Der Einsatz von Künstlicher Intelligenz in der Radiologie – ob im Krankenhaus oder in der radiologischen Gemeinschaftspraxis – entwickelt sich zunehmend vom Innovationsprojekt zum festen Bestandteil des klinischen Alltags. Anwendungen zur Bildanalyse, zur Priorisierung von Befunden oder zur Entscheidungsunterstützung versprechen Effizienzgewinne und eine verbesserte Versorgungsqualität.

Gleichzeitig entstehen neue Anforderungen an die Informationssicherheit, die über klassische IT-Sicherheitskonzepte hinausgehen. Sind diese erweiterten, speziellen Anforderungen vom IT-Leiter zu übernehmen und erweitern einfach seinen Aufgabenbereich? Oder verteilen sich die Themen der KI-Sicherheit auf weitere Rollen?

Warum KI-Sicherheit mehr ist als klassische IT-Sicherheit

Ein zentrales Merkmal von KI-Systemen in der Radiologie ist ihre datengetriebene Funktionsweise. So bilden beispielsweise das Sammeln und Kombinieren von Informationen zu radiologischen Themen eine eigene Angriffsfläche. Anders als bei klassischen Anwendungen kann eine Manipulation nicht nur die Verfügbarkeit oder Vertraulichkeit beeinträchtigen, sondern direkt die medizinische Qualität von Ergebnissen. So können gezielte Veränderungen an Eingabedaten zu fehlerhaften Klassifikationen führen, ohne dass dies unmittelbar auffällt. Diese Form von Angriffen muss in den Sicherheitskonzepten aktiv berücksichtigt werden.

In der Praxis beginnt KI-Sicherheit daher bereits bei der Datenbasis. Radiologische Bilddaten unterliegen hohen Anforderungen an Datenschutz und Integrität. Es muss sichergestellt sein, dass Trainings- und Betriebsdaten aus vertrauenswürdigen Quellen stammen und unverändert bleiben. Besonders relevant ist dies bei Systemen, die kontinuierlich dazulernen oder regelmäßig mit neuen Datensätzen aktualisiert werden, da hier die Gefahr einer schleichenden Beeinflussung der Modellqualität besteht.

Rollenklarheit als Grundlage wirksamer KI-Sicherheit

Die Einführung von KI in der Radiologie erfordert eine klare Abgrenzung von Verantwortlichkeiten. In vielen Häusern zeigt sich, dass die erweiterten Anforderungen an die Sicherheit durch den KI-Einsatz nicht allein reine IT-Themen sind und somit zusätzliche Rollen ins Spiel kommen. Eine saubere Rollen- und Aufgabenverteilung zwischen der IT-Leitung, dem Informationssicherheitsbeauftragten und der neuen Rolle des KI-Beauftragten ist daher ein zentraler Erfolgsfaktor. Nachfolgend gehen wir näher auf diese Rollenverteilung ein.

Die IT-Leitung trägt die Gesamtverantwortung für die technische Integration und den sicheren Betrieb der radiologischen Systeme. Dazu gehört die Einbettung von KI-Anwendungen in die bestehende IT-Architektur, die Absicherung von Schnittstellen sowie die Gewährleistung von Verfügbarkeit und Performance. Auch Themen wie Netzwerksegmentierung, Identity und Access Management sowie Patch-Management liegen typischerweise in diesem Verantwortungsbereich.

Der Informationssicherheitsbeauftragte verantwortet die methodische und regulatorische Seite. Er stellt sicher, dass KI-Systeme in das bestehende Informationssicherheitsmanagement eingebunden werden. Dazu gehören Risikoanalysen, Schutzbedarfsfeststellungen und die Definition von Sicherheitsanforderungen. Darüber hinaus überwacht er die Einhaltung interner und externer Vorgaben und begleitet Audits. Im Kontext von KI bedeutet dies insbesondere, neue Bedrohungsszenarien radiologischer Systeme zu bewerten und geeignete Kontrollen zu etablieren.

Der KI-Beauftragte übernimmt eine Brückenfunktion zwischen radiologischem Fachbereich, IT und Informationssicherheit. Seine Aufgabe ist es, den fachlichen Einsatz von KI zu steuern und gleichzeitig ein Verständnis für technische und regulatorische Anforderungen sicherzustellen. Dazu gehört die Bewertung von KI-Anwendungsfällen, das Begleiten der Einführung sowie das Sicherstellen, dass Modelle nachvollziehbar und qualitativ geeignet sind. Im Sicherheitskontext achtet der KI-Beauftragte insbesondere auf Risiken, die sich aus der Funktionsweise der Modelle ergeben, etwa mangelnde Robustheit oder fehlende Erklärbarkeit.

In der Praxis ist entscheidend, dass die drei Rollen eng zusammenarbeiten und sich themenbezogen ergänzen. Bedarfsweise kommt selbstverständlich auch noch der Datenschutzbeauftragte hinzu.

Die KI-Sicherheit entsteht demzufolge nicht durch Einzelmaßnahmen, sondern durch abgestimmte Prozesse entlang des gesamten Einsatzes einer Anwendung. Nachstehend wird diese enge Zusammenarbeit an einigen Beispielen erläutert.

Absicherung der KI-Wertschöpfungskette

Die KI-Anwendungen bestehen aus mehreren aufeinander aufbauenden Komponenten, darunter die Datenvorverarbeitung, das Modelltraining, die Modellbereitstellung und die Integration in klinische Systeme wie PACS oder RIS. Jede dieser Komponenten bringt eigene Risiken mit sich.

Besonders kritisch sind dabei die Schnittstellen. Unsichere APIs oder unzureichend geschützte Datenübertragungen können Angreifern Zugang zu sensiblen Informationen oder sogar zu den Modellen selbst ermöglichen. Ebenso müssen Modellartefakte vor unbefugtem Zugriff geschützt werden, da sie Rückschlüsse auf Trainingsdaten zulassen können. Dazu ein Beispiel: Ein KI-System zur Tumorerkennung wird trainiert und anschließend als Datei oder Paket bereitgestellt. Das Paket enthält das trainierte Modell, Parameter zur Bildvorverarbeitung und Informationen zur Version – es ist das Modellartefakt.

Für die IT-Leitung ergibt sich daraus die Aufgabe, Sicherheitsmaßnahmen für den gesamten Prozess zu etablieren. Gleichzeitig muss der Informationssicherheitsbeauftragte sicherstellen, dass diese Maßnahmen in die bereits bestehenden Sicherheitsprozesse integriert sind. Der KI-Beauftragte wiederum bewertet, welche Komponenten aus fachlicher Sicht besonders kritisch sind, und priorisiert entsprechende Schutzmaßnahmen.

Monitoring und Nachvollziehbarkeit

Ein häufig unterschätztes Risiko liegt in der mangelnden Nachvollziehbarkeit von KI-Entscheidungen. In der Radiologie kann dies erhebliche Auswirkungen haben, da medizinische Entscheidungen auf den Ergebnissen der Systeme basieren.

Auch hier müssen die drei Rollen eng zusammenarbeiten: Aus Sicht der IT-Leitung ist es erforderlich, KI-Systeme in bestehende Loggin- und Monitoring-Strukturen zu integrieren. Der Informationssicherheitsbeauftragte definiert Anforderungen an die Protokollierung und die Auswertung, während der KI-Beauftragte festlegt, welche fachlichen Parameter überwacht werden müssen, um Abweichungen frühzeitig zu erkennen.

Das Ziel liegt darin, nicht nur klassische Sicherheitsvorfälle zu erkennen, sondern auch Anomalien im Modellverhalten. Dies erfordert eine enge Verzahnung von technischer Überwachung und fachlicher Bewertung.

Praxisbeispiel: KI in der Befundpriorisierung

Ein KI-System zur Erkennung von Lungenveränderungen wird in den radiologischen Workflow integriert und priorisiert auffällige Befunde. Wird dieses System kompromittiert, könnte es gezielt bestimmte Fälle falsch priorisieren oder unauffällig erscheinen lassen.

  • Die IT-Leitung ist in diesem Szenario dafür verantwortlich, die technische Integrität des Systems sicherzustellen und Manipulationen zu verhindern.
  • Der Informationssicherheitsbeauftragte bewertet das Risiko eines solchen Angriffs und definiert geeignete Kontrollen.
  • Der KI-Beauftragte überprüft regelmäßig die fachliche Qualität der Ergebnisse und identifiziert Auffälligkeiten im Systemverhalten. Das macht deutlich: Nur durch das Zusammenspiel der Rollen kann sichergestellt werden, dass sowohl technische als auch fachliche Risiken adressiert werden.

Fazit: KI-Sicherheit als gemeinsame Aufgabe

Wie wir an diesem Praxisbeispiel von KI in der Radiologie sehen, eröffnen sich erhebliche Potenziale, es entstehen aber auch neue Sicherheitsanforderungen. Für die IT-Leitung bedeutet dies, Verantwortung über die klassische IT hinaus zu denken und neue Technologien aktiv in die Sicherheitsarchitektur zu integrieren.

Gleichzeitig zeigt sich aber auch, dass KI-Sicherheit nur dann wirksam umgesetzt werden kann, wenn klare Rollen definiert sind und eng zusammenarbeiten. Die IT-Leitung schafft die technische Grundlage, der Informationssicherheitsbeauftragte sorgt für Struktur und Compliance, und der KI-Beauftragte stellt die fachliche Qualität und Anwendbarkeit sicher. Diese klare Aufgabenteilung schafft Transparenz, reduziert Risiken und ermöglicht es, KI sicher und effizient in der radiologischen Praxis einzusetzen.

Wenn Sie mehr zu den drei Rollen der KI-Sicherheit wissen möchten, dann nehmen Sie Kontakt zu uns auf: walter.schaefer@adiccon.de  oder rufen uns unter 0160 90997764 an.