Burnout und Zeitdruck treiben das Phänomen an. Eine Studie des Informatikunternehmens Wolters Kluwer offenbart das Ausmaß: 41 Prozent der befragten Angestellten im Gesundheitswesen sind sich bewusst, dass Kollegen unautorisierte KI-Tools nutzen. Fast 50 Prozent gaben an, diese aus Gründen der Effizienzsteigerung einzusetzen. Ein Drittel begründete den Griff zu ungenehmigten Tools damit, dass zugelassene Systeme nicht verfügbar oder nicht leistungsfähig genug sind.
Joe Izzo, Chief Medical Information Officer des San Joaquin General Hospital, warnte jüngst auf der RSAC 2026 Conference vor den Konsequenzen. Kliniker verwenden Shadow AI für klinische Dokumentation, Abrechnungsassistenz und Verwaltungsaufgaben – Arbeiten, die ihnen täglich Stunden kosten. Das Problem: Diese Tools operieren außerhalb jeder Kontrollinstanz. Sicherheitsteams können Bedrohungen nicht erkennen, die sie nicht sehen können.
Doug Merritt, CEO von Aviatrix, beschreibt es als zweischneidiges Schwert: Shadow AI schafft nicht nur eine Sichtbarkeitslücke, sondern auch Workloads mit unbegrenztem Schadensradius. KI-Agenten benötigen oft erhebliche Systemrechte – eine ideale Angriffsfläche für Ransomware und Datenbankenzugriffe. Besonders kritisch: Das Gesundheitswesen verwaltet die sensiblesten Daten aller Industrien.
Ein zusätzliches Phänomen verstärkt das Problem: Anbieter von KI-Tools umgehen zunehmend Krankenhauspolitiken. Sie vermarkten ihre Lösungen direkt bei Ärzten auf Konferenzen und präsentieren nutzerspezifische Vereinbarungen, die alle Verantwortung auf den einzelnen Arzt übertragen – während sie die institutionellen Governance-Strukturen umgehen.
Doch Verbote funktionieren nicht. Jeremy Banon, CEO von The Cyber Health Company, betont klar: Menschen werden Shadow AI nicht einfach stoppen, solange die Produktivitätsgewinne so erheblich sind. Die Strategie muss sich auf Visibilität und Containment konzentrieren. Organisationen sollten davon ausgehen, dass Shadow AI bereits in ihren Systemen läuft, und deshalb Zero-Trust-Policies für KI-Workloads implementieren. Dies bedeutet: KI-Tools begrenzen, ihre Kommunikation überwachen und ihre Auswirkungen kontrollieren.
Für deutsche Kliniken und Krankenhäuser gilt: Ein Verbot ist keine Lösung. Stattdessen braucht es Transparenz, sichere Genehmigungsprozesse und eine ehrliche Diskussion mit dem medizinischen Personal über deren Bedürfnisse. Nur so lässt sich Shadow AI aus dem Schatten holen – bevor sie zum Einfallstor für einen erfolgreichen Cyberangriff wird.