Woher stammt das Foto? C2PA-Metadaten als Schlüssel zur Inhaltsherkunft

Nicht alle KI-generierten Inhalte zielen darauf ab, realistisch zu wirken. Aber solche, die es tun, werden immer besser. Oft sind sie nicht mehr von echten Fotos oder Videos zu unterscheiden. Leider werden sie daher gezielt zur Täuschung eingesetzt, z.B. für Desinformationskampagnen oder Identitätsdiebstahl. Außerdem ist davon auszugehen, dass ein Großteil online verbreiteter Medien schon bald KI-generiert sein wird. Diese Entwicklung birgt Risiken für das Vertrauen der Gesellschaft in digitale Inhalte. Ein verlässlicher Herkunftsnachweis für digitale Medien ist daher in Branchen, in denen Authentizität eine hohe Priorität hat, zu einem zentralen Anliegen geworden.

Was ist der C2PA-Standard?

Mit der Zielsetzung, einen offenen, industrieweiten Metadatenstandard für die Herkunft digitaler Inhalte zu schaffen, wurde 2021 unter Beteiligung führender Softwarekonzerne und Kamerahersteller die C2PA (Coalition for Content Provenance and Authenticity) ins Leben gerufen. Infolgedessen wurde ein Verfahren entwickelt, das die Herkunft und Bearbeitung digitaler Inhalte auf transparente und manipulationssichere Weise dokumentieren soll. Es ermöglicht die kryptografische Speicherung von Informationen wie Erstellungszeitpunkt, Urheber, Bearbeitungsschritten und Authentifizierungsdaten in Bild- und Videodateien unter Verwendung des JUMBF-Formats. Einige neue Kameramodelle sowie Bildbearbeitungsprogramme wie Adobe Photoshop oder Lightroom unterstützen den C2PA-Standard bereits und fügen die erforderlichen digitalen Signaturen richtlinienkonform ein. Insgesamt befindet sich die Adaptionsphase jedoch noch in den Anfängen.

Was sind Content Credentials?

Ein wichtiger Schritt hin zu einer breiteren Adaption ist sicherlich die Implementierung des C2PA-Standards in eine Endanwenderlösung, die unkompliziert Zugang zu den Metadaten bietet und sie so darstellt, dass sie ohne technische Vorkenntnisse interpretiert werden können. Eine solche Lösung wurde 2024 unter der Bezeichnung Content Credentials eingeführt. Sie versetzt Nutzer in die Lage, die Authentizität eines Mediums eigenständig zu prüfen.

Wie nutze ich Content Credentials?

Endanwender, die Medien prüfen möchten, haben derzeit zwei Möglichkeiten, mit Content Credentials zu interagieren: über Plattformen, die die entsprechenden Funktionen bereits implementiert haben, oder direkt über eine Seite des Anbieters.

Das Karrierenetzwerk LinkedIn, das zum Microsoft-Konzern gehört, unterstützt Content Credentials bereits. Hochgeladene Inhalte werden dort automatisch auf C2PA-Metadaten geprüft. Sofern Herkunftsdaten vorhanden sind, erhalten sie ein kleines „cr„-Icon in der oberen linken Ecke. Ein Klick darauf zeigt Informationen wie das Signaturdatum, den Urheber, die verwendete Kamera oder KI-Anwendung, mögliche Bearbeitungsschritte sowie die zugehörige Software an.

Neben Microsoft und Google plant auch Meta, Content Credentials in seine Plattformen und Dienste zu integrieren. Das cr-Icon wird somit schon bald ein weitverbreitetes Kennzeichen sein.

Das Verify-Prüftool

Kommen wir nun zur zweiten Nutzungsmöglichkeit: Wie schon erwähnt, können die Funktionen auch direkt über eine Seite der C2PA genutzt werden. Die Adresse lautet: contentcredentials.org/verify.* Dort können einzelne Bilder oder Videos zur Analyse hochgeladen oder verlinkt werden. Unterstützt werden folgende Dateiformate: AVI, AVIF, DNG, HEIC, HEIF, JPEG, M4A, MOV, MP3, MP4, PDF, PNG, SVG, TIFF, WAV, WebP.

Nach dem Upload zeigt das Verify-Tool vorhandene Herkunftsdaten an. Im hier gezeigten Beispiel wurde ein relativ echt wirkendes Bild als KI-generiert entlarvt.

* Alternativ kann auch diese Seite von Adobe genutzt werden: contentauthenticity.adobe.com/inspect

Screenshot aus dem Prüftool – Sie können das Bild über diese URL auch direkt im Tool abrufen.

Außerdem visualisiert das Tool alle dokumentierten Inhaltsquellen und Bearbeitungsschritte. Voraussetzung ist natürlich immer, dass die Daten C2PA-konform gespeichert wurden.

Darüber hinaus kann nach möglichen Übereinstimmungen mit anderen Inhalten gesucht werden. Dabei werden (bislang) aber nur Inhalte berücksichtigt, die in der Adobe Content Credentials Cloud (ACCC) verzeichnet sind. Dies führt uns zu einer grundlegenden Frage …

Was sind die Grenzen der C2PA-Technologie?

Dem Herkunftsnachweis per digitaler Signatur sind ähnliche Grenzen wie anderen Dokumentations- oder DRM-Maßnahmen gesetzt. Sobald man Screenshots oder Screenrecordings von Inhalten anfertigt, Konversionen in andere Formate vornimmt oder die entsprechenden Metadaten gezielt entfernt, kann sich die resultierende Datei ohne Hinweis auf ihre Quelle neu im Netz verbreiten.

Immerhin kann über eine Rückwärtssuche häufig die älteste Online-Quelle gefunden werden, z.B. für ein Bild, von dem man nicht weiß, ob es ein echtes Foto ist oder nicht. Liegen in dieser Datei dann valide C2PA-Kameradaten vor, umso besser. Allerdings heißt das nicht, dass man den vorgefundenen Informationen hundertprozentig trauen kann. Die kryptographische Integrität einer Signatur liefert schlichtweg keinen Beweis, dass eine authentische Abbildung der Wirklichkeit vorliegt. Mit einer nach C2PA-Vorgaben entwickelten Kamera-Firmware könnte man z.B. auch KI-generierte Bilder speichern und signieren. Ebenso ließen sich Metadaten frei erfinden und ordnungsgemäß signieren. Strenggenommen bedeutet eine intakte C2PA-Struktur also lediglich, dass die Datei und ihre Metadaten vom angegebenen Akteur signiert und seither nicht verändert wurden.

Fazit: Die C2PA-Technologie erschwert gezielte Manipulationen, kann sie aber natürlich nicht vollständig verhindern.

C2PA-Daten im DAM-Bereich

Ob Auftragsarbeiten oder eingekaufte Stockfotos – valide C2PA-Daten helfen dabei, Rechtsunsicherheiten zu minimieren, etwa in Bezug auf Urheber- oder Persönlichkeitsrechte. C2PA-Metadaten werden daher auch im DAM-Bereich* zunehmend an Bedeutung gewinnen. Unternehmen, die professionell mit Medien arbeiten, sind schließlich auch aus wirtschaftlicher Sicht daran interessiert, die Herkunft und Bearbeitungshistorie ihrer digitalen Assets zu kennen und manipulationssicher zu dokumentieren.

Einige DAM-Anbieter haben bereits erste Schritte zur Integration unternommen und unterstützen in ihren Produkten zumindest die Darstellung C2PA-konformer Daten. Nutzer können so die Authentizität von Assets direkt im eigenen System prüfen, was Compliance- und Qualitätssicherungsprozesse beschleunigt. Zukünftig werden aber sicherlich auch Lösungen zum Schreiben von C2PA-Daten in DAM-Systeme integriert.

* DAM steht für Digital Asset Management, die engl. Fachbezeichnung für digitale Medienverwaltung.

Testen Sie den Media Hub von teamnext

Falls wir Sie neugierig gemacht haben und Sie die Möglichkeiten einer professionellen DAM-Lösung genauer kennenlernen möchten, dann vereinbaren Sie gerne einen Termin für eine individuelle Online-Demo mit einem unserer Experten. Im Anschluss haben Sie die Möglichkeit, in einer kostenlosen 14-tägigen Testphase den Media Hub selbst auszuprobieren.

Für weitere Informationen stehen wir Ihnen gerne persönlich zur Verfügung. Unsere Kontaktdaten finden Sie unter teamnext.de/kontakt.