IT-Sicherheit im Gesundheitswesen: KI-Agenten skalieren, der Mensch kontrolliert
29.06.2026
Eric Litowsky, Regional Director bei BlueVoyant
In vielen Gesundheitseinrichtungen sind die Sicherheitsteams strukturell unterbesetzt. Im Schnitt entfallen auf jeden Mitarbeitenden 82 Maschinenidentitäten, also Service-Accounts, API-Schlüssel, Cloud-Funktionen oder vernetzte Medizingeräte. Dieses Verhältnis von 82:1 zeigt, wie rasch sich Risiken vervielfachen, wenn Identitäten, Zugriffe und Telemetrie nicht konsequent verwaltet werden. Wie schwer die Folgen wiegen können, machte der Vorfall bei Change Healthcare 2024 deutlich. Ein einziges ungeschütztes Citrix-Zugangsdaten-Paar genügte, um 40 Prozent der Bearbeitung von Versicherungsansprüchen in den USA lahmzulegen. Hinzu kommt die starke Abhängigkeit von Dritten. 87 Prozent der Gesundheitsorganisationen waren im vergangenen Jahr von Sicherheitsvorfällen bei Dienstleistern betroffen, und 36 Prozent können Bedrohungen in den Umgebungen ihrer Zulieferer gar nicht erkennen. Change Healthcare steht dabei für einen Kaskadeneffekt: ein Anbieter mit 15 Milliarden Transaktionen pro Jahr, 872 Millionen US-Dollar Verlust allein im ersten Quartal 2024 und potenziell 100 Millionen betroffenen Datensätzen.
Agentische KI beschleunigt die Threat Intelligence
Veranschaulichen lässt sich das am Beispiel einer Registry-Erkennung. Eine KI erzeugt in Sekunden eine syntaktisch korrekte KQL-Abfrage, die auf Persistenz über Run-Keys abzielt. In einer Krankenhausumgebung führt ein solcher generischer Ansatz allerdings rasch zu Tausenden Fehlalarmen, weil „Run“ als Zeichenkette in zahllosen legitimen Anwendungen und Konfigurationen vorkommt, etwa in Backup-Systemen oder Patientenakten-Software. Erst das Zusammenspiel aus dem Tempo der KI und menschlicher Feinarbeit macht die Abfrage brauchbar. Dazu zählen ein engeres Eingrenzen per Regex auf die tatsächlich relevanten Run-Keys, das Ausschließen bekannter Hersteller aus der eigenen Umgebung sowie zusätzliche Pfadfilter, die Standardinstallationen ausblenden. Die KI nimmt die Schreibarbeit ab, der Mensch liefert Kontext und Validierung.
Warum menschliche Validierung unverzichtbar bleibt
Die größere Gefahr liegt weniger in Syntaxfehlern als in scheinbar plausiblen Fehlschlüssen. Nach dem Vorfall bei Change Healthcare suchten viele Organisationen nach Indikatoren für BlackCat. KI-gestützte Analysen können dabei sehr überzeugend wirken: sauber strukturiert, mit hoher Trefferzuversicht und klarer Zuordnung zu bekannten Angriffsmustern. Genau das wird zum Risiko, wenn die Ergebnisse nicht gegen die eigene Baseline geprüft werden. In einem konkreten Fall wirkten mehrere Treffer auf den ersten Blick bösartig, entpuppten sich nach manueller Prüfung jedoch durchweg als Fehlalarme: ein ungewöhnlich getakteter geplanter Task, ein Service-Account, dessen Name bekannten Mustern oberflächlich ähnelte, oder ein Dateipfad, der zwar auffällig aussah, in der Konfiguration der Patientenakten-Software aber völlig normal war. Werden solche Ergebnisse ungeprüft eskaliert, vergeuden Teams die Zeit ihrer Analysten, binden Führungskapazität und verlieren das Vertrauen in ihre Prozesse.
Fazit
Das ist die eigentliche Lehre aus dem Vorfall. Blindes Vertrauen scheitert auf mehreren Ebenen, sowohl bei der Einschätzung der Sicherheitslage von Dienstleistern als auch bei der Bewertung von KI-Ergebnissen. Selbst eine Lösegeldzahlung garantiert keine Schadensbegrenzung: UnitedHealth zahlte 22 Millionen US-Dollar, und die Angreifer veröffentlichten die Daten dennoch. Agentische KI kann die Lücke zwischen veröffentlichter Threat Intelligence und einsatzfähiger Erkennung von Tagen auf Minuten verkürzen. Sie eignet sich besonders dafür, Threat Intelligence schnell in Erkennungslogik zu übersetzen, Abfragen zu entwerfen, Syntaxarbeit zu reduzieren und die Triage zu beschleunigen, wenn ein neues Advisory erscheint und die Zeit drängt. Ungeeignet ist sie hingegen, um ihre eigenen Ergebnisse zu validieren, Eskalationsentscheidungen zu treffen, Umgebungswissen zu ersetzen oder den Review-Prozess zu umgehen, nur weil der Output „richtig aussieht“.
Im Gesundheitswesen sind die Risiken nicht abstrakt. Maschinenidentitäten hängen an Systemen, die Operationen planen, Medikamente ausgeben, Ansprüche bearbeiten und hochsensible Daten speichern. Agentische KI kann die nötige Skalierung liefern, doch sie braucht den Menschen, der die klinischen Abläufe hinter der Telemetrie kennt und ein echtes Signal von einer überzeugenden Halluzination unterscheiden kann. Der Mensch im Loop ist damit kein Bremser, sondern die Voraussetzung dafür, dass die Beschleunigung nicht zu einem schnelleren Scheitern führt.
IT-Sicherheit im Gesundheitswesen: KI-Agenten skalieren, der Mensch kontrolliert
29.06.2026
Eric Litowsky, Regional Director bei BlueVoyant
In vielen Gesundheitseinrichtungen sind die Sicherheitsteams strukturell unterbesetzt. Im Schnitt entfallen auf jeden Mitarbeitenden 82 Maschinenidentitäten, also Service-Accounts, API-Schlüssel, Cloud-Funktionen oder vernetzte Medizingeräte. Dieses Verhältnis von 82:1 zeigt, wie rasch sich Risiken vervielfachen, wenn Identitäten, Zugriffe und Telemetrie nicht konsequent verwaltet werden. Wie schwer die Folgen wiegen können, machte der Vorfall bei Change Healthcare 2024 deutlich. Ein einziges ungeschütztes Citrix-Zugangsdaten-Paar genügte, um 40 Prozent der Bearbeitung von Versicherungsansprüchen in den USA lahmzulegen. Hinzu kommt die starke Abhängigkeit von Dritten. 87 Prozent der Gesundheitsorganisationen waren im vergangenen Jahr von Sicherheitsvorfällen bei Dienstleistern betroffen, und 36 Prozent können Bedrohungen in den Umgebungen ihrer Zulieferer gar nicht erkennen. Change Healthcare steht dabei für einen Kaskadeneffekt: ein Anbieter mit 15 Milliarden Transaktionen pro Jahr, 872 Millionen US-Dollar Verlust allein im ersten Quartal 2024 und potenziell 100 Millionen betroffenen Datensätzen.
Agentische KI beschleunigt die Threat Intelligence
Veranschaulichen lässt sich das am Beispiel einer Registry-Erkennung. Eine KI erzeugt in Sekunden eine syntaktisch korrekte KQL-Abfrage, die auf Persistenz über Run-Keys abzielt. In einer Krankenhausumgebung führt ein solcher generischer Ansatz allerdings rasch zu Tausenden Fehlalarmen, weil „Run“ als Zeichenkette in zahllosen legitimen Anwendungen und Konfigurationen vorkommt, etwa in Backup-Systemen oder Patientenakten-Software. Erst das Zusammenspiel aus dem Tempo der KI und menschlicher Feinarbeit macht die Abfrage brauchbar. Dazu zählen ein engeres Eingrenzen per Regex auf die tatsächlich relevanten Run-Keys, das Ausschließen bekannter Hersteller aus der eigenen Umgebung sowie zusätzliche Pfadfilter, die Standardinstallationen ausblenden. Die KI nimmt die Schreibarbeit ab, der Mensch liefert Kontext und Validierung.
Warum menschliche Validierung unverzichtbar bleibt
Die größere Gefahr liegt weniger in Syntaxfehlern als in scheinbar plausiblen Fehlschlüssen. Nach dem Vorfall bei Change Healthcare suchten viele Organisationen nach Indikatoren für BlackCat. KI-gestützte Analysen können dabei sehr überzeugend wirken: sauber strukturiert, mit hoher Trefferzuversicht und klarer Zuordnung zu bekannten Angriffsmustern. Genau das wird zum Risiko, wenn die Ergebnisse nicht gegen die eigene Baseline geprüft werden. In einem konkreten Fall wirkten mehrere Treffer auf den ersten Blick bösartig, entpuppten sich nach manueller Prüfung jedoch durchweg als Fehlalarme: ein ungewöhnlich getakteter geplanter Task, ein Service-Account, dessen Name bekannten Mustern oberflächlich ähnelte, oder ein Dateipfad, der zwar auffällig aussah, in der Konfiguration der Patientenakten-Software aber völlig normal war. Werden solche Ergebnisse ungeprüft eskaliert, vergeuden Teams die Zeit ihrer Analysten, binden Führungskapazität und verlieren das Vertrauen in ihre Prozesse.
Fazit
Das ist die eigentliche Lehre aus dem Vorfall. Blindes Vertrauen scheitert auf mehreren Ebenen, sowohl bei der Einschätzung der Sicherheitslage von Dienstleistern als auch bei der Bewertung von KI-Ergebnissen. Selbst eine Lösegeldzahlung garantiert keine Schadensbegrenzung: UnitedHealth zahlte 22 Millionen US-Dollar, und die Angreifer veröffentlichten die Daten dennoch. Agentische KI kann die Lücke zwischen veröffentlichter Threat Intelligence und einsatzfähiger Erkennung von Tagen auf Minuten verkürzen. Sie eignet sich besonders dafür, Threat Intelligence schnell in Erkennungslogik zu übersetzen, Abfragen zu entwerfen, Syntaxarbeit zu reduzieren und die Triage zu beschleunigen, wenn ein neues Advisory erscheint und die Zeit drängt. Ungeeignet ist sie hingegen, um ihre eigenen Ergebnisse zu validieren, Eskalationsentscheidungen zu treffen, Umgebungswissen zu ersetzen oder den Review-Prozess zu umgehen, nur weil der Output „richtig aussieht“.
Im Gesundheitswesen sind die Risiken nicht abstrakt. Maschinenidentitäten hängen an Systemen, die Operationen planen, Medikamente ausgeben, Ansprüche bearbeiten und hochsensible Daten speichern. Agentische KI kann die nötige Skalierung liefern, doch sie braucht den Menschen, der die klinischen Abläufe hinter der Telemetrie kennt und ein echtes Signal von einer überzeugenden Halluzination unterscheiden kann. Der Mensch im Loop ist damit kein Bremser, sondern die Voraussetzung dafür, dass die Beschleunigung nicht zu einem schnelleren Scheitern führt.