Gesundheit-ISAC Hacking Healthcare 4

Diese Woche, Gesundheit-ISAC^®'s Hacking Gesundheitswesen^® Wir analysieren den neu veröffentlichten Haushaltsentwurf des Präsidenten sowie die dazugehörigen Begründungsdokumente des Kongresses zur Haushaltslage, die von der Cybersecurity and Infrastructure Security Agency (CISA) und dem US-Gesundheitsministerium (HHS) stammen. Wir erläutern den Inhalt dieser Dokumente, untersuchen die relevanten Aspekte der Cybersicherheit im Gesundheitssektor und liefern anschließend Kontextinformationen für deren Interpretation.

Zur Erinnerung: Dies ist die öffentliche Version des Hacking Healthcare-Blogs. Für weitere ausführliche Analysen und Meinungen werden Sie Mitglied von H-ISAC und erhalten Sie die TLP Amber-Version dieses Blogs (verfügbar im Mitgliederportal).

PDF Version:

Textversion:

Willkommen zurück bei Hacking Healthcare^® !

Was der Haushaltsantrag der Trump-Regierung für das Fiskaljahr 2027 für die Cybersicherheit im Gesundheitssektor bedeuten könnte

Letzte Woche veröffentlichte die Trump-Regierung den Haushaltsentwurf des Präsidenten für das Fiskaljahr 2027 (FY27), und die einzelnen Bundesbehörden und -ministerien legten ihre jeweiligen Haushaltsbegründungen dem Kongress vor. Obwohl diese Dokumente nicht rechtsverbindlich sind und den Bundeshaushalt nicht festlegen, spielen sie eine entscheidende Rolle im Bewilligungsverfahren und verdeutlichen die politischen Prioritäten und Absichten der Trump-Regierung.

Was ist der Haushaltsplan des Präsidenten?

Der Haushaltsplan des Präsidenten ist in der Regel ein Dokument, das dem Kongress Anfang des Jahres vorgelegt wird und einen Überblick über die politischen Ziele des Präsidenten, eine Auswahl prioritärer Programme zur Erreichung dieser Ziele sowie den von der Regierung ermittelten Budgetbedarf zur Umsetzung dieser Ziele bietet. Trump veröffentlichte seinen neuen, 92-seitigen Haushaltsplan für das Finanzjahr 27 am 3. April.

Was sind Haushaltsbegründungen des Kongresses?

Die Haushaltsbegründungen des Kongresses sind Dokumente, die von Bundesbehörden und -ministerien erstellt werden, um den Haushaltsantrag des Präsidenten für die jeweilige Organisation zu unterstützen oder zu begründen. Diese Dokumente legen detailliert dar, wie viel Geld die Organisation benötigt, wofür sie es ausgeben will, warum diese Aktivitäten wichtig sind und welche Ergebnisse oder Wirkungen sie erwartet. Der Kongress nutzt dieses Dokument anschließend, um den Antrag zu prüfen und zu hinterfragen, ihn mit früheren Ausgaben zu vergleichen und über die Genehmigung oder Änderung der Mittel zu entscheiden.

Was besagt der Präsidentenhaushalt für das Finanzjahr 27?

Russel Vought, der Direktor des Office of Management and Budget (OMB), verfasste die Einleitung zum Haushaltsentwurf des Präsidenten, die als Botschaft an den Kongress verstanden werden kann. In der Einleitung heißt es: „Der Haushaltsplan 2027 baut auf der Vision des Präsidenten auf, indem er die Ausgaben außerhalb des Verteidigungsbereichs weiterhin begrenzt und die Bundesregierung reformiert.“^[I] Er fährt fort, indem er erklärt, dass „der Haushaltsplan eine Kürzung um 10 Prozent gegenüber dem Niveau von 2026 im Nichtverteidigungsbereich vorsieht“, bevor er betont, wie sehr sich der Haushaltsplan auf nationale Sicherheitsbelange konzentriert.

Im Anschluss an die Eröffnung folgen eine Übersicht der Ministerien und Behörden. Für die Mitglieder des Health-ISAC sind insbesondere das Ministerium für Innere Sicherheit (DHS) mit seinem Bereich CISA und das Ministerium für Gesundheit und Soziale Dienste (HHS) relevant. Diese Bereiche umfassen Folgendes:

• CISADer Haushaltsplan des Präsidenten sieht eine Kürzung des CISA-Budgets um 707 Millionen Dollar vor. Die Formulierungen in diesem Abschnitt spiegeln weiterhin das Bestreben der Trump-Regierung wider, die Mission und Organisation der CISA neu auszurichten und auf die Verteidigung von Bundesnetzwerken sowie den Schutz und die Resilienz kritischer Infrastrukturen zu konzentrieren. Ein Großteil des Textes scheint direkt aus der letztjährigen Fassung übernommen worden zu sein und kritisiert die Ausweitung des Aufgabenbereichs, Doppelprogramme und die Politisierung der Behörde.^[Ii] [Iii]
• HHS—Der vorgeschlagene Haushalt für das US-Gesundheitsministerium sieht 111.1 Milliarden US-Dollar an Ermessensausgaben vor… eine Reduzierung um 15.8 Milliarden US-Dollar bzw. 12.5 Prozent gegenüber dem im Jahr 2026 geltenden Niveau.^[IV] Die übergeordnete politische Priorität, die in diesem Abschnitt vertreten wird, ist „Make America Healthy Again“ (MAHA). Für die Mitglieder des Health-ISAC dürfte jedoch die geplante Kürzung des Budgets der Administration for Strategic Preparedness and Response (ASPR) um 356 Millionen US-Dollar von größter Bedeutung sein. Diese Kürzung wird größtenteils damit begründet, dass sich die ASPR wieder auf ihre Kernaufgaben konzentriert und die erweiterten Verantwortlichkeiten im Zusammenhang mit der COVID-19-Bekämpfung vernachlässigt.

Die vorgeschlagenen Kürzungen im Budget von HHS und CISA erscheinen zwar besorgniserregend, doch der Haushaltsplan des Präsidenten ist strategisch und auf hoher Ebene angelegt. Um zu verstehen, wie sich die geplanten Budgetkürzungen auf relevante Cybersicherheits- und Resilienzprogramme auswirken könnten, liefern die Begründungen der Ministerien gegenüber dem Kongress detaillierte Informationen.

Was sagen die Haushaltsbegründungen des US-Gesundheitsministeriums (HHS) und der Cybersecurity and Infrastructure Security Agency (CISA) vor dem Kongress aus?

Um ein klareres Bild davon zu erhalten, wie der Haushaltsplan des Präsidenten umgesetzt werden würde, liefern die Haushaltsbegründungen des Kongresses für das Gesundheitsministerium (HHS) und die Cybersecurity and Infrastructure Security Agency (CISA) wesentlich mehr Informationen.

• CISADie 279-seitige Haushaltsbegründung des CISA an den Kongress enthält eine detaillierte Aufschlüsselung der geplanten Einsparungen in Höhe von 700 Millionen US-Dollar. Zu den relevantesten politischen und budgetären Punkten gehören:
  • Die neue Belegschaftsbasis umfasst 2,865 Mitarbeiter. Dies ist ein Rückgang gegenüber 3,732 Mitarbeitern zum Ende der Amtszeit von Präsident Biden und bedeutet den Verlust von 206 Stellen in der Abteilung Cybersicherheit, 225 in der Abteilung Integrierte Operationen sowie praktisch der gesamten Abteilung Stakeholder-Engagement. Die Personalreduzierungen machen Budgetkürzungen in Höhe von rund 360.5 Millionen US-Dollar aus.
  • Die Mittel für Analyse und Planung zur Erstellung eines nationalen Risikoregisters werden um 5 Millionen US-Dollar erhöht. Dieses Register soll die fortlaufende Arbeit zur Identifizierung von Risiken für die nationale Infrastruktur und Systeme unterstützen, ausgewählte Risikoszenarien und -bewertungen entwickeln und ausgewählte Risiken in einem Bericht präsentieren. Dieser Bericht soll eine visuelle Darstellung enthalten, um die Folgen und die Wahrscheinlichkeit bzw. Plausibilität der Risiken miteinander zu vergleichen. Diese Maßnahme wurde in einer früheren Anordnung von Präsident Trump gefordert. Effizienzsteigerung durch staatliche und lokale Vorsorgemaßnahmen.
  • Eine Budgetkürzung von 9.8 Millionen Dollar beim Joint Cyber ​​Defense Collaborative (JCDC)-Programm.
  • Eine Priorisierung der Besetzung und Finanzierung der Stellen der Cybersecurity State Coordinators der CISA, die als vom Bund zugewiesene, auf den Bundesstaaten ansässige Cybersecurity-Unterstützungskräfte fungieren sollen, um bei der Stärkung der lokalen Verteidigung, der Steuerung koordinierter Reaktionen und der Unterstützung von Wiederherstellungsmaßnahmen angesichts eskalierender Cyberbedrohungen zu helfen.
  • Eine moderate Erhöhung der Finanzmittel und des Personals zur Ausweitung der Unterstützung für die Verbindungsarbeit in Nicht-CISA-SRMA-Sektoren, einschließlich 8 neuer Verbindungsstellen für das Sektorrisikomanagement in Sektoren, in denen CISA nicht die Sektorrisikomanagementagentur (SRMA) ist.
  • Die ausdrückliche Priorisierung von Maßnahmen zur Abwehr von Bedrohungen durch die Volksrepublik China für Regierungsbehörden und kritische Infrastrukturen. Dies schließt den Informationsaustausch ein.
• HHS: ASPRDie 62-seitige Haushaltsbegründung des ASPR an den Kongress weist eine Kürzung von rund 355 Millionen US-Dollar und weitere Umschichtungen im verbleibenden Budget aus. Der Bereich „Gesundheitsvorsorge und -wiederherstellung“ wird drastisch von rund 305 Millionen US-Dollar auf knapp 30 Millionen US-Dollar gekürzt. Dies betrifft offenbar die Kooperationsvereinbarungen des Krankenhaus-Vorsorgeprogramms (HPP), die Kooperationsvereinbarung des regionalen Katastrophenschutzsystems (RDHRS), Maßnahmen zur Traumabehandlung, unterstützende Aktivitäten und Operationen im Bereich Gesundheitsvorsorge und -wiederherstellung, Maßnahmen zur Katastrophenminderung und -wiederherstellung in den Gemeinden sowie das Programm „Technische Ressourcen, Unterstützungszentrum und Informationsaustausch“ (TRACIE). Das Dokument legt jedoch dar, dass das Budget für Cybersicherheit und Infrastrukturschutz (CIP) gegenüber den beiden vorangegangenen Haushaltsjahren unverändert bleiben soll.^[V] Das Dokument hebt weiterhin die fast 2,000 Cybersicherheitsvorfälle hervor, die CIP zwischen Ende 2024 und Ende 2025 priorisiert hat, und preist ein neues Modul für sein RISC-Toolkit (Risk Identification and Site Criticality) an, das 2026 veröffentlicht werden soll und mit dem NIST CSF 2.0 sowie den Cybersecurity Performance Goals (CPGs) für den Gesundheits- und öffentlichen Gesundheitssektor übereinstimmt.
• HHS: Büro des Ministers—Die 190-seitige Haushaltsbegründung des Kongresses für das Büro des Ministers enthält einige Vorschläge zur Umstrukturierung der Ministerien.^[Vi] Dem Dokument zufolge werden das Office for Civil Rights (OCR), das Office of Medicare Hearings and Appeals, das Departmental Appeals Board, das Office for Human Research Protections, das Office for Animal Research Protections und das Office of Research Integrity im Office of the Assistant Secretary for Civil Rights and Appeals (ASCRA) zusammengeführt. Diese Umstrukturierung ähnelt einem Vorschlag vom vergangenen März, der einige dieser Ämter einem neuen Assistant Secretary for Enforcement unterstellte.^[Vii]

  Das Dokument beschreibt weiterhin, wie ASCRA „die Einhaltung der Gesetze durch Durchsetzung und Rechtsprechung im Bereich des Gesundheits- und Sozialwesens gewährleisten wird“ und wie die „vorgeschlagene Konsolidierung darauf abzielt, die Aufsicht zu optimieren, die Koordinierung von Durchsetzung und Rechtsprechung zu verbessern, Aufklärung und Beratung zu relevanten Rechtsquellen zu bieten und die Fähigkeit des HHS zur Erfüllung seiner rechtlichen Verpflichtungen zu stärken.“^[VIII]

  Der Haushaltsantrag des Präsidenten für das Finanzjahr 27 für ASCRA beläuft sich auf etwas über 241 Millionen US-Dollar, was laut Dokument einer Steigerung von fast 5 Millionen US-Dollar gegenüber dem im Finanzjahr 26 verabschiedeten Betrag entspricht. Darüber hinaus beinhaltet die Gesamtsumme „eine Prognose von 10,000,000 Millionen US-Dollar an zivilrechtlichen Geldentschädigungen, die vom Office for Civil Rights zur weiteren Durchsetzung der HIPAA-Bestimmungen verwendet werden sollen.“^[Ix]

• HHS: FDA—Die 91-seitige Haushaltsbegründung der Food and Drug Administration (FDA) gegenüber dem Kongress erwähnt Cybersicherheit überhaupt nicht explizit.^[X] Der Bericht enthält jedoch einen Abschnitt zu Medizinprodukten und Strahlenschutz, der auch das Center for Devices and Radiological Health (CDRH) umfasst. Dieser Abschnitt hebt eine moderate Budgeterhöhung für diesen Bereich hervor, von knapp über 913 Millionen US-Dollar (dem im Haushaltsjahr 26 beschlossenen Betrag) auf etwas über 1 Milliarde US-Dollar. Die FDA begründet diese Erhöhung damit, dass sie sich „gleichermaßen der frühzeitigen Erkennung und Behebung von Sicherheitsrisiken verpflichtet fühlt, um Patienten vor Schäden zu schützen und sicherzustellen, dass die Behörde weiterhin zu den weltweit führenden Regulierungsbehörden bei der Identifizierung und dem Handeln in Bezug auf Sicherheitssignale im Zusammenhang mit Medizinprodukten gehört.“^[Xi]

Aktion & Analyse
**In der Health-ISAC-Mitgliedschaft enthalten**

^[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[IV] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[VIII] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Ix] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[X] https://www.fda.gov/media/191778/download?attachment

^[Xi] https://www.fda.gov/media/191778/download?attachment

^[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[XIII]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• Verwandte Ressourcen und Neuigkeiten
• Bedrohungslandschaftsbericht für das Gesundheitswesen und die Sozialhilfe
• Agentengesteuerte KI im Gesundheitswesen ist ein riskantes Unterfangen.
• Live@eXchange Tag 2 – Health-ISAC-Sicherheitsanalyst für Medizinprodukte
• Gesundheit-ISAC Hacking Healthcare 6
• Neue Sicherheitslücken zielen auf die Gesundheitsbranche ab
• Monatlicher Newsletter – Juni 2026
• Was wirklich nötig ist, um die Gesundheitsversorgung zu sichern
• Geräteinventarisierung und PHI-Mapping werden die größten Herausforderungen bei Inkrafttreten des neuen HIPAA-Gesetzes darstellen.
• Verizon DBIR: Gesundheitswesen wehrt vermehrte Social-Engineering-Angriffe ab
• Bericht zum Stand des menschlichen Cyberrisikos