Gesundheitsorganisationen setzen KI-Tools zunehmend ein, ohne dass Sicherheits- und Compliance-Abteilungen Schritt halten können. ITWelt.at hat sich eine aktuelle Studie von Paubox angesehen. [...]
Die von Paubox veröffentlichte Untersuchung „Shadow AI is outpacing healthcare email security“ beleuchtet, wie stark unkontrollierte KI-Nutzung – sogenannte „Shadow AI“ – im Gesundheitswesen verbreitet ist. Gemeint ist der Einsatz von KI-Tools ohne Genehmigung durch IT oder Compliance. Die Ergebnisse zeigen: Der Druck, KI schnell einzuführen, wächst, während Sicherheitsrichtlinien und Schulungen hinterherhinken. Damit entstehen gravierende Risiken für Datenschutz, IT-Sicherheit und die Einhaltung gesetzlicher Vorgaben wie der US-amerikanischen HIPAA-Regeln.
Rasante KI-Adoption ohne Sicherheitsnetz
Die Studie beschreibt, dass viele Führungskräfte KI als Effizienztreiber und Innovationsmotor begreifen. Anwendungen wie Microsoft 365 Copilot oder Googles Gemini werden in Rekordzeit eingeführt, um Wettbewerbsvorteile zu sichern. Doch die Sicherheits- und Compliance-Abteilungen seien dafür nicht ausreichend gerüstet. Laut Umfrage haben 83 Prozent der IT- und Compliance-Verantwortlichen Bedenken hinsichtlich der Datensicherheit geäußert, während 69 Prozent sich unter Druck gesetzt fühlen, KI schneller einzuführen, als sie sie absichern können.
Rund 75 Prozent der Befragten geben an, dass KI-Einsatz die E-Mail-Compliance eher erschwert als vereinfacht. Besonders problematisch: In 16 Prozent der Organisationen wurden Compliance-Beauftragte gar nicht einbezogen, bevor KI-Funktionen in Outlook oder Gmail aktiviert wurden. Dieses unkoordinierte Vorgehen öffnet laut Studie die Tür für unkontrollierte Datennutzung und rechtliche Risiken.
Schatten-KI in der Praxis
Während die Unternehmensspitze KI strategisch vorantreibt, nutzen Mitarbeitende sie längst eigenständig. Etwa 95 Prozent der Organisationen vermuten, dass Beschäftigte bereits KI-Tools in ihrer täglichen Arbeit einsetzen, auch wenn diese nicht genehmigt sind. 62 Prozent der befragten IT-Leiter haben beobachtet, dass Angestellte mit ChatGPT oder ähnlichen Werkzeugen experimentieren – obwohl diese offiziell untersagt sind.
Die Gründe für dieses Verhalten liegen auf der Hand: Überlastete Teams sehen in KI eine schnelle Hilfe beim Verfassen von E-Mails, bei der Datenanalyse oder bei administrativen Aufgaben. Wenn keine offiziellen Lösungen bereitstehen, greifen sie zu frei verfügbaren Online-Tools. Laut Studie glauben 75 Prozent der IT-Leiter, dass viele Beschäftigte Tools wie Microsoft Copilot automatisch für HIPAA-konform halten – ein gefährlicher Irrtum.
Gefahren für Datenschutz und Compliance
Unkontrollierter KI-Einsatz kann zur Weitergabe sensibler Patientendaten führen. Wer etwa medizinische Informationen in einen Chatbot eingibt, riskiert, dass diese Daten gespeichert oder zur Weiterentwicklung des Modells genutzt werden – ein klarer Verstoß gegen Datenschutzvorgaben. Nur 42 Prozent der befragten Organisationen haben bislang ein sogenanntes Business Associate Agreement (BAA) mit einem Anbieter von KI-E-Mail-Assistenten abgeschlossen, das die Verarbeitung geschützter Gesundheitsinformationen regelt.
Hinzu kommt eine gefährliche Selbstsicherheit: 94 Prozent der Führungskräfte glauben, Missbrauch durch KI rechtzeitig erkennen zu können, obwohl viele keine technischen Möglichkeiten haben, KI-Aktivitäten zu überwachen. Herkömmliche Sicherheitsmechanismen wie Verschlüsselung oder Data-Loss-Prevention-Regeln greifen hier oft zu kurz. Shadow AI kann so zu einem unbemerkten Einfallstor für Datenlecks und Compliance-Verstöße werden.
Technische Schutzmaßnahmen
Die Studie hebt hervor, dass moderne E-Mail-Sicherheitslösungen helfen können, Risiken zu reduzieren. Moderne Plattformen verschlüsseln sämtliche Nachrichten automatisch, sodass die Kommunikation mit Patienten datenschutzkonform bleibt. Ergänzend lassen sich Data-Loss-Prevention-Regeln anpassen, um ungewöhnliche Textmengen oder Aktivitäten zu erkennen, die auf KI-Nutzung hindeuten.
Auch KI-gestützte Systeme können laut Bericht helfen, neue Angriffsmethoden wie „Prompt Injection“ zu identifizieren. Dabei versuchen Angreifer, generative KI durch manipulierte Eingaben zu fehlerhaften oder gefährlichen Ausgaben zu verleiten. Sicherheitslösungen, die typische Kommunikationsmuster einer Organisation kennen, könnten Abweichungen frühzeitig melden und so Datenverluste verhindern.
Organisatorische Verantwortung und Schulungslücken
Trotz technischer Hilfsmittel bleibt die organisatorische Verantwortung entscheidend. Die Studie zeigt, dass 94 Prozent der Gesundheitsorganisationen ihre Sicherheitsrichtlinien derzeit anpassen oder bereits aktualisiert haben. Doch nur 16 Prozent haben den Großteil ihrer Mitarbeitenden, die Zugang zu Patientendaten haben, auch im Umgang mit KI geschult. Ganze 84 Prozent verfügen also über unzureichend geschulte Teams.
Ein weiterer Schwachpunkt ist die Einschätzung der Vertragslage: 21 Prozent der Befragten glauben, dass ein BAA für den Einsatz eines KI-E-Mail-Assistenten gar nicht erforderlich sei. Diese Fehleinschätzung erhöht das Risiko von Datenschutzverstößen erheblich.
Handlungsempfehlungen
Paubox empfiehlt, klare Richtlinien für KI-Nutzung zu definieren, bestehende Datenschutzverträge zu überprüfen und Mitarbeitende gezielt zu schulen. Zudem sollten IT-Teams proaktiv prüfen, welche Tools bereits im Einsatz sind – auch wenn diese nicht offiziell genehmigt wurden. Nur durch Transparenz, technische Kontrollen und Bewusstseinsbildung könne Shadow AI in geordnete Bahnen gelenkt werden.
Darüber hinaus sei es wichtig, Anreize für regelkonforme Nutzung zu schaffen. Wenn offizielle, geprüfte KI-Lösungen bereitgestellt werden, sinke die Motivation der Mitarbeitenden, auf riskante Schattenanwendungen zurückzugreifen.
Das Fazit der ITWelt-Redaktion
Die Studie verdeutlicht, dass das Gesundheitswesen zwischen Innovationsdruck und Sicherheitsanforderungen zerrieben wird. Der unkoordinierte Einsatz von KI-Tools durch Mitarbeitende – oft ohne Wissen der IT-Abteilung – schafft gravierende Sicherheitslücken. Zugleich fehlt es an Schulung, Ressourcen und klaren Richtlinien.
Solange KI schneller eingeführt wird, als Sicherheitsprozesse nachgezogen werden können, bleibt Shadow AI ein wachsendes Risiko. Nur wer technische Schutzmaßnahmen, Schulung und Governance konsequent verbindet, kann die Vorteile generativer KI nutzen, ohne Datenschutz und Compliance zu gefährden.
Die Studie kann hier heruntergeladen werden.
Be the first to comment