DIRK STETTNER, CDU
VIEL WEIßENSEE UND BLANKENBURG
Themen
Berlin allgemein | Blankenburg | Weißensee
11.10.2019, 80: Uhr
IT-Sicherheit an Berliner Krankenhäusern
SCHRIFTLICHE ANFRAGE VON DIRK STETTNER AN DEN SENAT
www.twitter.com/hashtag/cdupankow Schriftliche Anfrage zur IT-Sicherheit an Berliner Krankenhäusern
Drucksache 18/17268

 
Schriftliche Anfrage des Abgeordneten Dirk Stettner vom 10. Dezember 2018 und Antwort 


Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt:

Frage 1:
In den Jahren 2011 und 2012 fand im Auftrag des Bundes das Projekt „Risikoanalyse Krankenhaus-IT“ (RiKrIT) statt. Was waren die Ergebnisse dieser Analyse und welche Auswirkungen haben sich dadurch für das Land Berlin und seine Krankenhäuser ergeben?


Zu Frage 1:
In dem Projekt „Risikoanalyse Krankenhaus-IT“ (RiKrIT) wurde ein Leitfaden und eine Methode entwickelt, mit der kritische IT-Abhängigkeiten in einem Krankenhaus und daraus erwachsende Risiken für die Patientenversorgung und weitere wichtige Prozesse identifiziert und bewertet werden können. Der Leitfaden entstand aus einer Initiative des Senats. Das Vorhaben wurde in den Jahren 2011 und 2012 unter Federführung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und mit Beteiligung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Unfallkrankenhaus Berlin (ukb) durch Auftragnehmer aus Industrie und Wissenschaft durchgeführt. Dieser Leitfaden steht nunmehr allen Krankenhäuser als Handlungsinstrument zur Verfügung. Damit sind die Grundlagen geschaffen, nach denen die Krankenhäuser in eigener Verantwortung eine Risikoanalyse im IT-Bereich durchführen können.

Frage 2:
Inwiefern ist der Senat seiner Eigentümerverpflichtung gegenüber den landeseigenen Krankenhäusern 
in Bezug auf die IT-Sicherheit seit 2012 nachgekommen und welche Maßnahmen wurden getroffen?

Zu Frage 2:
Zum Krankenhaus des Maßregelvollzugs:
Ebenso wie die anderen Behörden des Landes Berlin unterliegt das Krankenhaus des Maßregelvollzugs - Krankenhausbetrieb des Landes Berlin (KMV) als Vollzugsbehörde - den seitens des IT-Dienstleistungszentrum (ITDZ Berlin) vorgegebenen IT-Sicherheitsstandards unmittelbar. Um höchstmögliche Datensicherheit zu gewährleisten betreibt das kommunale IT-Unternehmen daher zwei eigene, stark gesicherte Rechenzentren sowie das abgeschirmte Berliner Landesnetz. An dieses mehrfach gesicherte Hochgeschwindigkeitsnetz ist die komplette Verwaltung - also auch das Krankenhaus des Maßregelvollzugs - im Land Berlin angeschlossen. Für die gesamte IT-Infrastruktur sowie die Sicherheitsprozesse ist das ITDZ Berlin durch das Bundesamt für Informationstechnik (BSI) nach ISO 27001 zertifiziert.

Zu Vivantes Netzwerk für Gesundheit GmbH:
Die landeseigene Krankenhaus Vivantes Netzwerk für Gesundheit GmbH verantwortet als privatrechtliche Person ihre Gesamtnotfallkonzepte eigenverantwortlich.

Zur Charité:
Für die Charité dient ein erheblicher Teil der Maßnahmen im IT-Bereich auch der ITSicherheit. 
Investitionen in den IT-Bereich erfolgen aus dem (allgemeinen) investiven Zuschuss sowie für verschiedene Maßnahmen als einzeln veranschlagte bauliche Maßnahmen bzw. Beschaffungen aus dem Landeshaushalt und SIWANA.

Der Senat wirkt gegenüber den landeseigenen Krankenhäusern auf die Qualitätssicherung 
und Weiterentwicklung des Risikomanagements hin.

Frage 3:
In der Sitzung des Ausschusses für Gesundheit, Pflege und Gleichstellung am 3. Dezember 2018 
hat die Senatorin angekündigt, sich des Themas IT-Sicherheit in 2019 in Berlin annehmen zu wollen. Was ist hier konkret zu wann geplant?

Zu Frage 3:
Im ersten Halbjahr des Jahres 2019 werden in zwei Berliner Krankenhäusern Übungen durchgeführt, in denen die Zusammenarbeit der IT-Sicherheit mit dem Krisenmanagement geübt wird. Die Erkenntnisse aus den Übungen sollen genutzt werden, den anderen Berliner Krankenhäusern Hinweise zu geben, wie Sie die Vorsorge weiter ausbauen können. Ferner wird nach Vorlage der Ergebnisse entschieden, ob neben dem unter Nr. 1 genannten Leitfaden und den Übungen weitere Unterstützungsmaßnahmen für die Krankenhäuser sinnvoll sind.

Frage 4:
Wie viele Cyberangriffe hat es auf die Berliner Krankenhäuser seit 2012 gegeben und welche Auswirkungen 
hatte dies jeweils? Bitte jährlich nach Krankenhaus getrennt auflisten?

Zu Frage 4:
Wie unter Ziffer 5 ausgeführt, besteht keine Meldepflicht der Krankenhäuser gegenüber dem Senat. Deshalb liegen keine Informationen über Cyberangriffe vor.

Frage 5:
Gilt eine behördliche Meldepflicht für Krankenhäuser zu Cyberangriffen? Falls ja, für wen gilt diese 
und wie viele Krankenhäuser betrifft dies in Berlin im Falle eines Cyberangriffs? Falls nein, warum nicht?

Zu Frage 5:
Die Meldepflichten bestehen ausschließlich gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Bestimmte Krankenhäuser müssen seit der Änderung der BSI-Kritisverordnung zum 1.7.2017 einer Meldepflicht gem. § 8b Absatz 4 BSIGesetz nachkommen, sofern die anhand der in der BSI- Kritisverordnung festgesetzten Schwellenwerte überschritten werden. In der BSI-Verordnung werden 30.000 vollstationäre Fallzahlen/Jahr als Richtgröße für Krankenhäuser festgelegt.

Frage 6:
Wie gut sind die einzelnen Berliner Krankenhäuser nach Einschätzung des Senats in der ITSicherheit 
aktuell aufgestellt?

Zu Frage 6:
Hierzu bestehen ebenfalls keine Meldepflichten. Dem Senat liegen keine negativen Erkenntnisse vor.

Frage 7:
Wie hoch ist nach Einschätzung des Senats der tatsächliche Investitionsbedarf an den einzelnen 
Krankenhäusern für die IT-Sicherheit?

Zu Frage 7:
Krankenhäuser sind in grundsätzlich allen Bereichen verpflichtet, notwendige Sicherheitsstandards einzuhalten und dazu alle erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die betriebenen Anlagen und genutzten materiellen Ressourcen den jeweils aktuellen technischen und gesetzlichen Anforderungen entsprechen. Seit der Änderung des Landeskrankenhausgesetzes (LKG) im Jahr 2015 und der Einführung der Investitionspauschale liegt die Verantwortung sowohl für die Betriebs- als auch für die Investitionskosten nunmehr in einer Hand bei den Krankenhäusern selbst. Sie agieren damit eigenverantwortlich und können flexibel entsprechend ihrer selbstgesetzten Prioritäten zeitnah notwendige Investitionen realisieren - auch für Maßnahmen der IT-Sicherheit.

Aussagen der Krankenhäuser zum Investitionsbedarf bzw. zur Höhe der Aufwendungen speziell im Bereich der IT-Sicherheit liegen dem Senat nicht vor.

Frage 8:
Wie hoch war der Anteil der Krankenhausinvestitionen, den die Krankenhäuser seit 2012 im Schnitt 
für die IT-Sicherheit ausgegeben haben? Bitte jährlich angeben?

Zu Frage 8:
Die Plankrankenhäuser finanzieren ihre Investitionen aus Eigen- und Fördermitteln. Informationen zu aus Eigenmitteln finanzierten Investitionen liegen hier nicht vor. Die Fördermittel des Landes (Investitionspauschalen) werden von den Krankenhäusern eigenverantwortlich verwendet.

In den nach § 17 Absatz 1 Krankenhausförderungs-Verordnung einzureichenden 
Verwendungsnachweisen wird die Verwendung der Fördermittel dargestellt. Die Beschaffungen für IT-Technik wird nicht differenziert nach Anwendungsbereichen ausgewiesen. Der Anteil der Krankenhausinvestitionen für IT-Technik kann daher nicht beziffert werden.

Berlin, den 28. Dezember 2018
In Vertretung
Martin Matz
Senatsverwaltung für Gesundheit,
Pflege und Gleichstellung

aktualisiert von Katrin Hoffer, 07.01.2019, 12:41 Uhr