Ob ein KI-Bild sich zu erkennen gibt, hängt ganz davon ab, welches Werkzeug es erzeugt hat und auf welchem Weg es zu Ihnen kam. Manche Generatoren signieren jede Ausgabe kryptografisch. Manche weben unsichtbare Wasserzeichen in die Pixel. Manche tun beides, manche keines von beidem, und diese Unterschiede entscheiden, was ein Prüfwerkzeug Ihnen sagen kann und was nicht. Hier ist der Stand der Kennzeichnung bei den großen Generatoren Mitte 2026, und die Grenzen, die bestehen bleiben, egal wie sich die Tabelle füllt.
Die zwei Arten von Markierungen
Zwei Mechanismen zählen, und sie versagen unterschiedlich.
C2PA Content Credentials sind signierte Metadaten: ein Manifest an der Datei, das sagt, dieses Bild wurde generiert, von diesem Werkzeug, zu dieser Zeit. Jeder kann es in einem Prüfwerkzeug lesen, etwa unserem Inspector. Die Schwäche ist die Zerbrechlichkeit: Das Manifest wohnt in der Metadatenschicht, also entfernen ein Screenshot, eine Neukodierung oder die meisten Plattform-Uploads es spurlos.
Unsichtbare Wasserzeichen, deren dominierendes Beispiel Googles SynthID ist, stecken in den Pixeln selbst. Sie sind dafür gebaut, Screenshots, Skalierung, Kompression und Beschnitt zu überstehen. Ihre Schwäche ist der Zugang: Ein Wasserzeichen liest nur, wer den Detektor besitzt. Es hilft Plattformen und den Prüfwerkzeugen des Anbieters, statt Ihnen einen offenen, prüfbaren Nachweis zu geben. Wie dieses Ökosystem funktioniert, beschreibt unsere SynthID-Analyse.
Die stärksten aktuellen Umsetzungen nutzen beides: Credentials für offene Prüfbarkeit, ein Pixel-Wasserzeichen fürs Überleben.
Werkzeug für Werkzeug
| Generator | C2PA-Manifest | Unsichtbares Wasserzeichen | Was einen Screenshot überlebt |
|---|---|---|---|
| OpenAI (GPT Image, DALL-E 3) | Ja, seit Februar 2024 | SynthID, seit Mai 2026 | Nur das Wasserzeichen |
| OpenAI Sora (Video) | Angegeben, in Tests unzuverlässig | Sichtbare bewegte Marke in Standardtarifen | Die sichtbare Marke, falls nicht weggeschnitten |
| Adobe Firefly | Ja, jede Erzeugung | Wasserzeichen für „Durable Credentials" | Wiederherstellung übers Wasserzeichen, meist |
| Google Gemini / Imagen | Ja bei den neuesten Modellen, seit Ende 2025 | SynthID, alle Ausgaben | Das Wasserzeichen |
| Midjourney | Nein | Keines bekannt | Nichts |
| Stable Diffusion (selbst gehostet) | Nein | Schwacher Standard, leicht abschaltbar | Meist nichts |
| Stability / Flux (gehostete APIs) | Ja | Unterschiedlich | Wenig |
| Flux (offene Gewichte) | Nein | Entfernbarer Beispielcode | Meist nichts |
| xAI Grok | Nicht bestätigt | Nicht bestätigt | Sichtbares Ecklogo, falls nicht weggeschnitten |
OpenAI, Adobe, Google: die gekennzeichnete Mehrheit
Gemessen am Volumen tragen die meisten Bilder aus den großen gehosteten Generatoren inzwischen Markierungen. OpenAI hängt seit Februar 2024 C2PA-Manifeste an DALL-E-3-Ausgaben und trat im Mai desselben Jahres dem Lenkungsausschuss der C2PA bei. Im Mai 2026 kam eine zweite Schicht dazu: Googles SynthID-Wasserzeichen für Bilder aus ChatGPT, der API und Codex, samt Vorschau auf ein öffentliches Verify-Werkzeug, das beide Markierungen auf OpenAI-Inhalten prüft. Video ist unordentlicher: Sora-Ausgaben tragen in Standardtarifen eine sichtbare bewegte Marke, und obwohl OpenAI C2PA-Manifeste angibt, fanden unabhängige Tests sie auf Standard-Downloads fehlend oder unlesbar. Behandeln Sie Sora-Herkunftsdaten in der Praxis als unzuverlässig.
Adobe Firefly bettet seit dem Start 2023 in jede Erzeugung Content Credentials ein und koppelt das Manifest mit einem unsichtbaren Wasserzeichen, damit sich ein entfernter Nachweis später wieder seinem Datensatz zuordnen lässt. Adobe nennt das Durable Content Credentials.
Google verließ sich jahrelang allein auf SynthID, eingebettet in alle Imagen- und Gemini-Bildausgaben, mit einem öffentlichen Detektor in der Gemini-App seit Ende 2025. C2PA-Manifeste kamen später dazu: Seit den Bildmodellen von Gemini 3 Pro im November 2025 tragen neue Ausgaben beides, und im Mai 2026 kündigte Google an, dass Chrome und die Suche C2PA-Prüfungen anzeigen werden.
Das Muster bei allen dreien: Die Unternehmen mit dem größten Regulierungsdruck, und der Kennzeichnungsfrist des EU AI Act zum 2. August 2026 vor der Tür, haben sich darauf verständigt, alles zu markieren, doppelt, wo es geht.
Midjourney, offene Modelle, Grok: der ungekennzeichnete Rest
Midjourney, nach wie vor einer der meistgenutzten Generatoren, liefert mit Version 8 weder ein C2PA-Manifest noch ein bekanntes unsichtbares Wasserzeichen. Das Unternehmen ist seit 2023 Mitglied der Content Authenticity Initiative, ohne eine Umsetzung auszuliefern, und Behauptungen von Drittseiten, es habe Anfang 2026 C2PA eingeführt, stützt die eigene Dokumentation nicht. Ein Midjourney-Bild trägt schlicht keine maschinenlesbare Spur seiner Herkunft.
Selbst gehostete Modelle mit offenen Gewichten sind strukturell nicht kennzeichenbar. Der Referenzcode von Stable Diffusion enthält eine Wasserzeichen-Bibliothek, die Forks routinemäßig abschalten, und die offenen Flux-Gewichte liefern Beispielcode zum Markieren mit, den ein Selbsthoster entfernen kann. Die gehosteten API-Fassungen beider signieren auf Dienstebene mit C2PA, was genau so lange hilft, bis jemand das Modell selbst betreibt. Diese Lücke ist nicht schließbar: Jede Markierung, die in offenem Inferenzcode wohnt, ist per Definition freiwillig.
Grok erzeugt Bilder mit sichtbarem Ecklogo und ohne bestätigtes C2PA oder unsichtbares Wasserzeichen. Nach der Deepfake-Welle, die xAI im Januar 2026 zu Einschränkungen der Bilderzeugung zwang, bleibt seine Herkunftsgeschichte die dünnste unter den großen Werkzeugen.
Daraus folgt die Asymmetrie, die in der Praxis am schwersten wiegt: Ein markiertes Bild sagt Ihnen etwas, ein unmarkiertes Bild sagt Ihnen nichts. Jeder entschlossene Täuscher erreicht einen unmarkierten Generator, und jeder Screenshot wäscht ein markiertes Bild zu einem unmarkierten.
Warum all das nicht klärt, ob ein Bild echt ist
Kennzeichnung ist ein System zum Beflaggen von KI-Inhalten, die mitspielen. Es hat drei strukturelle Löcher. Markierungen fehlen bei den Werkzeugen oben, die nicht teilnehmen. Markierungen sind entfernbar, bei Metadaten mühelos, bei Pixel-Wasserzeichen mit mehr Aufwand. Und Markierungen wirken nur in eine Richtung: Sie können sagen „das ist KI", aber das Fehlen einer Markierung kann nicht sagen „das ist ein Foto".
Diese letzte Lücke ist die, die Fotografen trifft, denn sie bedeutet: Kein Prüfwerkzeug kann ein echtes Foto freisprechen, indem es nichts findet. Einen Freispruch gibt es nur über positive Belege der Aufnahme, und das ist ein ganz anderer Mechanismus: ein Kameraoriginal, auf das sich das veröffentlichte Bild zurückführen lässt. Genau das stellt die RAW-zu-JPEG-Verifikation fest, und sie funktioniert unabhängig davon, wessen Markierungen die Pipeline irgendeiner Plattform überlebt haben. Die Begründung dieser Arbeitsteilung steht in Herkunftsnachweis oder KI-Erkennung.
Für die Prüfung, die Sie heute selbst machen können: Ziehen Sie jedes verdächtige Bild in unseren AI Photo Checker, der die vorhandenen Markierungen liest, und werten Sie ein leeres Ergebnis als „keine Belege", nicht als „keine KI".
Häufig gestellte Fragen
Bettet Midjourney C2PA oder ein Wasserzeichen ein?
Nein, beides nicht, Stand Version 8 Mitte 2026. Midjourney ist CAI-Mitglied, hat aber keine Kennzeichnung ausgeliefert. Seine Bilder tragen keinen maschinenlesbaren Hinweis auf ihre KI-Herkunft, weshalb Prüfwerkzeuge sie nicht über die Herkunft erkennen können, sondern aus den Pixeln raten müssen.
Tragen DALL-E-Bilder Content Credentials?
Ja. OpenAI bettet seit Februar 2024 C2PA-Manifeste in DALL-E-3- und GPT-Bildausgaben ein, und seit Mai 2026 tragen die Bilder zusätzlich Googles unsichtbares SynthID-Wasserzeichen. Das Manifest verschwindet bei Screenshots und den meisten Plattform-Uploads, das Wasserzeichen ist dafür gebaut, sie zu überstehen.
Was ist der Unterschied zwischen C2PA und SynthID?
C2PA sind signierte Metadaten an der Datei: offen lesbar, detailreich, zerbrechlich. SynthID ist ein Muster in den Pixeln: robust gegen Screenshots und Neukodierung, aber nur über Googles Detektor lesbar. Das eine ist ein offener Nachweis, das andere ein widerstandsfähiges Signal. Die großen Anbieter setzen inzwischen auf beides zugleich.
Wenn ein Bild keine KI-Markierung hat, ist es dann ein echtes Foto?
Nein. Unmarkiert kann heißen: von einem Werkzeug erzeugt, das nicht markiert, oder markiert und dann per Screenshot gewaschen. Fehlende Markierungen sind der Normalzustand der meisten echten Fotos wie der meisten KI-Bilder im Umlauf. Ein positiver Echtheitsbeleg muss von der Aufnahmeseite kommen: eine Originaldatei, auf die sich das Bild zurückführen lässt, und genau das prüft die Verifikation.
Kann ich ein Bild selbst auf diese Markierungen prüfen?
Die C2PA-Schicht ja: Unser AI Photo Checker und der Content Credentials Inspector lesen Manifeste im Browser. SynthID braucht Googles Detektor, verfügbar in der Gemini-App für Bilder, die Sie dort hochladen können. Kein öffentliches Werkzeug liest die Wasserzeichen aller Anbieter an einer Stelle.
Die Kennzeichnungstabelle wird sich weiter verschieben, und wir aktualisieren diese Seite mit ihr. Die Struktur darunter verschiebt sich nicht: Markierungen erkennen kooperative KI, Screenshots waschen alles, und die einzige Markierung, die sich einem echten Foto nicht nehmen lässt, ist das Kameraoriginal, das Sie behalten haben. Wenn Ihre Arbeit die Frage „ist das KI" überstehen muss, prüfen Sie sie gegen Ihr RAW, dann hängt die Antwort an niemandes Wasserzeichen mehr.