Künstliche Intelligenz wird für viele Bereiche des Gesundheitswesens relevant.  Das gilt insbesondere für die medizinischen Bereiche der Krankenhäuser, wie beispielsweise Radiologie, Diagnostik und OP-Planung, aber auch die Klinikverwaltung profitiert von der schnelleren Bearbeitung aufwändiger Routineabläufe. Auf einen kurzen Nenner gebracht: Die KI-Systeme erkennen Muster, unterstützen Entscheidungen und entlasten somit das Fachpersonal.

Doch mit dem Einsatz von KI gehen auch neue Risiken einher. Die Angreifer im Netz richten ihren Fokus zunehmend auf diese Systeme, sicher auch mit dem Hintergrund, dass die Schutzmechanismen vielfach noch unterentwickelt sind. Entsteht damit für die IT-Verantwortlichen eine zusätzliche, neue Verantwortung, die sie alleine tragen müssen?

Warum KI-Systeme besonders anfällig sind

 Die KI-Systeme unterscheiden sich strukturell deutlich von klassischer Software. Das Prinzip ist einfach: Sie lernen aus verfügbaren Daten und treffen auf dieser Basis Entscheidungen. Genau dieses Arbeitsprinzip macht sie auch mehr als andere Systeme angreifbar. Wenn beispielsweise die Daten manipuliert werden, verändert sich das durch die KI erzeugte Ergebnis. In unserer Beratungspraxis haben wir erlebt, dass diese Situation oft lange unbemerkt bleibt, weil die erzeugten Ergebnisse weiterhin durchaus plausibel wirken.

Eine in der Praxis häufig unterschätzte Tatsache besteht darin, dass viele KI-Anwendungen in der Cloud laufen und dann in bestehende Systeme integriert werden. Dadurch entstehen neue Abhängigkeiten und die Transparenz bleibt auf der Strecke. Zudem stellt der Datenschutz zurecht die Frage nach der Sicherheit für die hochsensiblen Patientendaten.

Angriff über manipulierte Trainingsdaten

Ein zentrales Risiko entsteht dadurch, dass die Trainingsdaten der KI manipuliert werden können. Die Angreifer schleusen dabei gezielt falsche Daten ein. Die KI lernt dann damit und entscheidet später falsch. Dieser Angriff erfolgt erfahrungsgemäß oft früh in der Wertschöpfungskette und bleibt dann lange unentdeckt.

Dazu ein praktisches Beispiel aus der Radiologie: Wenn Bilddaten gezielt verändert werden, kann die KI Tumore übersehen oder falsch klassifizieren. Das wirkt sich dann auf die Diagnose aus und führt im schlimmsten Fall zu Fehlbehandlungen. In der Praxis sind solche Angriffe bis jetzt noch schwer nachzuweisen, da sie sich tief im Modell verankern.

Als Konsequenz daraus ergibt sich, dass die Herkunft und Qualität von Trainingsdaten einer eindeutigen, klaren Regelung Bedarf. Die Datenquellen der KI brauchen Schutz und Kontrolle. Es sollte verbindlich dokumentiert sein, wer Daten bereitstellt, wie sie geprüft werden und wann sie durch wen genutzt wurden.

Modell-Diebstahl und Reverse Engineering

Die KI-Modelle haben einen hohen Wert, weil sie gesammeltes Wissen enthalten, das über lange Zeit aufgebaut wurde. Die Angreifer versuchen daher häufig, diese Modelle zu stehlen oder zu auch kopieren.

Durch gezielte Anfragen können sie Rückschlüsse auf das jeweilige Modell ziehen und so entsteht nach und nach eine Kopie. Dieses Vorgehen nennt man Model Extraction. Davon können auch interne Modelle betroffen sein, wenn Schnittstellen nicht ausreichend geschützt sind.

Neben dem wirtschaftlichen Schaden entsteht ein weiteres Risiko: Die Angreifer verstehen das Modell grundsätzlich möglicherweise noch besser und können dann gezielt Schwachstellen ausnutzen. So lassen sich dann Angriffe vorbereiten, die besonders effektiv sind.

Datenabfluss durch KI-Systeme

Ein sehr ernst zu nehmendes Risiko besteht darin, dass die KI-Systeme im Krankenhaus fast ausschließlich sensible Daten verarbeiten. Dazu gehören grundsätzlich alle Patientendaten, in der Radiologie die Bilddaten und bei der Diagnose die Befunde. Wenn ein System kompromittiert wird, droht ein massiver Datenabfluss mit allen kritischen Folgen.

Ein tückisches Risiko besteht erfahrungsgemäß bei den Schnittstellen, denn viele KI-Lösungen tauschen Daten mit anderen Systemen aus. Jede Schnittstelle ist dabei ein potenzieller Angriffspunkt und unsichere APIs oder falsch konfigurierte Zugriffe können zum Problem werden.

Hier kann aus unserer Sicht nur eine strikte Zugriffsregelung helfen. Eine Verschlüsselung der Daten und Protokollierung des Datenflusses sind Pflicht. Zudem müssen die Test- und Produktionsdaten klar getrennt sein.

Prompt-Injection und Missbrauch generativer KI

Mit dem Einsatz generativer KI entstehen weitere neue Angriffsmöglichkeiten. Systeme, die mit Text arbeiten, lassen sich sehr gezielt manipulieren, weil die Angreifer die Eingaben so formulieren, dass definierte Sicherheitsregeln umgangen werden.

Hierzu wieder ein Beispiel aus unserer täglichen Praxis: Ein Chatbot im klinischen Umfeld erhält eine scheinbar harmlose Anfrage, die versteckte Anweisungen enthält. Das System gibt daraufhin sensible Informationen preis oder führt unerwünschte Aktionen aus.

Diese Angriffe sind schwer zu erkennen, da klassische Sicherheitsmechanismen hier oft nicht greifen.

Wir empfehlen, auch hier klare Nutzungsrichtlinien zu definieren, um den Schutz zu erhöhen.

Fehlkonfiguration und Schatten-IT

Die Wahrheit ist auch, dass nicht jeder Angriff hochkomplex ist. Die Praxis zeigt, dass Risiken häufig durch einfache Fehler entstehen. Wir haben den Eindruck, dass KI-Systeme schnell eingeführt werden, ohne dass klare Sicherheitskonzepte vorhanden sind und umgesetzt werden. Einzelne Fachabteilungen in den Krankenhäusern testen neue Tools eigenständig und ohne Absprache, um die innovative Technologie in ihrem Alltag nutzbringend einzusetzen.

So entsteht schnell eine gefährliche Schatten-IT. Die Systeme laufen ohne zentrale Kontrolle und mögliche Sicherheitslücken bleiben unentdeckt. Es besteht zudem das Risiko, dass Daten außerhalb der gesicherten Infrastruktur verarbeitet werden. Gerade bei KI ist das kritisch. Denn die Auswirkungen sind oft schwer vorhersehbar. Eine falsche Konfiguration kann große Folgen haben. Die IT-Leitung muss hier klare Leitplanken setzen.

Mangelnde Überwachung und fehlende Nachvollziehbarkeit 

Ein weiteres Problem, das sich stellt, ist die fehlende Transparenz im Betrieb. Viele KI-Systeme arbeiten wie eine Blackbox und Entscheidungen lassen sich nur schwer nachvollziehen. Wenn ein Angriff erfolgt, fehlt oft die Grundlage für eine schnelle Analyse. Logs sind unvollständig oder nicht auf KI-Prozesse ausgelegt, auffällige Veränderungen im Verhalten der KI werden dann zu spät erkannt.

Hier braucht es vollkommen neue Ansätze. Das Monitoring muss auch die Ergebnisse der KI berücksichtigen. Abweichungen sollten automatisch erkannt und gemeldet werden.

Warum ein KI-Beauftragter sinnvoll ist

Die beschriebenen vielfältigen Risiken zeigen: Die KI braucht eine klar zugeordnete Verantwortung. Bei einem unserer Kunden hat der IT-Leiter angeregt, für die organisatorische KI-Verantwortung die Funktion eines KI-Beauftragten einzuführen. Zwar gibt es bei den technischen Themen viele Schnittmengen mit den IT-Themen, aber darüber hinaus koordiniert der KI-Beauftragte nun alle Aktivitäten rund um den Einsatz von KI.

Dazu gehören:

  • Bewerten von Risiken vor der Einführung
  • Prüfen von Anbietern und Technologien
  • Definieren von Sicherheitsanforderungen
  • Überwachen des laufenden Betriebs
  • Abstimmen mit Datenschutz und Informationssicherheit

Der externe KI-Beauftragte, der von Adiccon gestellt wird, fungiert zudem als Schnittstelle zwischen IT, klinischen Abteilungen, Verwaltung und Management. So entsteht ein gemeinsames Verständnis für Chancen und Risiken. Gleichzeitig sorgt er dafür, dass regulatorische Anforderungen eingehalten werden.

Fazit

Die KI bietet große Chancen für das Gesundheitswesen und im Besonderen für die Krankenhäuser und Klinikgruppen. Gleichzeitig entstehen neue Risiken, die heute noch wenig sichtbar sind, aber schnell gravierende Folgen haben können.

Wir setzen uns dafür ein, dass Sicherheit beim KI-Einsatz von Anfang an mitgedacht werden muss. Ein strukturierter Ansatz ist entscheidend, der die technischen und organisatorischen Aufgaben fokussiert und lösungsorientiert in den Blick nimmt. Dabei kommt die neue Rolle eines KI-Beauftragten ins Spiel, die die Realisierung von KI im Krankenhaus dadurch unterstützt, dass vorhandene Risiken gezielt und kompetent gesteuert werden.

Wer KI systematisch absichert, schafft Vertrauen bei Mitarbeitenden und Patienten. So wird KI nicht nur leistungsfähig, sondern auch sicher und verantwortungsvoll einsetzbar.

Wenn Sie mehr zu möglichen Angriffsszenarien auf KI-Systeme und deren Abwehr wissen möchten, dann nehmen Sie Kontakt zu uns auf: walter.schaefer@adiccon.de, oder mobil unter 0160 90997764.