patrolmindAI
← all case studies/Gesundheitswesen · Healthcare

Customer story

Atlas Health

Ransomware in 12 Sekunden eingedämmt — über 10 Krankenhäuser hinweg.

Eine kompromittierte Drittanbieter-Software begann an einem Sonntagnachmittag, Patientenakten in der Klinik Mitte zu verschlüsseln. PatrolMind sah es kommen — und beendete den Angriff, bevor die zweite Datei betroffen war.

At a glance

Industry
Gesundheitswesen · Healthcare
HQ
München, Deutschland
Size
11 400 Mitarbeitende · 10 Krankenhäuser
Stack
PatrolMind Sentinel, CrowdStrike Falcon

12 s

von Erkennung zu vollständiger Eindämmung

1

Datei betroffen — und sofort wiederhergestellt

0

Patientendaten verloren oder offengelegt

The challenge

Atlas Health betreibt eine der größten Krankenhausgruppen Süddeutschlands. Zehn Standorte, vierzehn klinische Anwendungen, Tausende Geräte — und ein SOC mit sieben Analyst:innen, die Schichtdienst leisten. Ein klassisches Setup für 2026: zu viele Alarme, zu wenig Personal, ein zunehmend gut finanzierter Gegner.

Im März 2026 lieferte ein vertrauter Drittanbieter ein scheinbar harmloses Update einer Bildgebungsanwendung aus. In dem Update versteckt: eine Ransomware-Komponente mit verzögerter Ausführung, ausgelegt auf einen Sonntagnachmittag — wenn das SOC dünn besetzt ist und die meisten Kliniker Patienten betreuen.

The solution

Atlas Health hatte PatrolMind sechs Monate vorher in der Sentinel-Edition eingeführt. Die NeuralGuard™-Engine hatte ein detailliertes Verhaltensmodell jedes Endpoints, jedes Service-Accounts und jedes ärztlichen Workflows aufgebaut.

Als die bösartige Komponente versuchte, Volume Shadow Copies zu löschen und gleichzeitig Schreibvorgänge auf Hunderten von DICOM-Dateien zu beginnen, registrierte PatrolMind die Anomalie in 8 ms: ein Verhalten, das für DIESES Asset, in DIESEM Zeitfenster, mit DIESEM Account beispiellos war.

Ohne menschliches Zutun beendete die Engine den Prozess, isolierte den Host vom Netz und rotierte alle Service-Tokens, die dem kompromittierten Konto gehörten. Die Eindämmung war abgeschlossen, bevor der diensthabende Analyst seinen Kaffee fertig hatte.

Wir haben PatrolMind als Versicherung gekauft. An dem Sonntag wurde es zum wichtigsten Mitglied unseres Teams. Es hat in 12 Sekunden eine Entscheidung getroffen, für die wir intern wahrscheinlich 12 Minuten gebraucht hätten — und 12 Minuten wären zu spät gewesen.
Dr. Elin Hartmann, CISO, Atlas Health

The results

Vollautonome Eindämmung am Wochenende

Der Vorfall lief von Anfang bis Ende ohne menschliches Eingreifen ab. Der diensthabende Analyst wurde 14 Sekunden nach Beginn des Angriffs informiert — als die Eindämmung bereits abgeschlossen war.

Audit-fähiger Bericht für den DPO am Montag

PatrolMind generierte einen signierten, menschenlesbaren Vorfallsbericht. Atlas' DPO und der externe BSI-Auditor benötigten 30 Minuten, um die Reaktion zu validieren — statt der üblichen Wochen.

Drittanbieter-Risiko sichtbar geworden

Im Anschluss zeigte PatrolMind dem Atlas-Team alle anderen Anwendungen desselben Anbieters und ihr Verhaltensmuster der letzten 90 Tage — und half, einen zweiten Backdoor zu identifizieren, der noch nicht aktiv war.

0 € Lösegeld. Keine Schlagzeile.

Atlas zahlte kein Lösegeld, verlor keine Daten, hatte keinen Krankenhaus-Lockdown. Die Geschichte wurde später in einer Branchenkonferenz erzählt — nicht in den Nachrichten.

What's running

PatrolMind SentinelCrowdStrike FalconMicrosoft Entra IDEpic + CernerAWS eu-central-1 + VPC

Next story

Norden Bank — Banken & Insider-Schutz

Read →
30-Tage-Pilot · 0 € Risiko

Schließen Sie die Lücke zwischen Angriff und Abwehr.

30 Tage Pilotbetrieb, in Ihrer Cloud, ohne Risiko. Sie sehen Bedrohungen, die Ihr aktuelles SIEM nicht erkennt — oder Sie zahlen nichts.

Pilot vereinbaren Mit Engineering sprechen