Wie Deepfake-Röntgenbilder funktionieren – und warum sie Ärzte täuschen

Wenn KI lernt, Röntgenbilder zu fälschen

Generative künstliche Intelligenz kann Essays schreiben, Musik komponieren und fotorealistische Porträts erstellen. Jetzt kann sie auch medizinische Bilder fälschen, die überzeugend genug sind, um ausgebildete Radiologen zu täuschen. Eine im Fachjournal Radiology veröffentlichte Studie ergab, dass Ärzte KI-generierte Röntgenbilder nur in etwa 75 Prozent der Fälle korrekt von echten unterscheiden konnten – kaum besser als ein Münzwurf, wenn sie nicht gewarnt wurden, dass Fälschungen vorhanden waren.

Die Erkenntnis hat einen schnell aufkommenden Bedrohung in den Fokus gerückt: Deepfake-Röntgenbilder. Zu verstehen, wie sie hergestellt werden, warum sie so schwer zu erkennen sind und was dagegen unternommen werden kann, ist für jeden Patienten, Versicherer und Kliniker von Bedeutung.

Wie synthetische medizinische Bilder erstellt werden

Moderne Deepfake-Röntgenbilder basieren auf zwei Hauptfamilien von KI. Diffusionsmodelle, wie das an der Stanford Medicine entwickelte Open-Source-System RoentGen, lernen die statistischen Muster von Tausenden authentischer Scans und generieren dann neue Bilder Pixel für Pixel. Multimodale Large Language Models wie ChatGPT-4o können nun anatomisch plausible Röntgenaufnahmen aus einer einfachen Textaufforderung erstellen – zum Beispiel „zeige ein Thorax-Röntgenbild mit einem rechtsseitigen Pneumothorax“.

Das Ergebnis ist ein Bild, das realistische Knochendichte, Lungenzeichnungen und Weichteilkontraste enthält. Im Gegensatz zu groben Fotobearbeitungen werden diese synthetischen Scans von Grund auf neu erstellt, wodurch herkömmliche Methoden zur Erkennung von Manipulationen weitgehend nutzlos werden.

Warum Ärzte und KI Schwierigkeiten haben, Fälschungen zu erkennen

Die von Mount Sinai geleitete Studie, die in 12 Forschungszentren mit 17 Radiologen durchgeführt wurde, testete die Erkennung in Phasen. Als die Teilnehmer nicht wussten, dass Fälschungen enthalten waren, erkannten nur 41 Prozent spontan die KI-generierten Bilder. Selbst nachdem ihnen mitgeteilt wurde, dass synthetische Scans vorhanden waren, erreichte die durchschnittliche Genauigkeit nur 75 Prozent. Die individuelle Leistung reichte von 58 bis 92 Prozent, und die Berufserfahrung machte keinen statistischen Unterschied.

KI schnitt nicht besser ab. Vier führende multimodale Modelle – GPT-4o, GPT-5, Gemini 2.5 Pro und Llama 4 Maverick – erreichten laut einem Bericht von Nature über die Studie Werte zwischen 57 und 85 Prozent. Die Fälschungen sehen „zu perfekt“ aus, stellten die Forscher fest: Knochen wirken übermäßig glatt, Wirbelsäulen unnatürlich gerade und Frakturlinien verdächtig sauber – Feinheiten, die in einem geschäftigen Befundungsraum leicht zu übersehen sind.

Risiken in der Praxis

Die Folgen gehen weit über eine akademische Übung hinaus:

• Versicherungsbetrug – Ein gefälschtes Fraktur- oder Tumorbild könnte einen betrügerischen Schadensersatzanspruch im Wert von Tausenden unterstützen.
• Diagnosemanipulation – Wenn das Bildarchivierungssystem eines Krankenhauses gehackt wird, könnte ein Angreifer Bilder einfügen oder verändern, was möglicherweise zu unnötigen Operationen oder vorenthaltener Behandlung führt.
• Wissenschaftliche Manipulation – Gefälschte Scans könnten Forschungsdatensätze verunreinigen oder als Beweismittel in klinischen Studien und Gerichtsverfahren vorgelegt werden.

„Die Möglichkeit, mit minimalem Aufwand hochrealistische medizinische Bilder zu erzeugen, führt zu neuen Schwachstellen in Gesundheitssystemen, die nie darauf ausgelegt waren, die Authentizität einer Röntgenaufnahme in Frage zu stellen“, schrieben die Autoren der Studie.

Wie sich das Feld wehrt

Forscher und Normungsgremien verfolgen mehrere Verteidigungsebenen:

• Unsichtbare Wasserzeichen – Digitale Markierungen, die zum Zeitpunkt der Bildaufnahme eingebettet werden, verbinden einen Scan mit einer bestimmten Maschine und einem bestimmten Technologen, wodurch eine nachträgliche Fälschung erkennbar wird.
• Kryptografische Signaturen – Hash-basierte Verifizierung stellt sicher, dass jede Änderung auf Pixelebene die Signaturkette unterbricht und Systeme auf Manipulationen aufmerksam macht.
• KI-basierte Detektoren – Speziell entwickelte neuronale Netze wie der Dual-Stage Knowledge Infusing Detector (DSKI) und EfficientNetV2-Architekturen haben in kontrollierten Tests eine Erkennungsgenauigkeit von über 90 Prozent erreicht und damit sowohl menschliche Leser als auch Allzweck-KI übertroffen.
• Blockchain-Audit-Trails – Dezentrale Ledger können jeden Zugriffs- und Änderungsereignis für ein medizinisches Bild protokollieren und so eine unveränderliche Nachweiskette erstellen.

Wie es weitergeht

Keine dieser Schutzmaßnahmen ist in der klinischen Praxis bereits Standard. Die meisten Bildgebungssysteme in Krankenhäusern speichern Dateien immer noch ohne kryptografische Herkunft, und die regulatorischen Rahmenbedingungen haben mit den Fähigkeiten generativer KI nicht Schritt gehalten. Die Kluft zwischen dem, was KI fälschen kann, und dem, was Institutionen überprüfen können, wird immer größer – und ihre Schließung erfordert koordinierte Maßnahmen von Technologieanbietern, Krankenhausnetzwerken und Aufsichtsbehörden.

Für den Moment ist die Lektion einfach: In einer Zeit, in der Sehen nicht mehr Glauben bedeutet, benötigt die medizinische Bildgebung das digitale Äquivalent eines manipulationssicheren Siegels.