Eine aktuelle Forschungsstudie des Münchner Forschungsteams um Moritz A. Knolle, Daniel Rueckert und Mitwirkende der Imperial College London sowie der Universität Potsdam deckt erhebliche und ungleiche Datenschutzrisiken auf, die mit dem Einsatz von KI-Modellen in der Medizin verbunden sind. Während medizinische KI das Potenzial birgt, die Gesundheitsversorgung insbesondere in ressourcenarmen Regionen zu verbessern, machen Angreifer die Vorhersageoberflächen der Modelle für datenschutzrelevante Angriffe nutzbar. Die Studie konzentriert sich auf Membership Inference Attacks, bei denen Dritte allein durch die Analyse von Modellvorhersagen ableiten können, ob bestimmte Patientendaten zum Trainingsset gehörten. Bisherige Sicherheitsbewertungen stützten sich ausschließlich auf aggregierte Erfolgswerte. Die neuen Ergebnisse zeigen jedoch, dass diese Metriken die tatsächliche Gefährdung auf individueller Ebene massiv unterschätzen. Anhand großer klinischer Datensammlungen, darunter Röntgenbilder, EKGs und elektronische Patientenakten, demonstriert das Forschungsteam, dass das Risiko einer erfolgreichen Mitgliedschaftsableitung höchst ungleich verteilt ist. Während die überwiegende Mehrheit der Patientendaten kaum angreifbar ist, weisen eine kleine Minderheit eine nahezu perfekte Angriffserfolgsquote auf. Ein erfolgreicher Angriff offenbart direkt sensible Gesundheitsinformationen, da die Zugehörigkeit zu krankheitsspezifischen Kohorten selbst als vertrauliches Signal dient. Die Analyse identifiziert zwei entscheidende Treiber dieser Disparität. Erstens steigt die Angriffsfläche mit der Modellkapazität drastisch an. Größere und leistungsfähigere Netzwerke erhöhen den Anteil der hochgradig verwundbaren Patienten um bis zu zwei Größenordnungen. Zweitens treffen die Risiken Unterrepräsentierte überproportional häufig. Patienten mit Minderheitenstatus, solchen mit staatlicher Versicherung oder Fällen seltener Erkrankungen sind in der Gruppe der extrem verwundbaren Datensätze signifikant überrepräsentiert. Dies verstärkt bestehende gesundheitliche Ungleichheiten, da marginalisierte Gruppen bereits heute häufig von niedrigerer Diagnosegenauigkeit betroffen sind. Als wirksame Gegenmaßnahme validiert die Studie Differenziellen Datenschutz. Durch das gezielte Hinzufügen von mathematisch fundiertem Rauschen während des Trainings lassen sich die Angriffserfolge zuverlässig reduzieren. Die Forscher stellen jedoch fest, dass Ansätze nur auf Datensatzebene nicht ausreichen; zum Schutz der individuellen Privatsphäre müssen die Sicherheitsgarantien auf der Patientenebene implementiert werden. Zudem plädieren die Autoren für eine Überarbeitung der Berichtsstandards in der KI-Sicherheitsauditierung. Anstelle aggregierter Metriken müssen zukünftig patientenbezogene Risikoanalysen im Vordergrund stehen. Die Erkenntnisse haben weitreichende Konsequenzen für die Entwicklung klinischer KI-Systeme. Um das Vertrauen der Patientenschaft zu wahren und rechtliche Anforderungen zu erfüllen, empfehlen die Experten den verpflichtenden Einsatz mathematisch verifizierbarer Schutztechniken sowie strengere Zugriffskontrollen. Nur so lässt sich die Balance zwischen Diagnosegenauigkeit und dem grundrechtlichen Schutz sensibler Gesundheitsdaten auf Dauer sichern.