Cyberattacken auf Krankenhäuser – Sachstand und Handlungsbedarf
der Fraktion der CDU/CSU
Vorbemerkung
Medienberichten zufolge steigen die Zahlen von Cyberattacken auf Krankenhäuser und Pflegeeinrichtungen seit den letzten Jahren deutlich an. Die Konsequenzen dieser Cyberattacken sind nicht nur hohe wirtschaftliche Schäden, sondern können auch Leben kosten (vgl. www.welt.de/wirtschaft/article246400880/Krankenhaeuser-Hacker-Angriffe-nehmen-zu-obwohl-sie-Leben-kosten.html). So wurden u. a. zuletzt zu Beginn des Jahres 2024 drei Krankenhäuser im Landkreis Soest in Nordrhein-Westfalen angegriffen, was u. a. dazu führte, dass die Rettungsleitstelle über längere Zeit Krankentransportwagen umleiten musste, die normalerweise zu den betroffenen Krankenhäusern gefahren wären (siehe www1.wdr.de/nachrichten/westfalen-lippe/hacker-angriff-hospital-lippstadt-100.html).
Mittlerweile ist die Bedrohungslage nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) so hoch wie noch nie (vgl. www.swr.de/swraktuell/baden-wuerttemberg/heilbronn/immer-mehr-hackerangriffe-auf-kliniken-100.html). Im digitalen Zeitalter vermehren sich die Schnittstellen und Datenverbindungen zwischen den Krankenhäusern und dem Internet kontinuierlich. Mit immer mehr Digitalisierungsprojekten sind u. a. auch oft damit einhergehende Öffnungen der Kliniknetze verbunden, zudem werden entsprechende Schnittstellen geschaffen. Cyberattacken führen zu teils erheblichen wirtschaftlichen Schäden von Krankenhäusern und bedrohen die Versorgungsangebote sowie die vertraulichen Daten der Patientinnen und Patienten (vgl. www.aerzteblatt.de/nachrichten/149074/Krankenhaeuser-in-Sorge-wegen-Cyberangriffen). Die Angriffe sind zudem eine zusätzliche Belastung für die Krankenhäuser, die wegen des bekannten Fachkräftemangels und der drohenden Insolvenzwelle bereits mit anderen Problemen zu kämpfen haben. Gerade für kleinere Krankenhäuser ist der digitale Schutz häufig mit unverhältnismäßig hohen Kosten und einem hohen Aufwand verbunden. Darum sind Cyberattacken auf kritische Infrastrukturen wie Krankenhäuser nach Auffassung der Fragesteller dringend zu bekämpfen und zeigen akuten politischen Handlungsbedarf.
Wir fragen die Bundesregierung:
Fragen21
Was ist der Bundesregierung insgesamt zu dieser Thematik bekannt?
Welche verschiedenen Gefahren durch Cyberattacken sind der Bundesregierung bekannt?
Wie viele Fälle solcher Cyberattacken auf deutsche Krankenhäuser (inklusive Bundeswehrkrankenhäuser) sind der Bundesregierung bekannt (bitte nach Jahren seit 2010 bis 2024 sowie nach [Betten-]Größe der betroffenen Krankenhäuser aufschlüsseln)?
Erkennt die Bundesregierung Muster bei der Zielgruppe der angegriffenen Krankenhäuser, und wenn ja, welche?
Erhebt die Bundesregierung Informationen darüber, auf welche Weise die Cyberattacken durchgeführt werden, wenn ja, auf welche Weise werden die Krankenhäuser angegriffen, und wenn nein, wieso nicht?
Mit welchen Krankenhausverbänden und wann hat die Bundesregierung ihre bisherigen Gesetzesvorhaben bezüglich des Schutzes der Krankenhäuser vor Cyberattacken abgestimmt?
Wie hoch sind nach Kenntnissen der Bundesregierung die wirtschaftlichen Schäden für die betroffenen Krankenhäuser?
Welche Auswirkungen haben Cyberangriffe nach Ansicht der Bundesregierung auf die Verlässlichkeit der Patientenversorgung?
Erhebt die Bundesregierung regelmäßig Informationen dazu, welche Auswirkungen Cyberangriffe auf die Arbeitsweise der Ärztinnen und Ärzte und Mitarbeiterinnen und Mitarbeiter im Krankenhaus haben, wenn ja, was hat die Bundesregierung dabei festgestellt, und wenn nein, warum nicht?
Wie lange fällt nach Kenntnissen der Bundesregierung ein Krankenhaus durchschnittlich pro Cyberattacke für die Versorgung von Patientinnen und Patienten aus?
Was sind aus Sicht der Bundesregierung die Ursachen dafür, dass es vermehrt zu solchen Cyberattacken auf Krankenhäuser kommt?
Welche Informationen liegen der Bundesregierung über den Hintergrund der entsprechenden Tätergruppierungen vor?
Welche Informationen hat die Bundesregierung darüber, welche Rolle bei den Cyberattacken ausländische Nachrichtendienste spielen, die die kritische Infrastruktur in Deutschland destabilisieren wollen?
Plant die Bundesregierung eine Verschärfung strafrechtlicher Maßnahmen gegen die Täter von Cyberattacken z. B. auf Krankenhäuser, wenn ja, welche, und wenn nein, warum nicht?
Plant die Bundesregierung, für die IT-Sicherheit der Krankenhäuser gesonderte Fördermittel des Bundes bereitzustellen, insbesondere vor dem Hintergrund der aktuellen Finanzprobleme der Krankenhäuser, und wenn nein, warum nicht?
Wie bewertet die Bundesregierung die Idee eines Krankenhauszukunftsgesetzes II, im Rahmen dessen die Sicherung der digitalen Infrastruktur von Krankenhäusern gestärkt werden könnte?
Wie will die Bundesregierung konkret dafür sorgen, dass die Zahlen solcher Cyberattacken wieder signifikant zurückgehen oder zumindest nicht weiter ansteigen?
Welche Programme unterstützt die Bundesregierung zur Prävention solcher Cyberattacken auf kritische Infrastrukturen im Allgemeinen, und welche Maßnahmen plant die Bundesregierung konkret, um die Krankenhäuser bei dem Umgang mit diesen Attacken zu unterstützen?
Könnte die geplante Krankenhausreform nach Ansicht der Bundesregierung die Situation weiter verschärfen, wenn ja, was gedenkt die Bundesregierung, zum Schutz der Krankenhäuser im Rahmen des entsprechenden Gesetzgebungsverfahrens zu unternehmen, und wenn nein, warum nicht?
Erwartet die Bundesregierung, dass die Krankenhausreform zu gezielteren Cyberangriffen auf die Maximalversorgungskrankenhäuser führt, wenn ja, wie möchte die Bundesregierung diese Maximalversorgungskrankenhäuser besonders schützen, und wenn nein, warum nicht?
Wie verhält sich die Bundesregierung zu aktuellen Diskussionen zu einer Verordnung für mehr Cybersicherheit auf EU-Ebene, ist nach Ansicht der Bundesregierung mit einer Verabschiedung der Verordnung vor der Europawahl zu rechnen, und wie plant die Bundesregierung, diese Verordnung konkret umzusetzen?