Hadmut Danisch
Ansichten eines Informatikers

Wie beweist man die Echtheit von Fotos?

Hadmut
28.8.2025 17:26
Uncategorized

Eine immer wieder an mich gestellt Frage.

Seit Jahren fragen Leser zwar nur gelegentlich, aber immer wieder mal an, wie man eigentlich beweist, dass ein Foto nicht manipuliert, sondern tatsächlich so fotografiert wurde.

Das ist ein ganz schwieriges Thema, an dem die Kamerahersteller schon seit einiger Zeit arbeiten.

Ich halte das Thema nicht für lösbar, weil man damit bestenfalls beweisen kann, dass das Foto mit einer Kamera aufgenommen wurde, aber nicht, dass es die Wahrheit zeigt. Überlegt mal, wieviele Tricks und Methoden es früher, vor der Digitalisierung schon gab, Bilder zu erzeugen, die einen unwahren Sachverhalt zeigen. Die ganzen Special Effects, die man früher vor der Kamera aufbaute und nicht am Rechner machte. Godzilla. Krieg der Sterne. Raumschiff Enterprise.

Einfachstes Beispiel: Das Abfotografieren eines gefälschten Fotos. Ich kann ja ein Foto herstellen, das massiv verfälscht ist, und es dann einfach abfotografieren – und habe dann einen beweisbaren Vorgang der Aufnahme eines Fotos, das nach dieser Aufnahme nicht mehr manipuliert wurde. Ich kann mich noch an meine Namibia-Reise erinnern, auf der einer eine dicke Kamera hatte (dicker als meine), damit aber eigentlich nicht umgehen konnte, und auch nicht viel fotografiert hatte, aber urplötzlich auf dem Display richtig schöne Tierfotos von Löwen und so weiter zeigte. Die einfach zu schön aussahen um echt zu sein, vor allem von einem, der nicht sonderlich doll fotografieren kann, und nachdem die ganze Gruppe wusste, dass wir einige dieser Tiere nie und andere nur aus großer Entfernung gesehen hatten. Eine Mitreisende erkannte aber eine Postkarte wieder, die sie gerade gekauft und beschriftet hatte, und es stellte sich – seine Frau hat dann gepetzt, weil es ihr zu peinlich war – heraus, dass der am Kiosk einen Stapel Postkarten gekauft und die einfach abfotografiert hatte. War aber so gut, dass man es auf dem Display nicht als Fälschung erkennen konnte. Man merkte es nur daran, dass der etwas zeigte, wo wir nie dran vorbeigekommen waren und dass die Bilder viel zu gut für sein Können waren. In voller Vergrößerung hätte man es vielleicht bemerkt, oder daran, dass man Löwen, Nashörnern und Giraffen nicht mit einer Focus-Einstellung von gleichbleibend 50cm formatfüllend fotografiert. Aber: Die Focus- und Brennweitenangaben könnte man ja manipulieren.

Und eine preisgünstige Technik, alte analoge Aufnahmen mit hoher Qualität zu digitalisieren, besteht in der Verwendung von Objektivadaptern, mit denen man das Dia einfach vor ein Makroobjektiv spannt und abfotografiert. Viel aufwendiger als mit Fotoscannern, aber bei nur wenigen Fotos viel billiger und einfacher und von der Qualität sehr hoch. Wenn man ein Objektiv ohne Chip verwendet, das nichts über seine Brennweite und Focus-Einstellung verrät, kann man damit ein zumindest auf den ersten Blick nicht als Fälschung erkennbares Foto herstellen, das von der Kamera trotzdem als Original bestätigt wird.

Wie dem auch sei.

Die Kamerahersteller bemühen sich um Lösungen, weil die Kundschaft danach fragt (es gab zu viele gefälschte Fotos), und auch, weil Fotografen (und damit Kameras) immer stärker in Konkurrenz zu KI-erzeugten Bildern stehen, und KI-Fälschungen die Glaubwürdigkeit erschüttern. Dazu kommt, dass KI-Systeme immer besser lernen, die Characteristika echt aufgenommener Fotos wie Sensor-Rauschen, Sensor-Defekte, Sensor-Unregelmäßigkeiten (etwa durch Autofokus-Sensoren, die bei spiegellosen Kameras auf dem Sensor selbst sitzen müssen) zu imitieren.

Nikon macht gerade Werbung für die neue Firmware der Z6 III, denn die soll jetzt so etwas bekommen, und hat dazu auch eine eigene Webseite.

Nikon Authenticity Service protects against AI-generated misinformation.

Activate a new function that adds C2PA-compliant Content Credentials to photos at the time of capture, creating a permanent record of authenticity that anyone can view online.

[…]

C2PA/Content Credentials solution for select cameras.
In an era where image authenticity has never been more crucial, Nikon is committed to protecting news organizations and photographers from the risks of AI-generated misinformation and fabricated images. The Nikon Authenticity Service1 enables select Nikon cameras2 to add secure Content Credentials to the photos they capture, building more trust and transparency online.

So, wie ich die Seite verstanden habe, läuft das folgendermaßen:

Man kann in seine Kamera (Nikon, die anderen werden so etwas aber auch haben oder machen) ein Zertifikat herunterladen, und die Kamera wird eben ein asymmetrisches Schlüsselpaar erzeugen, mit dem jedes Foto im Original signiert wird.

This digital certificate, installed through Nikon Imaging Cloud, creates a unique hardware signature for the camera. Once installed, the Content Credentials function can be activated.

Shooting information such as equipment used, photographer name and date/time is added to the photo, providing proof that it was taken with a Nikon camera.

Und dann soll jede Manipulation des Bildes in der Historie vermerkt werden:

By using C2PA-compliant photo editing software, a version history is created for the photo, alerting viewers to any changes that could lead to misinformation.

A special symbol verifies that Content Credentials are present; clicking the symbol reveals the capture information and editing history.

Ja, schön.

Kurz gesagt: Ich glaube es nicht. Zu viele Sicherheitslücken. Die können nur den Aufwand hochtreiben, aber die Fälschung nicht verhindern.

  • Name des Fotografen: Da kann man im Prinzip eintragen, was man will. Das heißt nicht, dass derjenige auch das Bild gemacht hat. Man könnte sich zwar vorstellen, dass mit dem Zertifikat von der Nikon Imaging Cloud auch der Name des dort angemeldeten Benutzers und nicht nur der in der Kamera eingegebene Name verwendet wird – aber ich habe einen Account in der Nikon Imaging Cloud. Da konnte ich auch einen beliebigen Namen eingeben, der wurde nicht geprüft.
  • Uhrzeit: Woher weiß die Kamera, welche Uhrzeit richtig ist? Die Kamera vergisst die Uhrzeit schon, wenn der Akku ein paar Tage oder Wochen raus war, weil manche der Kameras keine Pufferbatterie, sondern nur einen über den Hauptakku geladenen Kondensator für die Uhr haben, der nur den Akkuwechsel oder das Akkuladen überbrücken soll.

    Gut, könnte man sagen, die Kamera spielt nur mit, wenn sie die Uhrzeit von der Imaging Cloud setzen kann.

    Müsste man mal näher prüfen. Denn frühere Versionen der Firmware (habe ich mir länger nicht mehr näher angesehen) haben nur die Uhrzeit ohne Zeitzone angegeben, was mich gern in den Wahnsinn trieb, wenn ich Urlaubsfotos gemacht und vergessen hatte, die Zeitzone anzupassen. Wenn die Kamera sagt, dass das Bild um 09:00 gemacht wurde: Deutsche oder Ortszeit?

    Diese Zertifiziererei könnte den großen Vorteil mit sich bringen, dass sie endlich mal mit Zeitzone bzw. UTC aufzeichnen. Das hat mich schon immer massiv gestört.

    Und vielleicht bringen sie jetzt auch mal das automatische Stellen der Uhrzeit.

  • Wie verhindern sie, dass man das Zertifikat (genauer: den geheimen Schlüssel) aus der Kamera herauspopelt? Was, wenn die Kamerasoftware Sicherheitslücken hat und sich hacken lässt (was bisher keine Sau interessiert hat), oder sich sogar durch manipulierte Firmware ersetzen lässt, die den Schlüssel einfach herausgibt?

    Ach, wird man sagen, vielleicht ist der Schlüssel ja in sicherer Hardware wie ein TPM.

    Und wenn ich dann umgekehrt der Kamera ein gefälschtes Bild auf die Karte schreibe und die manipulierte Firmware dann eben das signiert?

  • „By using C2PA-compliant photo editing software“ – wenn ich sowas schon höre.

    Sie stellen sich das so vor, dass gute Software alle Bearbeitungsschritte protokolliert (was richtig gute Software sowieso tut, weil sie „non-destructive“ arbeitet und das Bild nicht verändert, sondern nur die Arbeitsschritte aufschreibt und daraus das Zielbild erzeugt, man also das Ausgangsbild nicht zerstören kann), und dann aber mit Signatur dem Bild hinzufügt.

    Da reiben sich dann Firmen wie Adobe die Hände, weil dann wieder der Reibach fließt.

    Das kann gar nicht funktionieren, weil Computer eben keine sicheren Geräte sind, der Benutzer kann sie lesen, verändern und so weiter. Die Software kann das gar nicht so machen, dass ich nicht herausfinden kann, wie sie das macht und an den Schlüssel komme, mit dem sie ihre Daten signiert. Dann manipuliert man das Bild und schreibt rein, man habe nur den Kontrast und die Helligkeit etwas angepasst – fertig. Entweder manipuliert man die Software selbst, oder klaut den Schlüssel daraus.

    Solange das auf dem lokalen Rechner läuft, kommt man auch an den Schlüssel (oder das TPM, falls der Schlüssel darin liegt, soweit ich weiß, haben Macs aber keines, allerdings haben neuere Macs etwas anderes, von dem ich noch nicht weiß, wie es funktioniert).

    Man könnte die Software in der Cloud laufen lassen und dann remote bedienen – aber wer macht das dann?

Ehrlich gesagt – ich glaube nicht so wirklich dran.

Mir kommt das an einigen Stellen so vor, als habe man da wieder einen Fundamental-Fehler der IT-Sicherheit gemacht: Nämlich zu zeigen, dass es funktioniert, wenn der Benutzer sich wohlverhält und es keinen Angreifer gibt, also dass ehrliche Fotografen eine schöne Signatur bekommen, und der Sicherheitsmechanismus im Normalfall positiv funktioniert. Aber nicht zu zeigen, warum es beim böswilligen Benutzer oder Angreifer nicht mehr funktioniert und warum der Angreifer eben keine Signatur bekommen kann.

Dieser Denkfehler fällt mir seit 35 Jahren – schon an der Uni – immer wieder auf: Die Leute betreiben Sicherheit, indem sie zeigen, dass beim normalen Verhalten ohne Angriff alles funktioniert, die Sicherheitseinrichtung also den befugten Benutzer nicht hindert und schön zeigt, dass der befugte auch befugt ist usw. aber nicht umgekehrt, den unbefugten Benutzer auch aussperrt und den Angriff verhindert.

Anders gesagt: Viele machen den Denkfehler, dass sie bei Sicherheitsmechanismen nur darlegen, dass es keine false negatives gibt, dass also ein ehrlicher Benutzer auch zuverlässig nachweisen kann, dass er ehrlich ist, aber nicht, dass es keine false positives gibt, dass also ausgeschlossen ist, dass der Angreifer sich auch als ehrlicher Benutzer ausgeben kann.

Interessieren würde mich das schon.

Ich habe nur gerade keine gesteigerte Lust, mir eine Z6 III zu kaufen. Die ist nämlich noch relativ neu und verkauft sich gut, und ist deshalb teuer. Ich habe schon eine Z6 (die zwar gut ist, bei der ich mich aber höllisch geärgert hatte, weil drei Wochen, nachdem ich sie gekauft hatte, die deutlich verbesserte Z6 II erschien. Die Z6 hatte ich damals erstmals in Neuseeland im Laden gesehen und mich entschieden, sie nicht zu kaufen, weil sie nur einen einzigen Kartenslot hat und den für die damals unbezahlbaren und nicht erhältlichen XQD-Karten hatte, später per Firmware zu CFExpress erweitert wurde. Als ich dann aber in der Corona-Krise zuhause saß und Langeweile hatte, habe ich mir eine Z50 gekauft, und war von der sehr positiv überrascht, endlich wieder eine Nikon, die mir richtig gefallen hat, und hatte mir dann – entgegen meiner ursprünglich festen Entscheidung, weil ich aus Alterssichtigkeit mit meiner D800 nicht mehr so gut klarkomme und die sowieso Ersatz brauchte – doch noch eine Z6 gekauft. Um dann zu toben wie Rumpelstilzchen, als ein paar Tage später die Z6 II mit zwei Kartenslots angekündigt wurde, ich also problemlos noch ein paar Tage hätte warten und für etwas mehr Geld die Z6 II bekommen hätte.

Inzwischen habe ich auch eine Z6 II, weil nämlich deren Preis nach Ankündigung der wiederum drastisch, aber nicht in jeder Hinsicht besseren Z6 III stark abgefallen war und einige Händler die Z6 II billig aus den Lagern warfen. Die Z6 III ist zwar erheblich besser, was Videoaufnahmen und Autofokus angeht – aber die Z6 II hatte einen besseren Kontrastumfang, ist also für normale Fotos tatsächlich etwas besser. Deshalb habe ich mir das dann alte Modell Z6 II gekauft, als die gerade kurzzeitig um Rausschmeißerpreis verscherbelt wurde. Seit her hat mein inneres Rumpelstilzchen seine Ruhe, weil ich auf diese Weise nämlich das eigentlich bessere Schnäppchen gemacht habe, nämlich eine Z6 und eine Z6 II für zusammen nicht viel mehr Geld, als die Z6 II alleine nach deren Erscheinen gekostet hätte. Und weil die viel kleiner und leichter als die alten DSLR sind, kann man auf diese Weise die Kamera einfach am Objektiv dran lassen und hat weniger Probleme mit Staub auf dem Sensor (der bei meisten Spiegellosen frei offen liegt, wenn man das Objektiv abnimmt).

Die Z6 III ist zwar deutlich besser, was Video, Autofokus und Zusatzfunktionen wie die Imaging Cloud angeht, aber manches davon (Fokus-Verfolgung von Vögeln im Flug) brauche ich schlicht nicht, und weil die Z6 III sehr beliebt ist, ist mir deren Preis derzeit noch zu hoch. Zumal man für vergleichsweise kleines Geld die Z50 II bekommt, die ihrerseits gegenüber der Z50 deutlich verbessert wurde und eine richtig gute Kamera ist – bis auf den fehlenden IBIS, gilt dafür aber als die beste Kamera unter 1000 Euro. Hat zwar nur das kleine APS-C-Format, aber in Japan hatte ich dann nur die Z50 und Z50II dabei, um keine schwere Ausrüstung rumschleppen zu müssen, und habe viel Lob für die Fotos bekommen, ich war sehr zufrieden, vor allem mit der Z50II, und die hat die Cloud-Imaging-Funktionen auch. Die macht mir viel Spaß.

Zwar muss man Nikon vorwerfen, dass deren Angebot an kleinen, leichten Z-Objektiven für das kleine Format ungenügend und viel zu schwach ist – aber es gibt reichlich Alternativen. Die Chinesen fluten den Markt mit billigen, teils lächerlich billigen, oft nur mechanischen, aber oft eben auch sehr guten oder zumindest sehr, sehr preisgünstigen Festbrennweiten-Objektiven, und viele davon nur für das kleine Format. Mit der Kombination aus einer hochmodernen spiegellosen Kamera mit elektronischem Sucher (und digitaler Sucherlupe) und einem neuen, aber rein mechanischen Objektiv auf Stand von 50er-Jahre Objektiven kann man für verhältnismäßig kleines Geld sehr, sehr viel Spaß haben, und richtige Brüllerfotos machen.

Richtig verliebt habe ich mich in das Tamron 17-70/2.8, für das ich brutto nur ca. 600 Euro bezahlt habe, das geradezu frappierend gut und scharf ist (was auch einige Leser zu meinen Japan-Fotos kommentiert hatten), allerdings nicht für Nikon Z, sondern für Sony E zu haben ist, weshalb ich einen Adapter verwendet habe, der nur wenige Einschränkungen hat und deshalb weitgehend gut bis sehr gut funktioniert hat (Problem eigentlich nur, dass die Kamera nicht erkennt, wenn man manuell in den Fokus eingreift, aber vielleicht gibt es dazu noch einen Firmware-Update für den Adapter).

Nachteilig am Tamron ist

  • Das Gehäuse ist aus weichem Plastik und bekommt schon Kratzer, wenn man eine dumme Bemerkung fallen lässt. Dafür ist es auch relativ leicht.
  • Das Objektiv ist eine „Luftpumpe“: Beim Zoomen fährt es auseinander und wieder zusammen, saugt deshalb jedesmal Luft und damit Staub rein und wieder raus, verdreckt also unweigerlich mit dem Gebrauch. Dafür ist es in der Tasche recht kurz.

Das ist deshalb ein sehr gutes Reiseobjektiv, aber von vornherein klar, dass es auch nicht lange hält. Erstaunlicherweise bietet Tamron dieses außergewöhnliche und sehr gute Objektiv nicht für Nikon Z an. Was bei mir die Vermutung wachsen lässt, dass Nikon wieder (haben sie schon einmal) aus dieser Kooperaton mit Tamron Objektive von Tamron fertigen lässt und dann als Nikon-Objektive verkauft. Und dass Tamron dieses Objektiv, das traumhaft an die Z50II passt, nicht für das Z Bajonett anbietet, obwohl sie Z-Objektive fertigen und wissen, wie das geht, spricht deutlich dafür, dass Nikon dieses bald unter eigenem Namen durchverkaufen wird.

Es fällt nämlich allgemein auf, dass es zumindest bei Nikon einen deutlichen Paradigmenwechsel gegeben hat: Früher war das bei Kameramarken zwingend, dass sämtliche Zubehörteile immer von der Marke selbst angeboten werden (auch wenn sie zugekauft waren, musste da unbedingt Nikon, Minolta oder so etwas draufstehen), und es deshalb Stative, Mikrofone usw. immer von Nikon, Canon, Minolta usw. gab, auch wenn sie mitunter schlecht waren und die die natürlich nicht selbst gemacht haben, sondern sie von Zulieferern bestellt und im Design angepasst hatten und ihren Namen draufdruckten. Das ist zumindest bei Nikon seit Jahren anders. Die zeigen ihre Kameras auf einmal mit Fremdgeräten, wie Mikrofone von RØDE, Stativadapter von Smallrig, Recorder von Atomos, Blitzgeräte von Profoto, mit denen sie anscheinend Verträge haben.

Der Spaß und die Einsatzfähigkeit sind also gerade da, ich hatte jetzt eigentlich nicht vor, in nächster Zeit noch viel Kram zu kaufen. Höchstens das 17-70/2.8, falls das von Tamron für Nikon oder von Nikon selbst herauskommt, und für ein 200/2.0 hätte ich noch Verwendung.

Deshalb hatte ich jetzt eigentlich nicht vor, eine Z6III zu kaufen, bevor auch die einen Preisrutsch erleidet. Und kann das auch vorerst nicht ausprobieren, zumal ich auch gar keine solche Software habe.

Ich würde aber stark vermuten, dass sich da Leute sehr schnell mit dem Hacken beschäftigen werden. Auf mich wirkt das nach der Beschreibung nicht sicher.

Man merkt aber sehr deutlich, dass die Hersteller unter hohem Druck stehen, etwas gegen Manipulationen und KI-erzeugte Bilder zu machen.

Und manche Leute sagten ja schon, die Fotografie sei tot, wenn die KI richtig in Gang kommt. Mir sagten vor Jahren schon Leute, dass sie gar keine Kamera mehr auf Reisen mitnehmen, weil sie von jedem Ort, den sie besuchen könnten, weit bessere Fotos im Netz finden, als sie sie selbst machen könnten. Und mit KI geht das dann noch viel besser.

He, KI, mach mir ein Bild, wie ich im März gegen 16:00 Uhr vor dem Taj Mahal stehe und im Hintergrund ein Elefant und ein Tiger vorbeilaufen.