Die unsichtbare Markierung — Warum KI-Wasserzeichen bisher nicht halten, was sie versprechen

Es brauchte keine Hacker-Armee, keinen Nationalstaat und keinen Milliarden-Etat. Es brauchte einen Entwickler, 200 schwarze Bilder und ein wenig Spektralanalyse. Im März 2026 veröffentlichte der Ingenieur Alosh Denny auf GitHub ein Open-Source-Tool namens „reverse-SynthID“, das Googles unsichtbares KI-Wasserzeichen mit einer Erkennungsgenauigkeit von 90 Prozent identifiziert — und es anschließend so weit stört, dass Googles eigener Detektor das Bild nicht mehr als KI-generiert erkennt. Die Bild­qualität bleibt dabei praktisch unverändert: über 43 Dezibel PSNR, visuell nicht vom Original zu unterscheiden.

Dennys Methode war verblüffend einfach: Er generierte über Googles Gemini rein schwarze und weiße Bilder — Flächen ohne eigenen Inhalt. Dann mittelte er die Ergebnisse. Was übrig blieb, war das einzige konsistente Element: die Frequenzstruktur des Wasserzeichens. Mit klassischer Signalverarbeitung, ganz ohne Zugang zu Googles proprietärem Encoder, kartierte er die auflösungs­abhängigen Trägerfrequenzen von SynthID. Das Repository sammelte innerhalb weniger Tage über 1.600 GitHub-Stars und wurde auf Hacker News breit diskutiert.

Der Vorfall wäre eine Randnotiz, gäbe es nicht eine unbequeme Wahrheit: Google hat nach eigenen Angaben über zehn Milliarden Inhalte — Bilder, Texte, Audio, Video — mit SynthID markiert. Und ab dem 2. August 2026 verlangt der EU AI Act in Artikel 50, dass alle KI-Systeme ihre synthetischen Outputs in maschinenlesbarem Format kennzeichnen. Die Frage ist nicht mehr theoretisch: Funktioniert die unsichtbare Markierung überhaupt?

Das Versprechen der digitalen Herkunft

Die Idee klingt bestechend: Jeder KI-generierte Inhalt trägt eine unsichtbare Signatur, die seine Herkunft verifizierbar macht. Deepfakes werden entlarvt, bevor sie Schaden anrichten. Wähler können zwischen echten und synthetischen Bildern unterscheiden. Journalisten können die Echtheit ihrer Quellen belegen. Zwei technische Ansätze konkurrieren um diese Vision.

Der erste ist das unsichtbare Wasserzeichen, wie es Google mit SynthID betreibt. Das Signal wird während der Generierung in den Inhalt eingewoben — bei Bildern in die Pixelstruktur, bei Text in die Token-Auswahl­wahrscheinlichkeiten. Der Vorteil: Das Wasserzeichen überlebt moderate Bearbeitungen wie Zuschneiden oder Kompression. Der Nachteil: Es markiert nur Inhalte des eigenen Systems. SynthID erkennt keine Bilder von Midjourney, DALL-E oder Stable Diffusion.

Der zweite Ansatz sind Content Credentials nach dem C2PA-Standard, vorangetrieben von einer Koalition um Adobe, Microsoft, Google und Meta. Statt den Inhalt selbst zu verändern, werden kryptographisch signierte Metadaten angehängt — eine Art digitaler Beipackzettel, der festhält, wer den Inhalt wann mit welchem Werkzeug erstellt oder bearbeitet hat. Die Content Authenticity Initiative zählt mittlerweile über 6.000 Mitglieder. Kameras von Leica, Sony und Nikon signieren Fotos ab Werk. Googles Pixel 10 nutzt seinen Titan-M2-Sicherheitschip für On-Device-Zeitstempel. Cloudflare unterstützt C2PA seit Februar 2025 und erreicht damit potenziell 20 Prozent des Webs.

Die Risse im System

Die Realität hinter den Pressemitteilungen ist ernüchternd. Jeder der beiden Ansätze hat fundamentale Schwächen — und die größte Bedrohung kommt nicht von böswilligen Angreifern, sondern von der ganz alltäglichen Nutzung digitaler Inhalte.

Text-Wasserzeichen sind besonders fragil. Eine einfache Paraphrasierung — etwa durch ein anderes Sprachmodell — senkt die Erkennungsrate von über 99 auf unter fünf Prozent. Eine Übersetzung in eine andere Sprache entfernt das Wasserzeichen praktisch vollständig. Bei faktualen Aussagen mit geringem Formulierungs­spielraum funktioniert die Markierung von vornherein kaum, weil der Algorithmus zu wenig Freiheit bei der Wortwahl hat. Noch problematischer: Es ist möglich, auch menschlich geschriebenen Text so zu manipulieren, dass er als KI-generiert erkannt wird — ein Angriffsvektor, der Schülern, Journalisten oder Wissenschaftlern fälschlich KI-Nutzung unterstellen könnte.

Bild-Wasserzeichen sind robuster, aber nicht immun. JPEG-Kompression, Rauschen und geometrische Transformationen beschädigen das Signal. Und Dennys SynthID-Bypass zeigt, dass auch ohne Zugang zum Encoder eine gezielte Störung möglich ist — mit öffentlich verfügbaren Werkzeugen der Signalverarbeitung.

C2PA-Metadaten haben ein noch grundlegenderes Problem: Social-Media-Plattformen entfernen sie beim Upload. Kompression, Größen­änderung und Formatkonvertierung strippen die kryptographischen Signaturen. Das Paradox ist offensichtlich: Genau die Inhalte, die am dringendsten einen Herkunfts­nachweis bräuchten — viral geteilte Bilder und Videos — verlieren ihn als Erstes. Ein einfacher Screenshot reicht, um jede C2PA-Signatur zu zerstören. Und Nikons Zertifikatsprogramm für Kameras musste nach einer Signing-Schwachstelle suspendiert werden — Stand April 2026 ist es noch nicht wiederhergestellt.

Artikel 50: Die Regulierung überholt die Technik

Der EU AI Act stellt Anbietern und Betreibern von KI-Systemen ab August 2026 klare Pflichten: Synthetische Inhalte müssen in einem „effektiven, interoperablen, robusten und zuverlässigen“ Format maschinenlesbar markiert werden. Deepfakes müssen als künstlich erzeugt offengelegt werden. KI-generierter Text, der die Öffentlichkeit informiert, muss als solcher gekennzeichnet sein — mit einer Ausnahme für künstlerische, satirische und fiktionale Inhalte.

Der begleitende Code of Practice, ein freiwilliges Compliance-Instrument, dessen zweiter Entwurf Anfang 2026 veröffentlicht wurde, soll bis Juni 2026 finalisiert werden — zwei Monate vor dem Stichtag. Für Unternehmen stellt sich eine unbequeme Frage: Wie erfüllt man eine Kennzeichnungs­pflicht mit Technologien, deren Zuverlässigkeit gerade öffentlich in Frage gestellt wird?

Die regulatorische Herausforderung beschränkt sich nicht auf Europa. Indien hat im Februar 2026 Regeln erlassen, die Plattformen verpflichten, synthetische Inhalte proaktiv zu erkennen und zu kennzeichnen. Die US-Midterm-Wahlen 2026 stehen bevor, und Deepfake-Werbung ist bereits im Einsatz. Das World Economic Forum warnte im März 2026, kognitive Manipulation und KI würden die Desinformation in diesem Jahr prägen. Ein akademisches Paper bringt das Problem auf den Punkt: „Watermarking Without Standards Is Not AI Governance“ — Wasserzeichen ohne verbindliche Standards sind kein Governance-Instrument.

Der Liar’s Dividend

Jenseits der technischen Limitationen gibt es ein gesellschaftliches Problem, das Forscher als „Liar’s Dividend“ bezeichnen: Je mehr Menschen von der Existenz von Deepfakes wissen, desto einfacher wird es, echte Beweise als Fälschung abzutun. Ein Politiker, der in einem kompromittierenden Video zu sehen ist, muss nur behaupten, es handle sich um einen Deepfake — und die bloße Möglichkeit genügt, um Zweifel zu säen. In den USA wurden Deepfake-Behauptungen bereits in Gerichts­verfahren als Verteidigungsstrategie eingesetzt.

Wasserzeichen und Content Credentials könnten dieses Problem theoretisch lösen: Wenn ein Foto eine ungebrochene kryptographische Kette von der Kamera bis zur Veröffentlichung aufweist, ist es authentisch. Aber die Kette hat zu viele Schwachstellen. Und die Abwesenheit einer Signatur beweist nichts — sie kann durch Screenshot, Bearbeitung oder schlicht durch die Nutzung einer älteren Kamera ohne C2PA-Unterstützung fehlen.

Der Weg nach vorn: Schichten statt Silberkugeln

Die Experten, die sich am intensivsten mit dem Problem beschäftigen, sind sich in einem Punkt einig: Es gibt keine Einzellösung. Die Zukunft liegt in einem mehrschichtigen Ansatz. Unsichtbare Wasserzeichen als erste Verteidigungslinie. C2PA-Metadaten für die kryptographische Provenance-Kette. Infrastruktur-Partner wie Cloudflare, die Signaturen bei der Auslieferung erhalten. Und Detektions­modelle, die auch ohne Wasserzeichen synthetische Inhalte erkennen können.

Für Unternehmen bedeutet das konkret: Wer KI-generierte Inhalte in seiner Kommunikation nutzt, sollte sich nicht auf eine einzelne Kennzeichnungs­methode verlassen. Die C2PA-Integration in Produktionstools — von Adobe GenStudio über OpenAIs DALL-E 3 bis zu Googles Gemini — ist ein pragmatischer erster Schritt. Wichtiger als die Wahl der Technologie ist die organisatorische Disziplin: Wer erstellt welche Inhalte, mit welchen Werkzeugen, und wo in der Distribution geht die Herkunfts­information verloren?

Alosh Dennys SynthID-Bypass war kein Angriff — er bezeichnet sein Projekt ausdrücklich als Forschungsarbeit. Aber er hat die unbequemste Frage der digitalen Authentizität beantwortet, bevor die Regulierer sie gestellt hatten: Was passiert, wenn die unsichtbare Markierung sichtbar wird? Die Antwort: Sie verschwindet. Und mit ihr ein Stück des Vertrauens, auf dem die gesamte Architektur aufbaut.