Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

KI sichtbar machen

Die Kennzeichnungspflicht der EU-KI-Verordnung und Technologien zur Kennzeichnung generierter Inhalte

06/2026

1 Einleitung

KI-generierte Inhalte wie Texte, Bilder, Audio oder Videos werden immer realistischer und sind mit blossem Auge kaum noch von echten Inhalten zu unterscheiden. Inhalte können entweder vollständig generiert sein oder auf einer echten Grundlage beruhen, die mithilfe von KI verändert wurde. So lässt sich etwa in einer Videoaufnahme eine Person durch eine andere ersetzen, die an derselben Stelle steht und den gleichen Gesichtsausdruck zeigt, das sogenannte Facial Reenactment. Solche KI-basierten Veränderungen von echtem Material lassen sich in der Regel schneller berechnen als vollständig generiertes Material und werden daher oft für Echtzeitanwendungen eingesetzt. KI-generierte Inhalte stellen erhebliche Risiken für unsere Gesellschaft dar:

  • Betrug: Angreifer geben sich als Kollege, Vorgesetzter, Freund oder Familienmitglied aus, indem sie einen Video- oder Audio-Klon des Opfers erstellen. Als Grundlage dafür reichen bereits wenige Sekunden Audio- oder Videomaterial des Opfers. Die Erzeugung von geklontem Audio- und Videomaterial ist in Echtzeit möglich, sodass eine sehr realistisch wirkende Interaktion mit dem Opfer vorgetäuscht werden kann. Auch Dokumentenfälschung wird durch KI vereinfacht.
  • Politische Desinformation: Angreifer erstellen gefälschtes „Beweismaterial“, um Politiker zu diskreditieren. In einem Fall in New Hampshire wurde KI-generiertes Audiomaterial sogar zur direkten Wahlbeeinflussung eingesetzt: Tausende Wähler wurden angerufen und mit der gefälschten Stimme von Joe Biden dazu aufgerufen, nicht wählen zu gehen.
  • Leugnen echter Beweise: Wenn kompromittierendes Beweismaterial gegen Politiker öffentlich wird, können diese behaupten, es sei gefälscht. Diese Strategie wird als „liar’s dividend“ bezeichnet. Insbesondere erleichtert die Verbreitung von KI-generierten Inhalten Politikern, authentische belastende Aufnahmen als KI-generierte Fälschungen abzutun. Diese Taktik wird „deepfake defense“ genannt.

Um den beschriebenen Risiken vorzubeugen, hat die Europäische Union in der EU-KI-Verordnung eine Kennzeichnungspflicht für KI-generierte Inhalte eingeführt. Diese soll Manipulationen durch KI-generierte Inhalte eindämmen, indem sie dafür sorgt, dass KI-generierte Inhalte als solche erkennbar sind. Die Kennzeichnungspflicht verpflichtet die KI-Anbieter dabei, die von ihnen generierten Inhalte so zu kennzeichnen, dass die Kennzeichnung nicht leicht entfernbar ist, damit Betrüger die KI-generierten Inhalte nicht als echt ausgeben können.

Der Schwerpunkt dieses Artikels liegt auf Bildern, Audio und Videos, da sie hinsichtlich der in diesem Kontext relevanten Eigenschaften relativ ähnlich sind und viele Überlegungen für alle drei Medientypen gelten. Im Gegensatz dazu ist Text ein eigenes Themenfeld, das separat betrachtet werden sollte.

Die in Frage kommenden technischen Ansätze sind einfache Metadaten, Fingerprinting, wahrnehmbare und nicht wahrnehmbare Wasserzeichen sowie kryptografische Methoden. Wir analysieren diese Ansätze auf der Grundlage der Anforderungen und zeigen verschiedene mögliche Markierungsinfrastrukturen sowie Kombinationen der Techniken auf.

2 Die EU-KI-Verordnung

Mit der EU-KI-Verordnung hat die Europäische Union den weltweit bislang weitreichendsten rechtlichen Rahmen für KI geschaffen. Die Umsetzung der KI-Verordnung wird vom EU-KI-Büro, einem Gremium der Europäischen Kommission, koordiniert. Inhaltlich enthält die KI-Verordnung neben der allgemeinen Kennzeichnungspflicht auch Verbote bestimmter Anwendungen wie Social Scoring, Manipulation oder verdachtsunabhängige Gesichtserkennung. Darüber hinaus gelten für Bereiche wie Biometrie, kritische Infrastruktur, Strafverfolgung und Wahlen sowie für sehr allgemein einsetzbare Systeme (sogenannte General Purpose AI) erhöhte Sicherheits- und Transparenzanforderungen. Die Kennzeichnungspflicht nimmt in der Verordnung eine besondere Rolle ein, da sie nicht nur für bestimmte Hochrisikoanwendungen gilt, sondern für alle Anbieter, die KI-generierte Inhalte bereitstellen.

3 Die Kennzeichnungspflicht

Artikel 50 der KI-Verordnung regelt die Kennzeichnungspflicht. Er legt fest, dass KI-Anbieter Inhalte wie Texte, Bilder, Audio und Videos, die von einem KI-System erzeugt oder wesentlich verändert wurden, maschinenlesbar kennzeichnen müssen. Ausgenommen sind dabei Systeme, die für die Strafverfolgung eingesetzt werden, sowie Systeme, die die Inhalte der Nutzer nicht wesentlich verändern. Inhaltlich unterscheidet Artikel 50 zwischen KI-generierten Inhalten in Abschnitt 2 und Deepfakes in Abschnitt 4. Es ist zu beachten, dass der Sprachgebrauch hier keine genaue Unterscheidung trifft und viele Quellen alle realitätsnahen KI-generierten Inhalte als Deepfakes bezeichnen, während andere den Begriff speziell für mit KI veränderte Inhalte verwenden.

An dieser und anderen Stellen lässt Artikel 50 noch erheblichen Interpretationsspielraum. Daher wird in den kommenden Monaten genauer erarbeitet, wie er auszulegen und umzusetzen ist. Dabei spielen zwei ergänzende Instrumente eine wichtige Rolle: der Verhaltenskodex (Code of Practice) für Artikel 50 sowie die Leitlinien der Europäischen Kommission.

Der Verhaltenskodex ist eine freiwillige Erklärung, zu der sich Unternehmen verpflichten können, um mehr Rechtssicherheit darüber zu haben, dass sie den Anforderungen der KI-Verordnung entsprechen. Der Verhaltenskodex wird seit November 2025 in einer Arbeitsgruppe mit über 200 Interessenvertretern aus Wirtschaft und Forschung erarbeitet. Die Ausarbeitung des Verhaltenskodex wird vom KI-Büro koordiniert und soll im Juni 2026 abgeschlossen werden, zwei Monate bevor Artikel 50 im August in Kraft tritt. Allerdings sollen bereits unverbindliche vorläufige Versionen veröffentlicht werden, während der Verhaltenskodex noch in Arbeit ist.

Im Gegensatz zum Verhaltenskodex sind die Leitlinien der Europäischen Kommission verbindliche Regelungen. Sie werden vom KI-Büro parallel zum Verhaltenskodex ausgearbeitet und sollen klare Definitionen für die Begriffe – wie zum Beispiel „Deepfake“ – aus Artikel 50 festlegen und konkretisieren, in welchen Fällen Artikel 50 anzuwenden ist.

Insbesondere wird sich während der Ausarbeitung des Verhaltenskodex und der Leitlinien entscheiden, ob eine bestimmte Kennzeichnungstechnologie erforderlich sein wird. Im Folgenden geben wir einen Überblick darüber, welche technischen Anforderungen eine solche Kennzeichnungstechnologie erfüllen sollte.

4 Technische Anforderungen

Damit eine Kennzeichnung Manipulationen erfolgreich verhindern kann, sollte sie auf technischer Ebene die folgenden Anforderungen erfüllen: Robustheit, Entfernungssicherheit, Fälschungssicherheit, öffentliche Erkennung auf dem Endgerät, Barrierefreiheit der Erkennung und Nicht-Wahrnehmbarkeit.

  • Robustheit bezieht sich auf die Widerstandsfähigkeit der Markierung gegenüber typischen und unbeabsichtigten Veränderungen des Mediums. Übliche Nachbearbeitungsschritte sollen die Markierung also nicht entfernen oder unbrauchbar machen. Dazu zählen insbesondere verlustbehaftete Komprimierung und Nachbearbeitungen wie Anpassung von Helligkeit, Farbtemperatur, Zuschneiden, Skalierung, Rotation und Spiegelung. Im Bildbereich kommt auch das Erstellen eines Screenshots hinzu. Im Audiobereich gelten vergleichbare Anforderungen, etwa gegenüber Tonhöhenverschiebung und Geschwindigkeitsänderungen.
  • Entfernungssicherheit bezeichnet die Eigenschaft, dass es für einen bewusst und gezielt handelnden Angreifer schwierig ist, die Markierung zu entfernen oder so zu verändern, dass sie nicht mehr nachweisbar ist. Diese Eigenschaft ist besonders wichtig, um zu verhindern, dass jemand die Markierung entfernt, um KI-generierte Medien als echt auszugeben und sie für Betrug oder Manipulation zu verwenden.
  • Fälschungssicherheit beschreibt, wie schwer es für einen Angreifer ist, die Markierung zu fälschen. Fälschungssicherheit stellt sicher, dass Angreifer echte Inhalte nicht als KI-generiert markieren und somit die Glaubwürdigkeit der Markierung untergraben können. Insbesondere sollte die Markierung resistent gegen Kopierangriffe sein, bei denen ein Angreifer eine Markierung fälscht, indem er die Markierung von einem markierten Inhalt auf einen authentischen Inhalt kopiert.
  • Öffentliche Erkennung auf dem Endgerät ist die Möglichkeit, eine Markierung direkt auf dem Endgerät zu erkennen. Demgegenüber stehen Ansätze mit privater Erkennung, bei denen nur bestimmte Instanzen die Markierung erkennen können. In diesem Fall müssen Nutzer, die prüfen wollen, ob ein Inhalt markiert ist, diesen erst an eine Erkennungsinstanz senden. Private Erkennung bringt erhebliche Einschränkungen hinsichtlich Verfügbarkeit und Datenschutz mit sich.
  • Barrierefreiheit der Erkennung bedeutet, dass die Markierung von jedem leicht erkannt werden kann. Barrierefreiheit ist wünschenswert, damit Nutzer ohne technischen Hintergrund erkennen können, wenn sie es mit KI-generierten Inhalten zu tun haben. Zum Beispiel sind Markierungen, die direkt sichtbar oder hörbar sind, barrierefreier als Markierungen, bei denen zur Erkennung zuerst die Metadaten geöffnet werden müssen. Metadaten-Markierungen sind wiederum barrierefreier als Markierungen, für deren Erkennung und Anzeige eine spezielle Software heruntergeladen werden muss. Diese Eigenschaft ist vor allem in der Anfangsphase wichtig, bevor Erkennungssoftware weit verbreitet ist: Sobald alle grossen Social-Media-Plattformen und Messenger die Erkennung direkt integrieren, ist diese Anforderung weniger wichtig, da es dann ohnehin nicht mehr nötig ist, separate Software herunterzuladen.
  • Nicht-Wahrnehmbarkeit bedeutet, dass die Markierung die Bild- oder Tonqualität nicht beeinträchtigt und dass der Unterschied zwischen dem markierten Inhalt und dem Original für die meisten Menschen nicht wahrnehmbar ist. Diese Eigenschaft wird in der Literatur oft als „Transparenz“ bezeichnet, aber wir verwenden den Begriff „Nicht-Wahrnehmbarkeit“, da auch Kennzeichnung im Allgemeinen oft als Transparenz bezeichnet wird und wir eine Überladung des Begriffs vermeiden wollen. Bleibt der Inhalt bei der Markierung unverändert, ist diese automatisch nicht wahrnehmbar. Die Anforderung gilt daher nur für Verfahren mit direkter Einbettung. Sichtbare Wasserzeichen erfüllen die Anforderung definitionsgemäss nicht.

Basierend auf diesen Anforderungen betrachten wir nun die verschiedenen technischen Ansätze und bewerten ihre jeweiligen Vor- und Nachteile.

5 Markierungstechnologien

In Erwägungsgrund 133 des EU-KI-Verordnung werden verschiedene Technologien genannt, wie Metadaten-Kennzeichnungen, kryptografische Methoden zum Nachweis der Herkunft und Authentizität von Inhalten, Wasserzeichen, Fingerabdrücke und vergleichbare Verfahren. Im Folgenden beschreiben wir jede dieser Methoden und analysieren sie auf der Grundlage der oben genannten Anforderungen.

  • Einfache Metadaten sind Informationen über Medien oder Dokumente, wie zum Beispiel das Erstellungsdatum, die zusätzlich zum Inhalt in den entsprechenden Dateien gespeichert sind. Auch die Information, ob der Inhalt KI-generiert ist, kann in den Metadaten gespeichert werden. Metadaten können jedoch leicht verloren gehen, etwa beim Erstellen eines Screenshots eines Inhalts, und einfache Metadaten lassen sich zudem leicht fälschen. Daher ist dieser Ansatz nicht robust und weder entfernungs- noch fälschungssicher. Ein Vorteil ist jedoch, dass einfache Metadaten auf handelsüblichen Geräten in der Regel ohne spezielle Software angezeigt werden können und die Markierung somit leicht zugänglich und öffentlich erkennbar ist.
  • Kryptographische Methoden nutzen sogenannte digitale Signaturen, die sicherstellen, dass der Inhalt einer Datei nicht verändert und von einer bestimmten Entität freigegeben wurde. So lässt sich beispielsweise nachweisen, dass ein Foto mit einer bestimmten Kamera aufgenommen wurde. Die Coalition for Content Provenance and Authenticity (C2PA) ist ein Industriekonsortium, dem unter anderem Adobe, Microsoft und Intel angehören, das einen offenen Standard entwickelt, um die Herkunft und Bearbeitung digitaler Inhalte nachvollziehbar zu machen. Konkret schlägt C2PA vor, dass Aufnahmegeräte, Bearbeitungssoftware und Plattformen bei jedem Schritt kryptografisch signierte Metadaten anhängen, aus denen Quelle, Bearbeitungsschritte und verantwortliche Akteure hervorgehen. So können Empfänger prüfen, von wem ein Inhalt stammt und wie er verändert wurde. Da die digitalen Signaturen in den Metadaten gespeichert werden, die leicht verloren gehen können, ist auch dieser Ansatz weder robust noch fälschungssicher. Sind die Metadaten jedoch vorhanden, ist der Nachweis öffentlich detektierbar und fälschungssicher.
  • Wahrnehmbare Wasserzeichen sind Markierungen, die direkt hörbar oder sichtbar in Dokumente oder Medien eingebracht werden. Sie sind jedoch weder entfernungs- noch fälschungssicher, und die direkte Wahrnehmbarkeit kann die Bildqualität beeinträchtigen. Diese direkte Erkennbarkeit führt allerdings auch zu einer hohen Barrierefreiheit. Ausserdem sind wahrnehmbare Wasserzeichen robust und öffentlich nachweisbar.
  • Symmetrische Wasserzeichen sind nicht wahrnehmbare Muster, die für Menschen unsichtbar oder unhörbar in Dokumente oder Medien eingebettet werden. Sie basieren auf einem geheimen Wasserzeichen-Schlüssel, der wie ein Passwort verwendet wird: Die Einbettung des Wasserzeichens basiert auf dem Schlüssel, und nur wer den Schlüssel kennt, kann das Wasserzeichen anschliessend wieder auslesen. Ohne den Schlüssel ist es relativ schwer, das Wasserzeichen zu fälschen oder zu entfernen, aber mit dem Schlüssel sind Entfernungs- und Fälschungsangriffe sehr einfach durchzuführen. Daher wird der Schlüssel in der Regel geheim gehalten und eine öffentliche Erkennung der Markierung auf dem Endgerät ist nicht möglich. Stattdessen muss jemand, der prüfen will, ob ein Inhalt markiert ist, diesen Inhalt zur Erkennung an eine Instanz senden, die den Wasserzeichenschlüssel kennt. Trotz dieses Nachteils spielen symmetrische Wasserzeichen eine wichtige Rolle, da sie zusätzlich zu einer hohen Robustheit auch eine hohe Entfernungssicherheit aufweisen. Dennoch ist zu beachten, dass es selbst bei symmetrischen Wasserzeichen möglich ist, dass ein motivierter, technisch versierter Angreifer die Markierung entfernen kann. Zum Beispiel sind die meisten Wasserzeichenverfahren anfällig für Angriffe, bei denen dem Medium Rauschen hinzugefügt und dieses dann mit einem Rauschentfernungswerkzeug wieder entfernt wird. Dies erfordert jedoch einen gewissen Aufwand und stellt somit zumindest eine Hürde für Angreifer dar.
  • Asymmetrische Wasserzeichen sind nicht wahrnehmbare Wasserzeichen, die zwei verschiedene Schlüssel verwenden, einen geheimen und einen öffentlichen Schlüssel. Analog zur asymmetrischen Kryptographie wird der geheime Schlüssel zum Einbetten des Wasserzeichens verwendet und der öffentliche Schlüssel zum Auslesen. Das Wasserzeichen zu fälschen oder zu entfernen ist für einen Angreifer mit dem geheimen Schlüssel leicht, aber schwer, wenn der Angreifer nur Zugriff auf den öffentlichen Schlüssel hat. Im Gegensatz zu symmetrischen Wasserzeichen, die bereits umfassend erforscht wurden und seit Jahrzehnten im Bereich des Urheberrechtsschutzes eingesetzt werden, ist die Forschung zu asymmetrischen Wasserzeichen noch unausgereift. Die Robustheit sowie die Entfernungs- und Fälschungssicherheit ist deutlich geringer als bei symmetrischen Wasserzeichen. Ein grosser Vorteil ist jedoch die öffentliche Erkennung auf dem Endgerät.
  • Fingerprinting bedeutet, dass Anbieter eindeutige Merkmale der von ihnen generierten Inhalte, sogenannte digitale Fingerabdrücke, in einer Datenbank speichern. Um zu prüfen, ob ein Dokument oder Medium KI-generiert ist, werden die gleichen Merkmale extrahiert und dann an den Anbieter gesendet, der sie mit der Datenbank abgleicht. Die extrahierten Merkmale werden manchmal auch als robuste Hashes bezeichnet, da sie wie kryptographische Hashes eine kompakte Darstellung der Daten sind. Die Merkmale sind robust, da im Gegensatz zu kryptografischen Hashes kleine Änderungen des Inhalts nicht zu einer Änderung der Merkmale führen. Genau wie symmetrische Wasserzeichen ist Fingerprinting robust und weist eine mittlere Fälschungssicherheit sowie eine relativ hohe Entfernungssicherheit auf. Allerdings lässt auch Fingerprinting keine öffentliche Erkennung auf dem Endgerät zu, und für einen technisch versierten Angreifer ist es möglich, den Inhalt auf nicht wahrnehmbare Weise so zu modifizieren, dass sich der Fingerabdruck so verändert, dass er fälschlicherweise als ein anderer Inhalt identifiziert wird oder nicht mehr in der Datenbank gefunden wird. Streng genommen ist Fingerprinting keine „Kennzeichnung“ im klassischen Sinne, da die Datei dabei unverändert bleibt. Der gemeinsame Kern aller Kennzeichnungsansätze ist jedoch, dass KI-Anbieter aktiv Massnahmen ergreifen, um ihre Inhalte erkennbar zu machen. Da Fingerprinting genau diese Funktion erfüllt, zählt die KI-Verordnung Fingerprinting zu den Kennzeichnungstechnologien.

Über die bisher beschriebenen Verfahren hinaus gibt es auch noch weitere Ansätze zur Unterscheidung von KI-generierten und echten Inhalten, die voraussichtlich nicht in den Anwendungsbereich der Kennzeichnungspflicht in Artikel 50 der EU-KI-Verordnung fallen, da sie nicht auf einer aktiven Massnahme der KI-Anbieter basieren. Dennoch sind diese Ansätze als Ergänzung zu den bisher genannten Verfahren sehr vielversprechend.

  • Deepfake-Erkennung: KI-generierte Inhalte weisen oft charakteristische Artefakte auf, etwa inkonsistente Beleuchtung, Unschärfen oder Rendering-Fehler. Deepfake-Erkennung bedeutet, diese Artefakte zu identifizieren. Deepfake-Erkennung weist höhere Fehlerraten als die oben genannten Methoden auf, und ob die Erkennung erfolgreich ist, hängt stark vom verwendeten KI-Modell und den Trainingsdaten ab. Um eine zuverlässige Erkennung zu gewährleisten, müssen die Erkennungsalgorithmen kontinuierlich weiterentwickelt und an neuere KI-Modelle angepasst werden. Entfernungs- oder Fälschungsangriffe basieren darauf, dass Angreifer nicht wahrnehmbare Muster in die Medien einfügen, die die Detektoren zu Fehlklassifikationen verleiten. Die Entfernungs- und Fälschungssicherheit liegt im mittleren Bereich und die Robustheit ist relativ hoch. Ein besonderer Vorteil ist, dass die Inhalte nicht vorab markiert werden müssen. Damit lässt sich die Deepfake-Erkennung unabhängig von der Kennzeichnungspflicht bereits jetzt zur Erkennung KI-generierter Inhalte einsetzen.
  • Kennzeichnung authentischer Inhalte: Zusätzlich zur Kennzeichnung generierter Inhalte können auch echte Inhalte als echt gekennzeichnet werden. Dabei sind die Funktionen der Entfernungs- und Fälschungssicherheit umgekehrt: Ein Angreifer, der jemanden davon überzeugen möchte, dass ein echter Inhalt KI-generiert ist, muss die Kennzeichnung „KI-generiert“ fälschen und die Kennzeichnung „echt“ entfernen. Umgekehrt müsste ein Angreifer, der jemanden von der Echtheit eines KI-generierten Inhalts überzeugen möchte, die Markierung „KI-generiert“ entfernen und die Markierung „echt“ fälschen. Authentische Inhalte können mit jeder der bisher beschriebenen Methoden markiert werden. Da mit kryptografischen Methoden eine extrem hohe Fälschungssicherheit möglich ist (während die Sicherheit vor Entfernung durch einen technisch versierten Angreifer bei keinem Ansatz gegeben ist), ist die Markierung authentischer Inhalte mit kryptografischen Methoden besonders vielversprechend. Dieser Ansatz erfordert allerdings etwas Zeit, da die Markierung authentischer Inhalte so weit verbreitet sein muss, dass das Fehlen einer Markierung verdächtig ist.

Die Markierungstechnologien werden nicht isoliert eingesetzt, sondern sind Teil einer Markierungsinfrastruktur. Im folgenden Abschnitt betrachten wir verschiedene Möglichkeiten, eine solche Markierungsinfrastruktur zu realisieren.

6 Markierungsinfrastruktur

Wie die Markierung organisatorisch umgesetzt werden kann, hängt davon ab, ob die Erkennung öffentlich und lokal auf einem Endgerät möglich ist. Wir stellen nun drei mögliche Infrastrukturen vor, die unserer Auffassung nach die Anforderungen am besten erfüllen: öffentliche Erkennung, dezentrale private Erkennung und zentralisierte private Erkennung.

  • Öffentliche Erkennung: Wenn eine Markierungstechnologie öffentliche Erkennung zulässt, kann jeder die Markierung erkennen. Der Vorteil dabei ist, dass keine Inhalte weitergeleitet werden müssen. Deshalb reicht eine einfache Markierungsinfrastruktur aus, bei der die KI-Anbieter ihre Inhalte markieren und einzelne Nutzer die Markierung direkt auf dem Endgerät erkennen. Markierungstechnologien, die öffentliche Erkennung bieten, haben jedoch normalerweise nur eine sehr begrenzte Sicherheit gegen Entfernung. Insbesondere kann mit öffentlicher Erkennung ein Orakel-Angriff durchgeführt werden. Das bedeutet, ein Angreifer sucht systematisch nach Änderungen, die die Markierung entfernen, und kann direkt überprüfen, ob der Angriff erfolgreich war. Wenn die Erkennung von einer externen Erkennungsinstanz durchgeführt wird, die beispielsweise bei Wasserzeichen Zugriff auf den geheimen Wasserzeichenschlüssel hat, sind Orakel-Angriffe schwieriger durchzuführen. Zwar sind Orakel-Angriffe im Prinzip weiterhin möglich, aber die Detektionsinstanz kann einen Angriff daran erkennen, dass der Angreifer fast denselben Inhalt mehrfach hintereinander prüfen lässt. Daher ist die Markierung entfernungssicherer, wenn die Detektion von einer externen Detektionsinstanz durchgeführt wird und nicht lokal auf dem Endgerät möglich ist.
  • Dezentrale private Erkennung: Jeder Anbieter generativer KI markiert die von seinen Modellen erzeugten Inhalte mit einem System zur privaten Erkennung. Ein Nutzer kann dann nicht direkt prüfen, ob ein Inhalt markiert ist. Stattdessen sendet er den Inhalt an alle Anbieter, die den Inhalt generiert haben könnten. Die Anbieter prüfen daraufhin, ob der Inhalt von ihnen markiert ist. Der Vorteil dieses Szenarios besteht darin, dass es bei der privaten Erkennung einfacher ist, eine Markierung vor dem Entfernen zu schützen. Dass dabei die Inhalte an viele verschiedene Anbieter gesendet werden müssen, bringt jedoch ein erhebliches Datenschutzproblem mit sich. Wenn ein solches System beispielsweise zur Überprüfung von Telefonanrufen auf Deepfake-Betrug verwendet wird, müsste eine Aufzeichnung aller Telefonanrufe an alle Anbieter generativer KI gesendet werden, was eine erhebliche Datenschutzverletzung darstellt. Auch die Verfügbarkeit ist bei dieser Markierungsinfrastruktur eingeschränkt: Wenn ein Anbieter nicht erreichbar ist oder technische Probleme mit der Schnittstelle bestehen, kann der Nutzer nicht auf eine Markierung dieses Anbieters prüfen.
  • Zentralisierte private Erkennung: Eine weitere Möglichkeit, ein System mit privater Erkennung zu nutzen, besteht darin, dass eine vertrauenswürdige zentrale Instanz die Aufgabe übernimmt, KI-generierte Inhalte zu markieren. Das bedeutet, dass ein Anbieter, wenn er Inhalte generiert, diese zunächst an diese zentrale Instanz sendet, die den Inhalt markiert, und erst danach wird der markierte Inhalt dem Nutzer zur Verfügung gestellt. Der Vorteil dieses Systems besteht darin, dass es auch dann funktioniert, wenn einzelne Anbieter nicht verfügbar sind, und dass die Datenschutzbedenken etwas gemindert werden. Dennoch bleibt das Datenschutzproblem bestehen. Der Nachteil dieses Systems ist, dass eine einzelne Instanz über viel Macht verfügt, was einen Single Point of Failure sowie Missbrauchspotenzial schafft.

Es zeigt sich, dass nicht alle Anforderungen gleichzeitig von einem Ansatz erfüllt werden können, und insbesondere die Entfernungssicherheit im Konflikt mit der öffentlichen Detektion steht. Ein pragmatischer Ansatz, die jeweiligen Vorteile von privater und öffentlicher Detektion zu kombinieren, ist eine Mehrfachmarkierung: Man kann eine Markierung mit öffentlicher Detektion zur ersten lokalen Prüfung durch eine weitere Markierung mit privater Detektion ergänzen, die eine höhere Entfernungssicherheit bietet. Im folgenden Abschnitt gehen wir näher auf eine solche Mehrfachmarkierung ein.

7 Mehrfachmarkierung

Da kein technischer Ansatz alle Anforderungen erfüllt, sollten mehrere Technologien miteinander kombiniert werden. Die Kombination von Markierungen ist für das vorliegende Anwendungsszenario bisher nicht wissenschaftlich untersucht worden. Eine systematische Evaluierung verschiedener Varianten ist dringend erforderlich. Dennoch stellen wir hier einen Vorschlag vor, den wir für vielversprechend halten.

7.1 Kombination von Markierungstechniken

Im Folgenden stellen wir eine geeignete Kombination von Techniken vor, bei der synthetische Audio-, Bild- oder Videoinhalte mit allen vier der folgenden Techniken gekennzeichnet werden:

  • Einfache Metadaten: Die Metadaten jedes KI-generierten Mediums sollten eine konsistente Zeichenkette enthalten, beispielsweise „AI-generated“ in einem bereits vorhandenen Metadaten-Tag. Dies bietet eine erste barrierefreie Kennzeichnungsebene, die normale Endgeräte bereits ohne spezielle Software anzeigen können.
  • Kryptografischer Ansatz (für generierte und authentische Inhalte): Zusätzliche Metadaten, die beispielsweise dem C2PA-Standard entsprechen, sollten die Herkunftsinformationen einschliesslich einer Änderungshistorie des Mediums bereitstellen. Insbesondere sollten sie eine digitale Signatur enthalten, die sicherstellt, dass die Kennzeichnung nicht gefälscht werden kann. Zusätzlich sollten auch authentische Inhalte auf diese Weise gekennzeichnet werden.
  • Präsenzwasserzeichen (symmetrisch, nicht wahrnehmbar, öffentlicher Schlüssel): Da die ersten beiden Markierungsebenen auf Metadaten beruhen, die leicht verloren gehen können, sollte zusätzlich ein symmetrisches Wasserzeichen in das Medium eingebettet werden, das untrennbar mit dem Inhalt verbunden ist und daher auch dann noch erkennbar bleibt, wenn das Medium gängige Nachbearbeitungsschritte durchläuft. Dabei reicht ein sogenanntes Präsenzwasserzeichen aus, das keine Wasserzeichennachricht einbettet, sondern nur die binäre Information repräsentiert, dass der Inhalt KI-generiert ist. Der Wasserzeichenschlüssel sollte öffentlich sein, damit Endgeräte das Wasserzeichen direkt erkennen können und den Inhalt nicht zur Erkennung an Dritte weiterleiten müssen.
  • Entfernungsresistentes Wasserzeichen (symmetrisch, nicht wahrnehmbar, geheimer Schlüssel): Obwohl ein Präsenzwasserzeichen gegen gängige Nachbearbeitungsschritte resistent ist, kann ein Angreifer mit dem öffentlichen Schlüssel das Wasserzeichen weitestgehend entfernen. Daher sollte ein zusätzliches Wasserzeichen mit einem geheimen Schlüssel eingebettet werden, um die Resistenz gegen gezielte Angriffe zu erhöhen. Obwohl Nutzer diese Kennzeichnungsebene nicht direkt auf ihrem Gerät erkennen können, ermöglicht sie ihnen, den Inhalt an eine Institution zu senden, die Zugang zum geheimen Schlüssel hat, um eine Überprüfung anzufordern. Auch wenn diese Ebene keine absolute Sicherheit bietet, erhöht sie dennoch den Aufwand für einen Entfernungsangriff und damit die Sicherheit gegen Entfernung erheblich. Dennoch muss davon ausgegangen werden, dass ein ausreichend motivierter, technisch versierter Angreifer ein Wasserzeichen in der Regel entfernen kann. Um die Privatsphäre der Nutzer zu schützen, sollte diese Ebene nicht automatisiert geprüft werden, und Inhalte sollten nur mit einer ausdrücklichen Zustimmung der Nutzer an die Detektionsinstanz gesendet werden.

Diese Mehrfachmarkierung ist barrierefrei und auf normalen Endgeräten leicht darstellbar, nicht wahrnehmbar, robust, fälschungssicher, relativ entfernungssicher und öffentlich detektierbar. Allerdings besteht weiterhin das Risiko, dass ein Angreifer die ersten drei Ebenen der Markierung entfernt, da diese nicht entfernungsresistent sind. Wenn die ersten drei Markierungen entfernt wurden, ist eine öffentliche Detektion nicht mehr möglich. Da viele Nutzer, möglicherweise um ihre Privatsphäre zu schützen, auf die optionale vierte Prüfung verzichten, bliebe die Manipulation in diesem Fall unentdeckt. Idealerweise sollte daher eine Markierungstechnologie entwickelt werden, die sowohl eine öffentliche Erkennung ermöglicht als auch eine hohe Entfernungssicherheit aufweist. Da eine solche ideale Technologie derzeit jedoch nicht existiert, ist dieser Kompromiss vorerst der praktikabelste Ansatz.

7.2 Kommunikation der Bedeutung erkannter Markierungen

Wenn diese Mehrfachmarkierung verwendet wird, kann es zu einer teilweisen Erkennung kommen. Das heisst, die Markierungen werden auf manchen Ebenen erkannt, auf anderen jedoch nicht. Es ist wichtig, den Nutzern die Bedeutung einer teilweisen Erkennung genau zu vermitteln. Insbesondere ist es wichtig, den Unterschied zwischen den folgenden Erkennungsergebnissen zu kommunizieren:

1. C2PA wurde anhand der Signatur eines verifizierten KI-Anbieters erkannt. Das bedeutet, dass das Medium mit sehr hoher Sicherheit KI-generiert ist.

2. C2PA und einfache Metadaten wurden nicht erkannt, aber das Präsenzwasserzeichen wurde erkannt. Das bedeutet, dass das Medium wahrscheinlich KI-generiert ist und anschliessend so bearbeitet wurde, dass die Metadaten entfernt wurden.

3. Weder C2PA noch einfache Metadaten noch das Wasserzeichen mit öffentlicher Erkennung wurden erkannt, aber das Wasserzeichen mit dem geheimen Schlüssel wurde erkannt. Dies ist wahrscheinlich das Ergebnis eines Entfernungsangriffs.

4. Auf keiner der vier Ebenen wurde eine Kennzeichnung erkannt. Das bedeutet, der Inhalt wurde wahrscheinlich nicht mit KI generiert, aber es könnte auch sein, dass ein ausreichend motivierter Angreifer die Kennzeichnung entfernt hat.

5. C2PA wurde mit einer Signatur einer verifizierten Quelle für authentische Inhalte erkannt, beispielsweise von einer Kamera, die digitale Signaturen bereitstellt. Das bedeutet, dass das Medium mit sehr hoher Sicherheit authentisch ist.

Den Nutzern zu vermitteln, was die unterschiedlichen Erkennungsergebnisse bedeuten, ist eine grosse Herausforderung, und es sollte gründlich erforscht werden, wie diese Unterscheidungen am besten kommuniziert werden sollten. Die beschriebene Kombination von Ansätzen ist nur eine mögliche Variante. Im Folgenden beschreiben wir, welche anderen Möglichkeiten in Betracht kommen und unter welchen Umständen welche Variante besonders geeignet ist.

7.3 Mögliche Modifikationen der Mehrfachmarkierung

  • Asymmetrisches Präsenzwasserzeichen: Anstelle eines symmetrischen Präsenzwasserzeichens mit öffentlichem Schlüssel könnte ein asymmetrisches Präsenzwasserzeichen eingesetzt werden. Der Vorteil besteht darin, dass asymmetrische Wasserzeichen so konzipiert sind, dass sie gleichzeitig entfernungssicher und öffentlich detektierbar sind. Allerdings ist die Forschung im Bereich asymmetrischer Wasserzeichen noch nicht sehr weit fortgeschritten, da es bisher keinen Anwendungsfall gab, bei dem eine öffentliche Detektion erforderlich war. Daher sind asymmetrische Wasserzeichen wesentlich unausgereifter als symmetrische Wasserzeichen und nicht praxiserprobt. Dennoch halten wir asymmetrische Wasserzeichen für einen vielversprechenden Ansatz, der weiter erforscht werden sollte.
  • Fingerprinting: Eines der unsichtbaren Wasserzeichen könnte durch Fingerprinting ersetzt werden. Um das Präsenzwasserzeichen zu ersetzen, muss die Fingerabdruck-Datenbank öffentlich sein, damit jeder Nutzer überprüfen kann, ob ein Inhalt KI-generiert ist, ohne ihn weiterleiten zu müssen. Um das Wasserzeichen mit geheimem Schlüssel zu ersetzen, sollten die Datenbank und die Fingerprinting-Methode privat sein. Wir empfehlen Wasserzeichen gegenüber Fingerprinting, da Fingerprinting hohe Rechenkosten bei der Erkennung verursacht.
  • Wahrnehmbare Wasserzeichen: Wenn es vorrangig ist, sicherzustellen, dass alle Nutzer eine Kennzeichnung stets ohne Erkennungssoftware wahrnehmen können, sind sichtbare oder hörbare Wasserzeichen erforderlich. Wir empfehlen solche Wasserzeichen jedoch nicht, da sie zu Qualitätseinbussen führen, die die Vorteile überwiegen. Ausserdem gehen wir davon aus, dass Erkennungssoftware bald ausreichend verbreitet sein wird, sodass es keinen zusätzlichen Mehrwert bringt, die Markierung sichtbar oder hörbar in den Inhalt einzubetten.
  • Ratenbegrenzung und Anomalieerkennung: Obwohl das symmetrische Wasserzeichen mit dem geheimen Schlüssel relativ entfernungsresistent ist, können Angreifer dennoch einen Orakel-Angriff durchführen. Das bedeutet, sie suchen systematisch nach einer Version eines Mediums, bei der das Wasserzeichen nicht erkannt wird, und nutzen die Erkennungsinstanz als Feedback, um zu wissen, ob der Angriff erfolgreich war. Um solche Angriffe zu erschweren, können Ratenbegrenzungen eingeführt werden, sodass Nutzer nur eine begrenzte Anzahl von Prüfungen pro Zeiteinheit anfordern können. Zusätzlich könnte eine Anomalieerkennung genutzt werden, um verdächtige Erkennungsanfragen zu sperren. Ratenbegrenzung und Anomalieerkennung würden die Entfernungssicherheit erhöhen, dabei jedoch je nach Implementierung die Benutzerfreundlichkeit beeinträchtigen.
  • Deepfake-Erkennung: Zusätzlich zu den genannten Ansätzen könnte die Deepfake-Erkennung als weitere Ebene der Erkennung genutzt werden. Das macht das Gesamtsystem zwar komplexer, hat aber den Vorteil, dass keine Markierung erforderlich ist. Daher kann die Deepfake-Erkennung unabhängig von anderen Ansätzen eingesetzt werden.

Diese Modifikationsmöglichkeiten zeigen, dass es sehr viele Optionen gibt, Markierungstechniken zu kombinieren. Jede dieser Optionen bringt unterschiedliche Vor- und Nachteile mit sich. Welche Markierungsform letztendlich die Kennzeichnungspflicht der KI-Verordnung erfüllt, wird voraussichtlich ab Juni 2026 im Verhaltenskodex und in den Leitlinien der Europäischen Kommission festgelegt sein.

8 Fazit

Die Schwierigkeit, KI-generierte von echten Inhalten zu unterscheiden, birgt erhebliche Risiken für Betrug, Desinformation und Manipulation. Im August 2026 tritt die Kennzeichnungspflicht in Artikel 50 der EU-KI-Verordnung in Kraft. Das ist ein wichtiger Meilenstein für mehr Transparenz bei der Verbreitung KI-generierter Inhalte.

Dieser Beitrag zeigt, dass keine Markierungstechnologie für sich genommen alle Anforderungen gleichzeitig erfüllt. Insbesondere besteht ein Zielkonflikt zwischen Entfernungssicherheit und öffentlicher Erkennung: Markierungen, die auf dem Endgerät erkennbar sind, lassen sich leichter entfernen, während entfernungsresistentere Markierungen eine externe Erkennung erfordern. Eine Mehrfachmarkierung, die verschiedene Technologien verbindet, stellt einen pragmatischen Kompromiss dar, der die Stärken der einzelnen Ansätze kombiniert. Allerdings haben Mehrfachmarkierungen die wichtige Einschränkung, dass sie bisher weder praxiserprobt sind noch wissenschaftlich rigoros getestet wurden. Viele Fragen zur konkreten Umsetzung der Kennzeichnungspflicht sind derzeit noch offen. Der Verhaltenskodex und die Leitlinien der Europäischen Kommission, die bis Juni 2026 fertiggestellt werden sollen, werden hier mehr Klarheit schaffen. Letztlich muss bei der Umsetzung der Kennzeichnungspflicht ein Gleichgewicht zwischen Sicherheit, Benutzerfreundlichkeit und Datenschutz gefunden werden. Nur wenn die Kennzeichnung für normale Nutzer leicht erkennbar ist, gleichzeitig aber auch sicher gegen gezielte Angriffe ist, kann die Kennzeichnungspflicht ihr Ziel erreichen, Manipulation und Desinformation durch KI-generierte Inhalte zu verhindern.

Die Tabelle und die Abbildung wurden entfernt.

Wache, M., Steinebach, M. & Berchtold, W. KI sichtbar machen: die Kennzeichnungspflicht der EU KI-Verordnung und Technologien zur Markierung generierter Inhalte. HMD 63, 472–487 (2026).

https://doi.org/10.1365/s40702-026-01263-2

http://creativecommons.org/licenses/by/4.0/deed.de

Dem Text wurden Hyperlinks hinzugefügt.

KI-Governance, Security und Privacy

Unsere KI-, Governance-, Datenschutz- und Security-Spezialisten begleiten Sie bei der Erstellung der übergeordneten firmeninternen KI-Vorgaben, bei der Abwicklung von KI-Projekten, bei der Klärung von Einzelfragen und der Durchführung unabhängiger Audits. Ebenfalls unterstützen sie Organisationen in ihrer Rolle als Nutzer/Betreiber, Anbieter oder Entwickler von KI-Systemen sowohl nach Schweizer Recht als auch gemäss dem EU-AI Act.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Mehr zu KI-Governance
Kategorie: Künstliche Intelligenz
© Swiss Infosec AG 2026