{"id":454456,"date":"2025-09-27T12:14:11","date_gmt":"2025-09-27T12:14:11","guid":{"rendered":"https:\/\/www.europesays.com\/de\/454456\/"},"modified":"2025-09-27T12:14:11","modified_gmt":"2025-09-27T12:14:11","slug":"die-lehren-aus-dem-c2pa-debakel-fotonews-der-woche-39-2025","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/454456\/","title":{"rendered":"Die Lehren aus dem C2PA-Debakel \u2013 Fotonews der Woche 39\/2025"},"content":{"rendered":"
    \n
  1. \n

    Die Lehren aus dem C2PA-Debakel \u2013 Fotonews der Woche 39\/2025<\/p>\n<\/li>\n<\/ol>\n

    Mit der Firmware 2.00 f\u00fcr die Nikon Z6 III signiert die Kamera Bilder, die nicht mit ihr aufgenommen wurden. Das ist genau das, was die „Content Authenticity Initiative“, gegr\u00fcndet unter anderem von Adobe 2019<\/a>, verhindern wollte: Eine Kamera, die Bilder, die nicht aus ihr stammen, als quasi „echt“ ausgibt. Denn dass ein Foto mit einer bestimmten Kamera aufgenommen wurde, von wem, wann und wo genau, und das kryptografisch zu belegen, ist die ganze Idee hinter dem, was unter Namen wie CAI, C2PA oder Content Credentials gemeint ist. Die vielen Bezeichnungen, die da seit ganzen sechs Jahren unterwegs sind, zeigen schon, wie uneinheitlich die Branche agiert \u2013 und warum CAI, bleiben wir bei diesem Namen, nicht aus dem Quark kommt.<\/p>\n

    Was insbesondere Pressefotos, die in Sekunden weltweit verteilt werden, heute fehlt, ist die digitale Provenienz, also der Herkunftsnachweis. Dabei geht es nicht um absolute F\u00e4lschungssicherheit, die kann es nicht geben. Jedes System hat L\u00fccken, Sicherheit ist ein Prozess, nicht etwas, das man durch eine einmalige Aktion wie den Kauf einer bestimmten Kamera herstellen kann. Aber am Anfang der Kette von der Aufnahme eines Bildes muss man irgendjemandem oder irgendetwas trauen, das ist die „chain of trust“. Und bei CAI, das oft auch als „Echtheitssiegel f\u00fcr Fotos“ bezeichnet wird, ist das die Kamera.<\/p>\n

    Darum wiegt Nikons Firmware-Bug auch ziemlich schwer, wenn es um das System CAI an sich geht: Wenn die Vertrauenskette schon im allerersten Glied massive Schw\u00e4chen hat, ist es v\u00f6llig egal, wie stabil der Rest ist. Da CAI noch kaum verbreitet ist, und es Wochen dauerte, bis das Ausma\u00df des Problems bekannt wurde, d\u00fcrfte der tats\u00e4chliche Schaden, also Fake-Fotos, zwar gering sein. Wie eine falsch signierte Aufnahmen mit der Z6 III entsteht, und was der zeitliche Ablauf war, zeigt unsere ausf\u00fchrliche Meldung.<\/a><\/p>\n

    Der Moment der Aufnahme ist die einzige Chance<\/p>\n

    Dass das System unausgereift ist, wurde dadurch n\u00e4mlich deutlich sichtbar. Darauf weist auch Michael J. Hu\u00dfmann bei Docma hin<\/a>: „Man hat nur eine einzige Chance, die Entstehung eines Bildes durch eine Aufnahme mit einer bestimmten Kamera f\u00e4lschungssicher zu dokumentieren, n\u00e4mlich w\u00e4hrend der Speicherung der Bilddatei in der Kamera.“ Und das ist der Punkt: Der Anfang der Kette. Alles, was danach kommt, Bearbeitung, Ausschnitt, Gr\u00f6\u00dfen\u00e4nderung, l\u00e4sst sich \u2013 das ist im Workflow von C2PA vorgesehen \u2013 dokumentieren. Der Ursprung ist aber die Aufnahme an sich und deren Provenienz.<\/p>\n

    Weil ein solcher Fehler, wie bei Nikon mit der Firmware verursacht, aber offenbar bisher nicht bedacht wurde, blieb dem Unternehmen nur eine drastische Reaktion: Die Pr\u00fcfung der C2PA-Signatur durch Nikons Onlinesysteme ist bis auf Weiteres ganz abgeschaltet. Und zwar f\u00fcr alle Nikons, nicht nur die Z6 III. Andere Pr\u00fcfstellen, das zeigte der Entdecker Adam Horshack auch bereits, akzeptieren die verf\u00e4lschten Bilder weiterhin. Darum schrieb ganz richtig auch Petapixel: Nikon kann das Problem allein nicht l\u00f6sen<\/a>.<\/p>\n

    Denn wie auch andere digitale Sicherheitsmechanismen basiert C2PA auf Zertifikaten. Das kennt man, vereinfachtes Beispiel: Wenn sie diese Kolumne gerade mit einem handels\u00fcblichen Browser lesen, stellt der irgendwo ein kleines Schloss dar. Das sagt, dass die Verbindung zwischen Ihrem Ger\u00e4t und dem Server \u2013 heise.de \u2013 tats\u00e4chlich zu unserem Angebot f\u00fchrt. Die Verbindung ist zwischen dem Ger\u00e4t und uns verschl\u00fcsselt. Daf\u00fcr hat der Server ein Zertifikat, das wir regelm\u00e4\u00dfig erneuern m\u00fcssen, und das auch zur\u00fcckgerufen werden kann. Wie gesagt, alles etwas vereinfacht.<\/p>\n

    Und ein globaler R\u00fcckruf dieser Zertifikate ist wohl bei C2PA nicht vorgesehen. Ebenso, dass die Kamera selbst darauf hinweist, dass ihr Zertifikat vielleicht ung\u00fcltig oder veraltet ist. Das ist, neben Nikons eigenem Problem, das, was die ganze Allianz f\u00fcr C2PA, eben die CAI, l\u00f6sen muss. Dass Nikon ein Firmware-Update bringt, und Fotos aus einer Z6 III mit Firmware 2.00 nirgendwo mehr akzeptiert werden, ist zwingend n\u00f6tig.<\/p>\n

    Die CAI muss enger zusammenarbeiten<\/p>\n

    Sinnvoll w\u00e4re aber auch noch, und da werden wir dann endlich mal konstruktiv, wenn die zahlreichen Mitglieder der CAI<\/a> im Verbund neue Firmware-Versionen auf solche L\u00fccken pr\u00fcfen. Konkurrenz unter den Firmen muss da beiseitegelegt werden, auch wenn die Markteinf\u00fchrung einer neuen Kamera oder ein Update f\u00fcr C2PA-Funktionen l\u00e4nger dauert. Die Zerfaserung der CAI, die wir schon vor gut anderthalb Jahren festgestellt haben<\/a>, muss endlich aufh\u00f6ren. Das ganze System muss so sicher wie m\u00f6glich sein, und nicht schon bei der Aufnahme ausgehebelt werden k\u00f6nnen.<\/p>\n

    Um es auszuhebeln, reicht es im \u00dcbrigen nicht, wie vielfach behauptet, einen Monitor, eine Leinwand oder einen Ausdruck abzufotografieren. Es geht, siehe oben, um die komplette Provenienz: Wer hat das Bild wo, wann und mit welchem Ger\u00e4t gemacht? Das wird verschl\u00fcsselt mit den Bilddaten in der Kamera bei Aufnahme gespeichert. Und sp\u00e4ter mit Servern abgeglichen. Wenn Max Mustermann ein Foto des US-Pr\u00e4sidenten, aufgenommen von seinem Monitor in Hintertupfing, ver\u00f6ffentlicht, dann hat das wenig Glaubw\u00fcrdigkeit. Und gar keine, wenn solche Daten fehlen.<\/p>\n

    Wenn dagegen ein namentlich bekannter Berufsfotograf von einer gro\u00dfen Agentur dieses Bild ver\u00f6ffentlicht, aufgenommen vor dem Wei\u00dfen Haus, dann ist allein das schon ein Hinweis auf Authentizit\u00e4t. Und erst recht, wenn die Daten der Aufnahme kryptografisch gesichert sind. Ein Grund, warum es C2PA braucht, ist ja, dass sich EXIF-Daten beliebig ver\u00e4ndern lassen, ohne dass der Verlauf nachpr\u00fcfbar festgehalten w\u00fcrde. Im \u00dcbrigen speichern C2PA-Kameras oft auch viel mehr Daten als per EXIF, teilweise auch Informationen des Autofokus f\u00fcr die Tiefe der Elemente in einem Bild. Darauf wies k\u00fcrzlich Sony hin<\/a>.<\/p>\n

    Preise f\u00fcr den Blick ins All<\/p>\n

    Nach diesem schwierigen Thema ist ein bisschen Entspannung angesagt. Also blicken wir doch in den Himmel, oder vielmehr, lassen Astrofotografen das tun. Denn der „Astrophotography Prize 2025“ wurde in der vergangenen Woche vergeben. Wenn man die Galerie der Bilder bei DPreview<\/a> im Vollbild ansieht \u2013 unser Long Click zum Wochenende \u2013 stehen da auch die Aufnahmedaten, nat\u00fcrlich nicht per C2PA signiert, aber mit Namen der Fotografen. Alternativ gibt es einen Long Watch von knapp einer Stunde auf YouTube von der Preisverleihung<\/a> mit Kommentaren der Juroren zu den wundersch\u00f6nen Bildern.<\/p>\n

    (nie<\/a>)<\/p>\n

    \n Dieser Link ist leider nicht mehr g\u00fcltig.\n <\/p>\n

    Links zu verschenkten Artikeln werden ung\u00fcltig,
    \n wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n <\/p>\n

    Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"Die Lehren aus dem C2PA-Debakel \u2013 Fotonews der Woche 39\/2025 Mit der Firmware 2.00 f\u00fcr die Nikon Z6…\n","protected":false},"author":2,"featured_media":454457,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1775],"tags":[1793,117134,117135,29,214,1885,28229,30,196,12934,1794,49849,215],"class_list":{"0":"post-454456","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-kunst-und-design","8":"tag-art-and-design","9":"tag-c2pa","10":"tag-content-authenticity-initiative","11":"tag-deutschland","12":"tag-entertainment","13":"tag-fotografie","14":"tag-fotonews","15":"tag-germany","16":"tag-it","17":"tag-journal","18":"tag-kunst-und-design","19":"tag-nikon","20":"tag-unterhaltung"},"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/454456","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=454456"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/454456\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/454457"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=454456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=454456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=454456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}