Uniklinik: Landesregierung wiederholt auf IT-Sicherheit hingewiesen

Die Düsseldorfer Uniklinik ist durch einen Cyberangriff weitgehend lahmgelegt. Das Thema IT-Sicherheit wurde mehrmals an die Landesregierung herangetragen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 96 Beiträge

(Bild: Eviart/Shutterstock.com)

Von
  • dpa

Die NRW-Landesregierung ist im Vorfeld des folgenreichen Cyberangriffs an der Düsseldorfer Uniklinik wiederholt auf das Thema IT-Sicherheit der Krankenhäuser hingewiesen worden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe dem NRW-Gesundheitsministerium Anfang Oktober 2019 ein Gespräch angeboten, betätigte ein Sprecher der Behörde dem Wirtschaftsmagazin Business Insider.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Hintergrund für das Gesprächsangebot sei unter anderem ein zuvor erfolgter Cyberangriff auf das Lukaskrankenhaus in Neuss gewesen. Außerdem habe man über eine Entscheidung von NRW-Gesundheitsminister Karl-Josef Laumann (CDU) sprechen wollen, kein Geld für Investitionen in IT-Sicherheit aus dem Krankenhausstrukturfonds abzurufen, sagte der BSI-Sprecher dem Magazin.

Dem Business Insider zufolge hatte BSI-Chef Arne Schönbohm in dem Brief an Laumann dringenden Nachholbedarf beim Schutz der Krankenhaus-IT in NRW angemahnt - und die Unterstützung seiner Behörde angeboten. Ein Gespräch sei aber nicht zustande gekommen, sagte der BSI-Sprecher. Für Nachfragen war die Behörde am Samstag nicht erreichbar.

Ein Sprecher des NRW-Gesundheitsministeriums sagte am Samstag, auf das Schreiben Schönbohms "wurde bedauerlicherweise nicht konkret genug und unzureichend reagiert". Auf die Frage, ob der BSI-Chef dringenden Nachholbedarf beim Schutz der Krankenhaus-IT angemahnt habe, teilte der Sprecher mit: "Wesentlicher Vorschlag von Herrn Schönbohm war ein Kennenlernen und Informationsaustausch im Zeitraum "Ende 2019/Anfang 2020"." Das Ministerium werde nun unverzüglich Kontakt zum BSI aufnehmen.

Auch die Krankenhausgesellschaft Nordrhein-Westfalen (KGNW) hatte unter anderem in Pressemitteilungen wiederholt stärkere Investitionen in die IT-Sicherheit der Kliniken gefordert. Dem Business-Insider zufolge haben Vertreter der Gesellschaft Laumann auch immer wieder direkt auf das Thema angesprochen.

Gesundheitsminister Laumann ist in der NRW-Landesregierung allerdings nicht für alle Krankenhäuser zuständig. Die Unikliniken liegen im Ressort von Wissenschaftsministerin Isabel Pfeiffer-Poensgen (parteilos) - für die übrigen Kliniken ist Laumann verantwortlich.

Pfeiffer-Poensgen hatte noch am Donnerstag in Düsseldorfer Landtag zugegeben, dass das Land bislang zu wenig Geld für die IT-Sicherheit der Unikliniken bereitgestellt habe. "Daran werden wir arbeiten", versprach sie. Konkret kündigte sie an, dass von den 900 Millionen Euro aus dem Krankenhauszukunftsgesetz mindestens 15 Prozent in die IT-Sicherheit der Kliniken fließen müssten. Alle Krankenhäuser sollen unabhängig von der Patientenzahl Mittel bekommen.

Das Gesundheitsministerium verweist zudem auf ein Sonderinvestitionsprogramm, über das den Krankenhäusern im Land in diesem Jahr zusätzliche Fördermittel in Höhe von 750 Millionen zur Verfügung gestellt würden. Diese Fördermittel könnten die Krankenhausträger auch in die IT-Infrastruktur investieren.

Lesen Sie auch

Der Cyberangriff auf die Düsseldorfer Uniklinik soll weiter im nordrhein-westfälischen Landtag aufgearbeitet werden: Am Mittwoch wird ein Bericht des Justizministers im Rechtsausschuss erwartet, in der Woche darauf will die SPD-Fraktion mehr über das Einfallstor der Angreifer erfahren.

Für den Wissenschaftsausschuss hat die Opposition einen Fragenkatalog eingereicht, der sich um die Software Citrix dreht. Laut dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) hatten die Angreifer eine Lücke in dem System ausgenutzt, um die Server der Uniklinik zu verschlüsseln. Das BSI hatte nach eigenen Angaben bereits im Januar vor dem Problem bei Citrix gewarnt. Die SPD vermutet, dass die Uniklinik Sicherheits-Updates nicht rechtzeitig vorgenommen hat – und will unter anderem wissen, was die Landesregierung über Citrix wusste.

Die unbekannten Täter hatten nach Angaben von NRW-Justizminister Peter Biesenbach (CDU) bei dem Cyberangriff ein Erpresserschreiben hinterlassen, das allerdings an die Heinrich-Heine-Universität adressiert war. Als man die Angreifer auf ihr falsch getroffenes Ziel aufmerksam macht, rückten sie den Schlüssel für die gesperrten Server raus.

Das IT-System der Düsseldorfer Uniklinik war in der Nacht zum 10. September nach einem Cyberangriff ausgefallen. Rettungswagen fahren die große Einrichtung in der nordrhein-westfälischen Landeshauptstadt seitdem nicht mehr an, Operationen wurden verschoben und geplante Behandlungstermine abgesagt. Eine Patientin, die mit dem Notarztwagen in eine Klinik nach Wuppertal umgeleitet werden musste, starb dort. Die Staatsanwaltschaft ermittelt deshalb wegen fahrlässiger Tötung.

(bme)