Politik & Regulierung

Was "KI-Wasserzeichen" wirklich bedeutet — und warum das technisch schwerer ist, als es klingt

Uncutly Editorial · 15. Juli 2026 · 8 Min. Lesezeit

Offizielle C2PA-Grafik: ein Foto mit Content-Credentials-Abzeichen und dem Datenfeld mit Herkunftsinformationen
Offizielle Social-Share-Grafik — c2pa.org

Wenn der EU AI Act verlangt, dass Anbieter generierte Inhalte in einem “maschinenlesbaren Format … als künstlich generiert erkennbar” kennzeichnen müssen, sagt das Gesetz bewusst nicht, wie. Es benennt eine Anforderung, keine Technologie. In der Praxis wird diese Anforderung von einer Handvoll konkreter technischer Systeme erfüllt, die seit Jahren entwickelt werden — jedes mit echten Fähigkeiten und einer genau dokumentierten Art, zu versagen. Zwei Ansätze dominieren: kryptografisch signierte Metadaten-Standards wie die Content Credentials von C2PA, und unsichtbare Signale, die direkt in Pixel oder Text eingebettet werden, wie Google DeepMinds SynthID. Zu verstehen, wie beide wirklich funktionieren — und, nützlicher noch, woran beide scheitern — macht den Unterschied zwischen der Annahme, ein “Wasserzeichen”-Label bedeute etwas Dauerhaftes, und dem genauen Wissen, was es versprechen kann und was nicht.

Zwei völlig verschiedene Dinge heißen “Wasserzeichen”

Der Begriff wird locker verwendet, aber die beiden dominierenden Ansätze lösen das Problem auf fast entgegengesetzte Weise. Die Content Credentials von C2PA hängen einen signierten Datensatz — wer den Inhalt erstellt hat, mit welchem Werkzeug, welche Bearbeitungen seither stattfanden — als separates Datenpaket an die Datei an. Statistische Wasserzeichen wie SynthID hängen gar nichts Separates an; sie verändern die eigentlichen Pixelwerte oder die Token-Auswahlwahrscheinlichkeiten im Moment der Erzeugung, sodass das “Zeichen” untrennbar vom Inhalt selbst ist. Das eine ähnelt eher einem notariell beglaubigten Zertifikat, das an ein Dokument geheftet wird. Das andere ähnelt eher einer Signatur, die in die Papierfasern eingewoben ist. Beides wird “Wasserzeichen” genannt. Sie haben fast nichts sonst gemeinsam — auch nicht die Art, wie sie versagen.

Wie ein Content Credential tatsächlich angebracht wird

C2PA — die Coalition for Content Provenance and Authenticity, getragen von mehr als 6.000 Mitgliedsorganisationen, darunter Adobe, Google, Microsoft, Amazon, Meta, Sony, die BBC, OpenAI und Truepic — definiert einen dreistufigen Ablauf. Ein “Claim Generator” (Software oder Hardware) stellt eine Reihe von Aussagen über den Inhalt zusammen: Aufnahmegerät, verwendete Bearbeitungswerkzeuge, vorherige Manifeste, von denen er abstammt. Diese Aussagen werden zu einem “Claim”, der mit dem privaten Schlüssel der Ersteller-Software im COSE-Format signiert wird, gestützt durch ein X.509-Zertifikat einer vertrauenswürdigen Zertifizierungsstelle. Das signierte Paket — das Manifest — wird in einen JUMBF-Container verpackt und in die Datei eingebettet; daraus wird, unter der verbraucherorientierten Marke, ein Content Credential: das kleine “cr”-Symbol, das man vielleicht schon in der Ecke eines Bildes gesehen hat und das ein Feld öffnet, in dem steht, wann der Inhalt entstand, was bearbeitet wurde und wer signiert hat. Entscheidend: Die Kette ist so angelegt, dass sie legitime Bearbeitung übersteht — öffnet ein kompatibles Werkzeug ein Bild mit Credential, bearbeitet es und signiert es neu, kann das neue Manifest auf das vorherige verweisen und so eine nachvollziehbare Historie aufbauen, statt sie zu löschen.

Content-Credentials-Feld mit Herkunftsdaten — Datum, Bearbeitungen und Signierender — über mehrere Bearbeitungsschritte eines Fotos hinweg

Das Problem: Ein Manifest lebt in der Datei, nicht im Bild

C2PA bietet zwei Wege, ein Manifest an einen Inhalt zu binden, und der stärkere ist zugleich der zerbrechlichere. Eine “Hard Binding” ist ein kryptografischer Hash der exakten Bytes der Datei; ändert sich auch nur ein Byte — Neukomprimierung, Größenänderung, Neuspeicherung in einem anderen Format —, stimmt der Hash nicht mehr, und die Validierung schlägt fehl. Das ist Absicht: Es soll Manipulation anzeigen. Aber es bedeutet auch, dass ganz gewöhnlicher, völlig harmloser Umgang mit einer Datei — eine Plattform, die einen Upload aus Bandbreitengründen neu kodiert, eine App, die in niedrigerer Qualität neu speichert — die Bindung genauso wirksam zerstören kann wie eine böswillige Bearbeitung. Eine “Soft Binding”, abgeleitet aus einem perzeptuellen Fingerabdruck des Inhalts statt aus seinen Rohbytes, ist haltbarer und kann helfen, ein Manifest über einen Abgleichdienst wiederzufinden, selbst wenn die eingebettete Kopie entfernt wurde — aber sie ist eine schwächere Garantie und hängt davon ab, dass diese Abgleich-Infrastruktur existiert und tatsächlich abgefragt wird. Und dann gibt es noch den Ausfallmodus, für den es gar kein Bearbeitungswerkzeug braucht: den Screenshot. Ein Screenshot kopiert weder die Bytes einer Datei noch ihren eingebetteten JUMBF-Container — er rendert Pixel über den Grafik-Stack des Betriebssystems neu und erzeugt ein komplett neues Bild ohne jede Erinnerung an die Metadaten der Originaldatei. Dazu kommt die bekannte Praxis großer Plattformen, EXIF- und XMP-Metadaten aus Uploads standardmäßig zu entfernen — aus Datenschutz- und Bandbreitengründen, die älter sind als dieses ganze Thema —, und schon hat ein containerbasiertes Credential mehrere völlig gewöhnliche Wege zu verschwinden, ohne dass irgendjemand etwas verbergen wollte.

Das Signal direkt in den Inhalt einbacken

Der zweite Ansatz existiert genau deshalb, um zu überstehen, woran der erste scheitert. SynthID und vergleichbare Systeme betten ein für Menschen nicht wahrnehmbares statistisches Signal direkt in die Pixelwerte während der Bild- oder Videoerzeugung ein, oder in die Token-Auswahlwahrscheinlichkeiten bei Texterzeugung — nicht als Beiwerk neben dem Inhalt angehängt, sondern durch ihn hindurch verteilt. Weil das Signal in der eigentlichen visuellen oder textlichen Information selbst mitfährt und nicht in einem separaten Container, ist es darauf ausgelegt, Zuschneiden, Größenänderung, Neukomprimierung, Formatkonvertierung und — anders als ein Metadaten-Manifest — auch Screenshots zu überstehen, da die erfassten Pixel die Störung weiterhin tragen. Der Umfang des Einsatzes Mitte 2026 ist real: Google gibt an, dass SynthID mehr als 10 Milliarden Inhalte mit Wasserzeichen versehen hat, es läuft inzwischen standardmäßig in Gemini, Imagen, Veo und Lyria, und seit Mai 2026 kooperiert OpenAI mit Google, um SynthID in Bilder aus ChatGPT, DALL·E, Codex und der OpenAI-API einzubetten, mit Kakao und ElevenLabs als weiteren Partnern und einer Ausweitung auf Search und Chrome.

Robust ist nicht dasselbe wie unzerstörbar

Der Kompromiss besteht darin, dass die Überprüfung eines statistischen Wasserzeichens keine Ja/Nein-Prüfung ist, die jeder unabhängig nachvollziehen kann — sie erfordert, den Inhalt durch einen Detektor laufen zu lassen, meist einen proprietären, vom Anbieter kontrollierten, der eher ein Konfidenzniveau meldet als Gewissheit: vorhanden, nicht vorhanden oder unsicher. Diese Abhängigkeit von einem Black-Box-Detektor ist eine Schwäche. Eine zweite ist, dass das Signal selbst direkt angreifbar ist. Für Text-Wasserzeichen wie SynthID-Text wurde gezeigt, dass sie sich durch Umformulierung aushebeln lassen — ausgefeilte Angriffe drücken die Erkennungsgenauigkeit Berichten zufolge fast auf Zufallsniveau. Bei Bildern erzeugt ein “Diffusions-Regenerations”-Angriff — das Bild in den latenten Raum kodieren, Rauschen einspeisen und über einen umgekehrten Diffusionsschritt rekonstruieren — ein Ergebnis, das für Menschen visuell identisch aussieht, aber das ursprüngliche statistische Signal nicht mehr trägt, und das ist kein theoretisches Gedankenspiel: Es existieren bereits öffentlich gepflegte Open-Source-Werkzeuge, die gezielt SynthID, C2PA-Credentials und EXIF/XMP-”mit KI erstellt”-Label aus Bildern entfernen. Darunter liegt zudem ein technischer Zielkonflikt, der sich nicht auflösen lässt: Ein robusteres Wasserzeichen gegen Angriffe zu machen, verschlechtert tendenziell sichtbar die Ausgabequalität, und kein aktuelles Verfahren hat diese Spannung vollständig gelöst — Anbieter kalibrieren also auf angemessene Widerstandsfähigkeit gegen gewöhnliche Handhabung, nicht auf maximalen Widerstand gegen einen entschlossenen Angreifer.

Die Lücke, die keiner der beiden Ansätze schließen kann

Beide Systeme teilen eine Einschränkung, die nichts mit Zuschneiden oder Umformulierung zu tun hat: Wasserzeichen sind auf Software-Ebene freiwillig, und sie kennzeichnen nur Ausgaben von einem System, das sich dafür entschieden hat. Ein lokal betriebenes, offen gewichtetes Erzeugungswerkzeug kann den Wasserzeichen-Code einfach weglassen, und weder das Dateiformat noch das Gesetz noch die Physik der Situation können ein Zeichen in einem Inhalt erscheinen lassen, in den ein Generator von vornherein keins eingebaut hat. Das wirkt in beide Richtungen für jeden, der diese Zeichen als Vertrauenssignal nutzen will: Das Fehlen eines Credentials oder eines erkennbaren Wasserzeichens ist kein Beweis, dass ein Inhalt nicht KI-generiert wurde, und das Vorhandensein eines gültigen Zeichens ist kein Beweis, dass der Inhalt korrekt, autorisiert oder in seinem ursprünglichen Kontext gezeigt wird — ein echtes Foto, das bei jedem Schritt tatsächlich bearbeitet und ordnungsgemäß signiert wurde, kann trotzdem irreführend sein. Ein Credential belegt eine Nachweiskette, keine Ehrlichkeit. Der eigene Code of Practice des EU-KI-Büros gesteht das implizit ein, indem er einen mehrschichtigen Ansatz vorschreibt — Metadaten, unsichtbares Wasserzeichen und Protokollierung zusammen — statt sich auf einen einzigen Mechanismus zu verlassen, weil die Verfasser der technischen Leitlinien wissen, dass keine einzelne Schicht alle Ausfallmodi allein abdeckt.

Ist die Kennzeichnungspflicht also technisch überhaupt durchsetzbar?

Hier trifft das technische Bild auf das rechtliche. Die Pflicht zur maschinenlesbaren Kennzeichnung nach Artikel 50(2) des EU AI Act ist an der Quelle tatsächlich überprüfbar: Eine Aufsichtsbehörde oder ein Prüfer kann kontrollieren, ob ein Erzeugungssystem im Moment der Inhaltserstellung ein Manifest, ein unsichtbares Signal oder beides anbringt, und Anbieter erfüllen diese Vorgabe entweder oder eben nicht — dieser Teil des Gesetzes hat echte technische Durchsetzungskraft. Was das Gesetz nicht leisten kann, ist die Garantie, dass das Zeichen auf der Kopie des Inhalts, die irgendwann tatsächlich bei einem Betrachter ankommt, nach drei Weiterleitungen, zwei Screenshots und einer Neukomprimierung noch lesbar ist. Nichts in der Regulierung reicht so weit, weil nichts in der zugrunde liegenden Technologie so weit reicht — und das ist kein Versehen der Gesetzgeber, sondern eine ehrliche Widerspiegelung dessen, was diese Systeme können und was nicht. Das macht die Anforderung nicht sinnlos: Eine Welt, in der die meisten KI-Inhalte im Moment ihrer Veröffentlichung ein erkennbares, wenn auch unvollkommenes Signal tragen, ist ein deutlich besserer Ausgangspunkt für Plattformen und Forschende, die Erkennungssysteme aufbauen, als das nahezu vollständige Fehlen jeder Kennzeichnung vor wenigen Jahren. Aber es bedeutet, dass die vernünftige Lesart eines “mit Wasserzeichen versehen”- oder “gekennzeichnet”-Labels nicht lautet “das ist garantiert nachverfolgbar” — sondern “das wurde bei der Erstellung markiert, und ob das bis zu dir überlebt hat, ist eine eigene Frage, die diese Technologie nie mit Sicherheit beantworten sollte.”

Die regulatorischen und technischen Angaben oben spiegeln öffentlich verfügbare Informationen mit Stand Mitte Juli 2026 wider — prüfe aktuelle Spezifikationen und Anforderungen, bevor du Entscheidungen darauf stützt. Dieser Artikel ist allgemeine Information, keine Rechts- oder technische Compliance-Beratung.