Warum Content Credentials nicht genug sind

Meine These

Wir müssen uns abgewöhnen, KI-Bilder primär an sichtbaren Fehlern erkennen zu wollen. Falsche Hände, Buchstabensalat oder merkwürdige Schatten waren nie mehr als temporäre Hinweise. Sobald ein solcher Hinweis bekannt ist, wird er zum Trainingsziel der nächsten Modellgeneration.

Das bedeutet, dass Forensik nicht als Alltagslösung für Milliarden Bilder, Videos und Screenshots taugt. Die Frage lautet: Kann ich nachvollziehen, woher der Inhalt stammt?

Content Credentials, C2PA und Wasserzeichen wie SynthID setzen dort an: Weg von Vermutungen, hin zum Wissen.

Warum die alten Hinweise sterben

Hände waren lange ein guter Hinweis. Dann wurde Text ein guter Hinweis. Danach waren es Ohren, Zähne, Haut, Licht oder Schatten. Was heute auffällt, kann morgen korrigiert werden.

Damit entsteht ein ungünstiges Rennen: Forensiker finden einen Fehler, Menschen lernen ihn, generative KI lernen ihn zu vermeiden. Wer nur auf sichtbare Modellfehler setzt, läuft der Entwicklung hinterher.

Kein Fehler heisst nicht echt

Der wichtigste Denkfehler ist einfach: Wenn ich keinen Fehler finde, habe ich nicht bewiesen, dass ein Bild oder ein Video echt ist. Ich habe nur keinen offensichtlichen Fehler gefunden.

Das ist aus der Softwareentwicklung vertraut. Ein nicht gefundener Bug beweist nicht, dass ein System fehlerfrei ist. Bei Bildern ist es ähnlich. Ein Fake wird sicherer, wenn ich deutliche Artefakte finde. Ein echtes Bild wird aber nicht automatisch sicherer, nur weil ich lange genug nichts Auffälliges sehe.

NewsGuard fand im Mai 2026 erhebliche Fehlklassifikationen bei echten Bildern. Für Journalismus, Gerichte oder private Anschuldigungen ist das ein Problem.

Die Herkunft ist entscheidend

C2PA und Content Credentials verfolgen eine vernünftigere Idee. Statt einen Inhalt nachträglich zu erraten, soll seine Entstehung dokumentiert werden: Womit wurde er erstellt, was wurde verändert, welche Schritte sind bekannt?

Technisch ist das attraktiv, weil das Manifest kryptografisch signiert wird. Ein Detektor sagt: wahrscheinlich KI oder wahrscheinlich nicht. Provenienz sagt: Dieser Akteur oder dieses Gerät bestätigt diese Entstehungskette. Das ist präziser und für seriöse Quellen deutlich nützlicher.

Das Label beweist nicht die Wirklichkeit

Der kritische Punkt ist aber: C2PA beweist nicht, dass die abgebildete Situation wahr ist. Es beweist nur etwas über die Datei und ihre dokumentierte Herkunft.

Wenn eine echte Kamera einen Bildschirm abfotografiert, kann die Kamera korrekt signieren, dass sie ein Bild aufgenommen hat. Der Inhalt vor der Linse kann trotzdem ein KI-generiertes Bild sein. Die Signatur sagt dann nicht: Dieses Ereignis ist passiert. Sie sagt: Diese Kamera hat diesen optischen Eindruck tatsächlich aufgenommen.

Kryptografie kann kann Integrität und Herkunft einer Datei bestätigen. Sie kann nicht automatisch Kontext, Absicht, Inszenierung oder Wahrheitsgehalt bestätigen.

Metadaten sind zerbrechlich

Content Credentials haben noch ein Problem: Sie bleiben nicht immer erhalten. Screenshots, Formatwechsel, Messenger-Kompression und Plattformen können Metadaten entfernen oder verändern machen. Ein fehlendes Label beweist deshalb nichts. Es kann auch nur heissen, dass ein normaler Workflow die Metadaten entfernt hat.

Unsichtbare Wasserzeichen wie SynthID sind robuster, weil sie im Bildmaterial selbst enthalten sind. Für massenhaft automatisch erzeugte KI-Inhalte ist das nützlich. Aber auch sie können durch gezielte Bearbeitung, Re-Encoding oder Regeneration geschwächt werden. Wasserzeichen erhöhen die Hürde, machen Täuschung aber nicht unmöglich.

Die EU setzt auf Transparenz

Der EU AI Act und der Transparenz-Code gehen in die richtige Richtung, wenn sie maschinenlesbare Markierung und sichtbare Hinweise für KI-generierte Inhalte verlangen. Das hilft gegen automatisierte Content-Farmen, Massenposts und unveränderte API-Ausgaben.

Nur darf daraus kein naives Sicherheitsversprechen werden. Wer gezielt täuschen will, wird Labels entfernen, Material neu encoden oder Inhalte abfotografieren. Regulierung verbessert die Baseline. Sie ersetzt keine Quellenprüfung.

Alles wird bestreitbar

Neben gefälschten Bildern gibt es ein weiteres Problem: echte Bilder werden leichter bestreitbar. Je mehr Menschen über Deepfakes wissen, desto einfacher wird die Ausrede: Das ist doch KI.

Nicht nur die Lüge wird billiger. Auch die Wahrheit wird teurer, weil sie sich plötzlich verteidigen muss. Wer Missstände dokumentiert, braucht dann eine glaubwürdige Kette aus Quelle, Zeitpunkt und Kontext.

Was ich daraus ableite

Ich würde KI-Bilder künftig in drei Schichten prüfen:

• Inhalt: Gibt es sichtbare Widersprüche bei Licht, Schatten oder Kontext?
• Herkunft: Gibt es Content Credentials oder eine nachvollziehbare Quelle?
• Verantwortung: Steht eine überprüfbare und vertrauenswürdige Person oder Organisation dahinter?

Keine dieser Schichten reicht allein. Ein Bild kann visuell plausibel und trotzdem falsch sein. Ein Bild kann korrekt signiert und trotzdem inszeniert sein. Ein Bild kann ohne Label echt sein. Und ein Detektor kann sich irren.

Abschliessende Gedanken

Wir werden KI-Inhalte nicht zuverlässig mit Bauchgefühl erkennen. Dafür entwickeln sich die Modelle zu schnell. Die Zukunft der Prüfung liegt eher in Herkunft, Signaturen und überprüfbaren Identitäten.

Aber auch diese Zukunft bleibt unbequem. C2PA kann sagen, welche Datei von welchem Gerät oder Dienst signiert wurde. SynthID kann Hinweise auf KI-Erzeugung liefern. Der AI Act kann Anbieter und Plattformen zu mehr Transparenz verpflichten. Nichts davon beweist an sich, dass ein Ereignis tatsächlich stattgefunden hat.

Die entscheidende Kompetenz wird deshalb nicht sein, KI an zu vielen Fingern zu erkennen. Die entscheidende Kompetenz wird sein, Belege nicht mit Wahrheit zu verwechseln und Labels nicht mit Vertrauen.