Clear Sky Science
Evidenzbasierte, jargonarme Erklärungen

Clear Sky Science · de

Sicherstellung der Integrität von KI-Modellen: ein blockchainbasiertes Vorgehen zum Schutz von Trainingsdaten für medizinische Bildgebung

· Zurück zur Übersicht

Warum der Schutz medizinischer Aufnahmen wichtig ist

Wenn Ärztinnen und Ärzte künstliche Intelligenz einsetzen, um Hirntumoren in MRT-Aufnahmen zu erkennen, vertrauen sie in hohem Maße den Daten und der Software. Aber was, wenn jemand diese Aufnahmen unbemerkt so verändert, dass die KI falsche Schlüsse zieht — oder einen Tumor als harmlos fehlinterpretiert? Dieser Artikel untersucht, wie eine Kombination aus Blockchain-Technologie und verteilt gespeicherter Dateiablage medizinische Bilder ab dem Moment ihrer Entstehung absichern kann, sodass lebenswichtige Entscheidungen nicht auf korrupten Daten beruhen.

Figure 1
Figure 1.

Die verborgene Bedrohung in medizinischen Bildern

Moderne KI-Systeme, insbesondere tief lernende Modelle, erkennen subtile Muster in MRT-Hirnbildern, die Menschen übersehen könnten, verbessern so die Genauigkeit und entlasten Ärztinnen und Ärzte. Diese Modelle sind jedoch nur so vertrauenswürdig wie die Bilder, mit denen sie trainiert wurden. Angreifer können "Data-Poisoning"-Angriffe durchführen, indem sie geringfügig manipulierte MRT-Aufnahmen in Trainingsdatensätze einschleusen. Die Änderungen sind so klein, dass Menschen sie nicht wahrnehmen, sie können das KI-Modell jedoch zu gefährlichen Fehlern treiben, etwa zu einer systematischen Fehlklassifikation eines Tumortyps. Ähnliche Manipulationen können in der Testphase vorgenommen werden, wenn ein Angreifer eine einzelne Aufnahme subtil verändert, um ein eingesetztes Modell zu täuschen. Da heutige Pipelines für medizinische Bildgebung oft keine belastbaren Nachweise darüber liefern, woher Daten stammen und ob sie verändert wurden, sind solche Angriffe schwer zu entdecken und können lebensbedrohliche Folgen haben.

Warum bestehende Abwehrmaßnahmen nicht ausreichen

Forscherinnen und Forscher haben mehrere Taktiken ausprobiert, um KI-Modelle zu schützen, doch die meisten behandeln Symptome statt Ursachen. Adversariales Training setzt Modelle vielen manipulierten Beispielen aus, damit sie lernen, bestimmten Angriffen zu widerstehen, ist aber rechenintensiv und schützt meist nur gegen bekannte Tricks. Methoden zur "Bildreinigung", wie Kompression oder Rauschunterdrückung, können einige Störungen entfernen, versagen jedoch bei komplexeren Angriffen und weisen nicht nach, woher die Daten stammen. Andere Ansätze, etwa digitale Wasserzeichen oder spezielle sichere Hardware, bieten nützliche Funktionen wie Manipulationserkennung oder geschützte Verarbeitung, setzen jedoch voraus, dass die in das System gelangenden Bilder bereits vertrauenswürdig sind. Keine dieser Methoden liefert eine durchgehende Aufzeichnung jeder medizinischen Aufnahme vom Moment der Erzeugung am Scanner über Speicherung und Weitergabe bis zur Nutzung im KI-Training.

Eine neue Datenpipeline, gebaut auf geteilter Vertrauensbasis

Die Autorinnen und Autoren schlagen eine neue Architektur vor, die Bilder unmittelbar bei ihrer Entstehung in einer diagnostischen Einrichtung schützt. In ihrem Entwurf kooperieren drei Akteure: der DataOwner (etwa die radiologische Abteilung eines Krankenhauses), der DataCustodian, der sichere Speicherung und Berechtigungen verwaltet, und das ResearchCenter, das KI-Modelle trainiert. Anstatt die Bilder direkt auf einer Blockchain abzulegen — was langsam und ressourcenintensiv wäre — werden rohe MRT-Dateien in einem privaten, isolierten Netzwerk verteilter Speicherknoten gehalten, genannt Private IPFS. Jede Aufnahme erhält einen eindeutigen kryptographischen Fingerabdruck oder Inhaltsidentifier, der sich bereits bei einer Änderung eines einzelnen Pixels ändert. Dieser Fingerabdruck sowie Informationen darüber, wer das Bild hochgeladen hat und wann, werden dann in einer permissioned Blockchain auf Basis von Hyperledger Fabric vermerkt, die nur zwischen zugelassenen Organisationen geteilt wird.

Figure 2
Figure 2.

Wie das System Manipulationen verhindert

Wann immer eine Forscherin oder ein Forscher Bilder verwenden möchte, sendet sie oder er eine digital signierte Anfrage, die auf der Blockchain protokolliert wird. Nur autorisierte Parteien können diese Anfrage genehmigen, und die Genehmigung selbst wird Teil des dauerhaften Protokolls. Die Forschenden rufen dann das Bild aus dem privaten Speichernetzwerk ab und berechnen dessen Fingerabdruck neu. Stimmen der neue Fingerabdruck und der auf der Blockchain gespeicherte nicht überein, wird das Bild als manipuliert markiert und am Eintritt in die KI-Trainingspipeline gehindert. So entsteht eine manipulationsnachweisbare, vollständig prüfbare Spur: Jeder Upload, jede Zugriffsanfrage, jede Freigabe und jeder Abruf werden über mehrere unabhängige Rechner hinweg protokolliert, was unbemerkte Manipulationen erheblich erschwert. Die Autorinnen und Autoren setzten den Entwurf mit echten MRT-Hirntumoraufnahmen um, bewerteten die Leistung mit einem Werkzeug namens Hyperledger Caliper und zeigten, dass das System sichere, nahezu in Echtzeit ablaufende Uploads mit niedrigen Ausfallraten und handhabbaren Verzögerungen bewältigen kann.

Was das für sicherere KI in Krankenhäusern bedeutet

Kurz gesagt wirkt das vorgeschlagene System wie ein verschlossenes, transparentes Tresorraum für medizinische Bilder. Für alle ist sichtbar, wann eine Aufnahme in den Tresor gelangt oder ihn verlässt, und jeder Versuch, eine Aufnahme zu verändern, hinterlässt eindeutige Fingerabdrücke. Durch die Kombination einer permissioned Blockchain mit privater verteilter Speicherung und strengen Zugriffskontrollen geht das Framework das Kernproblem an: Es verhindert, dass vergiftete oder gefälschte Bilder jemals das KI-Modell erreichen. Zwar bleiben praktische Herausforderungen — etwa die Anbindung an bestehende Krankenhaussoftware und die Einhaltung komplexer Datenschutzvorschriften — bestehen, doch dieser Ansatz bietet einen vielversprechenden Weg zu KI-Werkzeugen, denen Klinikerinnen, Kliniker und Patientinnen und Patienten insbesondere in hochriskanten Bereichen wie der Hirntumordiagnostik vertrauen können.

Zitation: Shinde, R., Patil, S., Kotecha, K. et al. Ensuring the integrity of AI models: a blockchain-based approach for protecting medical imaging training data. Sci Rep 16, 13989 (2026). https://doi.org/10.1038/s41598-026-44040-3

Schlüsselwörter: Sicherheit medizinischer Bildgebung, Blockchain im Gesundheitswesen, adversarielle Angriffe, Hirntumor-MRT, vertrauenswürdige KI