Was ist C2PA (Content Credentials)? Ein verständlicher Leitfaden für 2026
Content Credentials sind der verbraucherfreundliche Name von C2PA für ein signiertes „Nährwertetikett“, das in eine Datei eingebacken ist — wer sie erstellt hat, mit welchem Tool und wie sie bearbeitet wurde. Hier steht, was der Standard wirklich beweist, was ihn entfernt und warum ihn die KI-Verordnung der EU 2026 wichtig macht.
Von Das Aipurity-Team · 15. Juli 2026
Das Wichtigste
- C2PA ist der offene Standard; „Content Credentials“ ist der Verbrauchername für das signierte Herkunftsmanifest, das in eine Datei eingebettet ist.
- Es hält fest, wer eine Datei erstellt hat, mit welchem Tool und wie sie bearbeitet wurde — kryptografisch signiert, sodass Manipulation die Validierung zerstört.
- Es ist schon jetzt in DALL·E, Firefly, Sora und Leica-/Sony-Kameras enthalten, und die KI-Verordnung der EU (Aug. 2026) drängt die Kennzeichnung Richtung Pflicht.
- Ehrliche Grenze: Ein Screenshot oder eine Neukodierung entfernt es, und ein fehlendes Credential beweist nichts — vorhanden-und-gültig ist ein Beleg, fehlend ist unbekannt.
Wenn du ein kleines „Cr“-Symbol auf einem Bild gesehen oder gelesen hast, dass ein Foto „Content Credentials“ hat, bist du C2PA bereits begegnet — meist, ohne dass es dir jemand erklärt hätte. Einfach gesagt: C2PA ist ein offener technischer Standard, um festzuhalten, woher ein Medienstück stammt, und Content Credentials ist der verbraucherorientierte Name für das, was dieser Standard erzeugt — eine manipulationssichere Aufzeichnung, kryptografisch signiert und in die Datei selbst eingebettet, die festhält, wer sie erstellt hat, mit welchem Tool und wie sie unterwegs bearbeitet wurde.
Stell es dir wie ein Nährwertetikett für digitale Inhalte vor. Es urteilt nicht, ob ein Bild „echt“ oder „fake“ ist — es trägt eine signierte Historie, die du prüfen kannst. Dieser Leitfaden behandelt, was C2PA wirklich ist, wer dahintersteht, wie das Signieren funktioniert, wie es heute in Dateien aussieht und — genauso wichtig — was es nicht beweisen kann.
C2PA vs. Content Credentials: zwei Namen, eine Sache
Die beiden Begriffe werden austauschbar verwendet, aber sie sind nicht ganz dieselbe Ebene. C2PA — kurz für die Coalition for Content Provenance and Authenticity — ist die Spezifikation: der offene, veröffentlichte Standard, der das Dateiformat, die Kryptografie und das Datenmodell definiert. Content Credentials ist die Marke und die Nutzererfahrung, die darauf aufbaut, so wie „Bluetooth“ der freundliche Name für einen Funkstandard ist, den die meisten Leute nie lesen. Wenn ein Tool sagt, es fügt Content Credentials hinzu, heißt das, es bettet ein C2PA-Manifest ein.
Wer steht hinter C2PA?
C2PA ist nicht das Lieblingsprojekt eines einzelnen Unternehmens. Es wurde 2021 als Projekt der Joint Development Foundation unter der Linux Foundation gegründet und führte Adobes Content Authenticity Initiative (CAI) mit Project Origin zusammen, einer Initiative unter Leitung von BBC und Microsoft. Die Mitgliedschaft umfasst inzwischen die Unternehmen, die die Tools zum Erzeugen und Aufnehmen von Medien bauen:
- Software & KI — Adobe (Photoshop, Firefly), OpenAI (DALL·E, Sora), Google, Microsoft und Meta.
- Kamerahersteller — Leica, Sony, Nikon und Canon, die Unternehmen, die Fotos im Moment der Aufnahme signieren.
- Chips, Medien & Verifizierung — Intel, Arm, die BBC, Truepic und andere entlang der Pipeline.
- Die Content Authenticity Initiative (CAI), Adobes Schwester-Community, zählt inzwischen Tausende Mitgliedsorganisationen, die die Verbreitung fördern.
Wie Content Credentials tatsächlich funktionieren
Eine C2PA-Datei trägt einen zusätzlichen Datenblock — das Manifest — der neben den Pixeln oder dem Audio mitreist. Du siehst es nie, außer du schaust hin, aber es hat vier bewegliche Teile, die es zu verstehen lohnt.
1. Das Manifest
Das Manifest ist der Container für alles, was mit Herkunft zu tun hat. Eine einzelne Datei kann einen ganzen Vorrat an Manifesten enthalten — das neueste beschreibt die letzte Bearbeitung, ältere bewahren jeden früheren Zustand. Es reist innerhalb der Bild-, Video- oder Audiodatei mit, nicht in irgendeiner separaten Datenbank, der du vertrauen musst.
2. Assertions
Assertions sind die einzelnen Aussagen, die ein Manifest trifft: „erstellt mit Adobe Firefly“, „dies ist ein Thumbnail“, „diese Aktionen wurden ausgeführt“. Eine Assertion zählt für die KI-Erkennung mehr als die übrigen — der IPTC-digitalSourceType. Wenn sein Wert trainedAlgorithmicMedia lautet, ist das die offizielle, maschinenlesbare Art der Branche zu sagen „dies wurde von einem KI-Modell erzeugt“. Es ist das Label, nach dem ein Detektor zuerst sucht.
3. Signatur und Zertifikat
Das macht C2PA zu mehr als bearbeitbaren Metadaten. Die Assertions werden gehasht und in einen Claim gebunden, und dieser Claim wird mit einem Zertifikat signiert, das dem Unterzeichner ausgestellt wurde — Adobe, OpenAI, einem Kamerahersteller oder jedem, der ein gültiges Zertifikat besitzt. Ändere ein einziges Pixel oder bearbeite ein Feld nach dem Signieren, und die Hashes passen nicht mehr: Das Manifest scheitert bei der Validierung, statt zu lügen. Signiert heißt überprüfbar, nicht unzerbrechlich.
4. Die Zutatenkette (Bearbeitungsverlauf)
Wenn du ein signiertes Bild öffnest, bearbeitest und exportierst, wird das Original zu einer Zutat des neuen Manifests. Tu das wiederholt, und du baust eine Kette — Aufnahme, Zuschnitt, Farbkorrektur, Export — jeder Schritt signiert, jeder verweist zurück auf den vorigen. So können Content Credentials nicht nur zeigen, wer eine Datei erstellt hat, sondern wie sie von Kamera oder Modell zu der Version vor dir gereist ist.
Die Ein-Satz-Version
C2PA sagt dir nicht, dass ein Bild wahr ist. Es gibt dir eine signierte, prüfbare Aufzeichnung darüber, woher es kam und was mit ihm geschah — und diese Aufzeichnung zerbricht sichtbar, wenn jemand daran manipuliert.

Wie Content Credentials heute in echten Dateien aussehen
Das ist keine Zukunftsspezifikation — signierte Herkunft ist gerade jetzt in gängigen Tools enthalten, und du hast wahrscheinlich schon Dateien in der Hand gehabt, die sie tragen:
- Bilder von OpenAI DALL·E & ChatGPT — Downloads tragen ein C2PA-Manifest, das sie als KI-generiert kennzeichnet.
- Adobe Firefly & Photoshop — Firefly-Generierungen und viele Photoshop-Exporte fügen Content Credentials an, einschließlich des Bearbeitungsverlaufs der generativen Füllung.
- OpenAI-Sora-Video — Sora-Clips kommen mit einem C2PA-Manifest, neben einem sichtbaren Wasserzeichen bei App-Downloads.
- Leica-, Sony- & Nikon-Kameras — die Leica M11-P war die erste Kamera, die Fotos bei der Aufnahme signiert; Sony und Nikon haben Content Credentials per Firmware zu Profi-Gehäusen hinzugefügt. Diese signieren echte Fotografien, keine KI-Ausgabe.
Was C2PA trägt — und was es klammheimlich entfernt
Hier ist der ehrliche Haken: Ein Manifest hilft nur, solange es überlebt. So sieht die Lage bei den Dateien aus, denen die meisten Leute tatsächlich begegnen.
| Quelle | Content Credentials? | Was du findest |
|---|---|---|
| Adobe Firefly / Photoshop | Ja | Signiertes Manifest mit Generator und Bearbeitungsverlauf |
| OpenAI DALL·E / ChatGPT | Ja | Signiertes Manifest, das KI-Erzeugung kennzeichnet |
| OpenAI-Sora-Video | Ja | C2PA-Manifest plus sichtbares Wasserzeichen |
| Leica / Sony / Nikon (unterstützte Gehäuse) | Ja | Kamerasignierte Aufnahmeherkunft |
| Midjourney Web / Discord-Download | Nein | Kein verlässlicher maschinenlesbarer Marker |
| Ein Screenshot von allem oben | Nein | Manifest weg — ein Screenshot kopiert nur Pixel |
| Die meisten Re-Uploads in sozialen Netzen (Instagram, X, WhatsApp) | Meist entfernt | Die Neukodierung wirft das Manifest auf den meisten Wegen ab |
Warum C2PA jetzt zählt: die KI-Verordnung der EU
Herkunft war früher ein Nice-to-have. Ein Gesetz macht sie gleich zur Pflicht. Artikel 50 der KI-Verordnung der EU — die Transparenzregeln, anwendbar ab dem 2. August 2026 — verlangt von Anbietern generativer KI, ihre synthetische Ausgabe maschinenlesbar zu kennzeichnen, und verlangt von Betreibern, Deepfakes offenzulegen. Die Verordnung nennt keine einzelne Technologie, aber C2PA ist die führende Umsetzung, auf die die Branche zusteuert, und genau deshalb liefern OpenAI, Adobe, Google und Microsoft es bereits aus. Erwarte, dass der Anteil der KI-Medien mit überprüfbaren Content Credentials steil ansteigt, sobald die Frist eintritt.
Die ehrlichen Grenzen — was C2PA nicht beweist
Wer C2PA als Fälschungsdetektor verkauft, übertreibt. Der Standard ist wirklich nützlich, aber seine Grenzen zählen mehr als seine Versprechen:
- Es kann entfernt werden. Ein Screenshot, eine Neukodierung, ein Export durch ein Tool, das es nicht bewahrt, oder eine Plattform, die Uploads neu komprimiert, entfernt das Manifest. Die Pixel überleben; die Herkunft nicht.
- Abwesenheit beweist nichts. Eine Datei ohne Content Credentials ist nicht „als menschlich verifiziert“. Sie könnte ein Kamerafoto, ein gescreenshottetes KI-Bild oder alles dazwischen sein. Kein Credential heißt keine Information — nicht Unschuld.
- Es beweist Herkunft, nicht Wahrheit. Ein völlig gültiges Manifest kann ein gestelltes oder irreführendes Foto signieren. C2PA sagt dir, woher eine Datei kam und ob sie nach dem Signieren verändert wurde — nicht, ob die Szene, die sie zeigt, ehrlich ist.
- Es ist nur so vertrauenswürdig wie der Unterzeichner. Die Verifizierung bestätigt, dass ein Zertifikat gültig und der Inhalt unverändert ist; es bleibt an dir zu entscheiden, ob du dem vertraust, der es signiert hat.
Die Regel zum Merken
Content Credentials beweisen Herkunft, wenn sie vorhanden sind, und gar nichts, wenn sie fehlen. Vorhanden-und-gültig ist ein starker Beleg; fehlend ist schlicht unbekannt — lies eine bereinigte Datei nie als Beweis für menschlichen Ursprung.
Wie du Content Credentials selbst überprüfst
Du musst das Abzeichen einer Plattform nicht auf Treu und Glauben hinnehmen — das Manifest ist prüfbar, und das Prüfen ist kostenlos.
- Content Credentials Verify (contentcredentials.org/verify) — das offizielle Web-Tool der CAI. Wirf ein Bild hinein, und es liest das Manifest, zeigt den Unterzeichner, die KI- und Bearbeitungs-Assertions und die Zutatenhistorie.
- Aipuritys Browser-Prüfungen — unsere Bild- und Video-Tools parsen das signierte C2PA-Manifest lokal, in deinem Tab, und legen dieselben Belege mit den ehrlichen Vorbehalten dar. Nichts wird hochgeladen; die Datei verlässt nie dein Gerät.
- Achte auf die „Cr“-Markierung — viele Apps zeigen jetzt ein kleines Content-Credentials-Symbol; ein Klick darauf öffnet dieselben zugrunde liegenden Manifestdaten.
C2PA vs. SynthID: Verbündete, keine Rivalen
Du wirst C2PA oft neben Googles SynthID erwähnt sehen, und man nimmt leicht an, sie konkurrierten. Tun sie nicht — sie greifen dasselbe Problem von entgegengesetzten Enden an. C2PA sind signierte Metadaten, die an die Datei angehängt sind: reichhaltig und menschenlesbar, aber durch einen Screenshot entfernbar. SynthID ist ein unsichtbares Wasserzeichen, das in die Pixel, das Audio oder die Text-Tokens selbst gewoben ist: Es trägt weit weniger Information und nur Googles eigener Prüfer kann es lesen, aber es überlebt viele Bearbeitungen, die ein Manifest entfernen würden. Das eine ist ein signiertes Etikett auf der Außenseite der Verpackung; das andere ein Farbstoff, der in den Inhalt gemischt ist. Zusammen genutzt decken sie die Lücken des jeweils anderen ab — deshalb nutzen ernsthafte Herkunfts-Stacks zunehmend beide.
Das Fazit
C2PA und Content Credentials sind die glaubwürdigste Antwort, die die Branche auf „Woher kommt das?“ hat — ein offener Standard, kryptografisch signiert, bereits in Bildern von DALL·E, Firefly und Sora und Fotografien von Leica und Sony, und gleich vom EU-Recht vorangetrieben. Sie sind kein Lügendetektor, und ein fehlendes Credential sagt dir nichts. Aber wenn ein gültiges Manifest vorhanden ist, ist es der stärkste, am besten prüfbare Herkunftsbeleg, den wir haben — und genau deshalb schlägt das Lesen das Raten an Pixeln.
Prüfst du stattdessen ein Video?Die Herkunft eines Videos prüfen →Häufige Fragen
Was ist C2PA einfach erklärt?+
C2PA ist ein offener technischer Standard, um festzuhalten, woher ein Medienstück stammt. „Content Credentials“ ist der freundliche Name für das, was er erzeugt: eine manipulationssichere, kryptografisch signierte Aufzeichnung, eingebettet in die Datei, die festhält, wer sie erstellt hat, mit welchem Tool und wie sie bearbeitet wurde.
Was ist der Unterschied zwischen C2PA und Content Credentials?+
C2PA ist die Spezifikation — das Dateiformat und die Kryptografie, von der Coalition for Content Provenance and Authenticity. Content Credentials ist die Marke und die Nutzererfahrung, die darauf aufbaut. Wenn ein Tool sagt, es fügt Content Credentials hinzu, bettet es ein C2PA-Manifest ein.
Beweist C2PA, dass ein Bild echt ist?+
Nein. Es beweist Herkunft, nicht Wahrheit. Ein gültiges Manifest kann ein gestelltes Foto signieren; es sagt dir, woher eine Datei stammt und ob sie nach dem Signieren verändert wurde, nicht, ob die Szene ehrlich ist. Und ein fehlendes Credential ist kein Beweis für menschlichen Ursprung — es bedeutet schlicht keine Information.
Wie prüfe ich die Content Credentials eines Bildes?+
Nutze das offizielle Tool Content Credentials Verify unter contentcredentials.org/verify oder einen Browser-Checker, der das signierte Manifest lokal liest. Viele Apps zeigen außerdem eine kleine „Cr“-Markierung, die du anklicken kannst, um die zugrunde liegenden Herkunftsdaten zu öffnen.
Quellen
Geschrieben von
Das Aipurity-Team
Das Aipurity-Team baut kostenlose, herkunftsorientierte Tools, um echte von synthetischen Medien zu unterscheiden — indem es die Belege liest, die eine Datei tatsächlich trägt, statt an Pixeln zu raten. Wir schreiben, was wir belegen können, und sagen „kein eindeutiges Ergebnis“, wenn das die ehrliche Antwort ist.


