt ausdrucklich die

Zielsetzung des Krankenhauszukunftsgesetzes und hatte sich

zuvor aktiv fur eine vollumfangliche Offnung des

Krankenhauszukunftsfonds fur die Universitatskliniken

eingesetzt.

10/11
Daruber hinaus unterstutzt das Ministerium fur Wirtschaft,

Innovation, Digitalisierung und Energie NRW das EFRE-

geforderte Projekt ,,MITSicherheit.NRW

Sicherheitsinstrumente zur Verbesserung der operativen

Cybersicherheit fur die Gesundheitswirtschaft". Bei dem

Projekt werden in verschiedenen Krankenhausern in NRW

innovative Sicherheitsinstrumente entwickelt und erprobt.

Der Vorfall am Universitatsklinikum Dusseldorf zeigt, wie

wichtig eine sichere IT-lnfrastruktur ist. Die Landesregierung

wird die Kliniken mit Haushaltsmitteln dabei unterstutzen, die

IT-Sicherheit zu optimieren. Das MAGS beabsichtigt daruber

hinaus, den Dialog mit weiteren Beteiligten zu vertiefen und

fachliche Moglichkeiten zur Verbesserung der IT-Sicherheit in

den Krankenhausem in NRW zu diskutieren. Aber am Ende

liegt die Verantwortung bei den jeweiligen Kliniken, sie mussen

jederzeit selbst die IT-Sicherheit garantieren.

11/11