Was ist C2PA? Leitfaden zu Content Credentials und Content Provenance
C2PA (Coalition for Content Provenance and Authenticity) ist ein offener technischer Standard, mit dem sich Herkunft und Bearbeitungsverlauf digitaler Inhalte überprüfen lassen. Der 2021 gegründete Standard ermöglicht es Kameras, Software und KI-Tools, manipulationssichere Metadaten – die sogenannten Content Credentials – an Bilder, Videos, Audiodateien und Dokumente anzuhängen. So lässt sich nachvollziehen, woher ein Medieninhalt stammt und wie er verändert wurde.
Was ist C2PA?
C2PA steht für Coalition for Content Provenance and Authenticity. Der Begriff bezeichnet zugleich den offenen technischen Standard und das Industriegremium, das ihn pflegt. Der Standard legt fest, wie digitale Inhalte einen überprüfbaren Nachweis mitführen können: woher sie stammen, wer sie erstellt hat, welche Werkzeuge zum Einsatz kamen und wie sie auf ihrem Weg verändert wurden.
Das Problem, das C2PA löst, ist klar umrissen. Im Zeitalter generativer KI und einfacher Bildmanipulation können wir nicht mehr davon ausgehen, dass ein Foto, ein Video oder ein Dokument tatsächlich das ist, was es zu sein scheint. Herkömmliche Metadaten sind unzuverlässig. Sie lassen sich bearbeiten, entfernen oder fälschen, und die meisten sozialen Plattformen löschen sie beim Hochladen. C2PA begegnet dem, indem es Metadaten mit kryptografischen Signaturen fest an den Inhalt bindet, sodass jede Manipulation erkennbar wird.
Die vollständige technische Spezifikation ist offen unter c2pa.org veröffentlicht und für jede Organisation frei umsetzbar. Sie deckt Bilder, Videos, Audio, PDFs und weitere Dateitypen ab und ist darauf ausgelegt, den gesamten Lebenszyklus eines Inhalts zu begleiten – von der Kamera, die ein Bild aufnimmt, bis zur Plattform, die es veröffentlicht.
Wer hat C2PA entwickelt?
C2PA wurde 2021 von Adobe, Microsoft, BBC, Intel, Truepic und Arm gegründet. Heute zählen große Kamerahersteller, KI-Unternehmen, Nachrichtenorganisationen und Plattformbetreiber zu den Mitgliedern. Die eng verbundene Content Authenticity Initiative (CAI) unter Federführung von Adobe, der Fotoware seit 2023 angehört, wirbt für die Verbreitung von C2PA, während das International Press Telecommunications Council (IPTC) die Umsetzung in der Nachrichtenbranche koordiniert.
Wie funktioniert C2PA?
Im Kern hängt C2PA einen manipulationssicheren Nachweis, das sogenannte Manifest, an einen digitalen Inhalt an. Das Manifest wandert mit der Datei und enthält eine kryptografisch signierte Historie darüber, wie der Inhalt entstanden ist. Jedes Werkzeug, das C2PA unterstützt, kann dieses Manifest lesen, seine Signaturen prüfen und das Ergebnis anzeigen.
Der Prozess beginnt bei der Erstellung. Nimmt eine C2PA-fähige Kamera ein Bild auf oder erzeugt ein C2PA-fähiges KI-Tool eines, schreibt das Gerät oder die Software ein Manifest in die Datei. Das Manifest hält fest, wer oder was den Inhalt erstellt hat, wann und mit welchem Werkzeug. Signiert wird es mit einem digitalen Zertifikat einer vertrauenswürdigen Stelle, von der Idee her ähnlich wie eine HTTPS-Website signiert ist.
Während ein Bild Bearbeitung und Verbreitung durchläuft, kann jeder Schritt sein eigenes signiertes Manifest ergänzen. Wird ein Bild in Photoshop beschnitten, fügt Photoshop eine neue Assertion hinzu, die den Zuschnitt beschreibt, und signiert sie. Wird in einem DAM-System eine Bildunterschrift ergänzt, lässt sich auch das erfassen. Das Ergebnis ist eine überprüfbare Nachweiskette von der Aufnahme bis zur Veröffentlichung.
Damit der Nachweis auch den Verlust von Metadaten übersteht – etwa wenn Dateien per Screenshot erfasst, neu kodiert oder auf Plattformen hochgeladen werden, die Metadaten entfernen – unterstützt C2PA zusätzlich sogenannte Soft Bindings. Sie nutzen Wasserzeichen oder Perceptual Fingerprints, um eine Datei auch dann mit ihrem Manifest zu verknüpfen, wenn die eingebetteten Daten verloren gegangen sind.
Was zeigen Content Credentials?
Trifft ein Betrachter auf einen Inhalt mit gültigen Content Credentials, kann er ihn prüfen und einsehen:
-
Wer ihn erstellt hat: die genannte Urheberperson oder die veröffentlichende Organisation
-
Womit er aufgenommen oder erzeugt wurde: Kameramodell, Software oder KI-Tool
-
Wann und wo er entstanden ist, sofern das Aufnahmegerät dies erfasst hat
-
Welche Bearbeitungen vorgenommen wurden: Zuschnitte, Farbanpassungen, Retusche, KI-gestützte Änderungen
-
Ob KI im Spiel war: deutlich gekennzeichnet, sobald generative KI zum Einsatz kam
-
Wer jeden Schritt signiert hat: die Zertifizierungsstelle hinter jeder Aussage
Wurde ein Teil der Datei nach dem Signieren verändert, schlägt die Überprüfung fehl und der Betrachter wird gewarnt. Credentials lassen sich nicht unbemerkt ändern.
Read more: Content Authenticity: How to protect trust in the digital age

C2PA vs. Content Credentials vs. Content Authenticity Initiative
Häufig werden C2PA, Content Credentials und Content Authenticity Initiative synonym verwendet, tatsächlich bezeichnen sie jedoch drei verschiedene Dinge. Wer den Unterschied kennt, kann Tools, Partner und Aussagen zur Verbreitung leichter einordnen.
C2PA ist der offene technische Standard. Er definiert das Dateiformat, die kryptografischen Verfahren und die Regeln dafür, wie ein Manifest erstellt, signiert und überprüft wird. Sagt ein Anbieter, sein Produkt sei C2PA-konform, bedeutet das: Es folgt dieser Spezifikation.
Content Credentials ist die nutzerseitige Umsetzung des C2PA-Standards. Es ist das „CR"-Symbol, das auf Bildern in Adobe Photoshop, auf LinkedIn oder bei Nachrichtenanbietern erscheint, die die Technologie eingeführt haben. Wenn Urheber oder Betrachter C2PA in der Praxis begegnen, dann fast immer in Form von Content Credentials.
Die Content Authenticity Initiative (CAI) ist das 2019 von Adobe gegründete Bündnis für Aufklärung und Verbreitung. Sie fördert Content Provenance branchenweit, entwickelt Open-Source-Tools und unterstützt die breitere Einführung von C2PA. Die CAI ist nicht der Standard selbst, sondern die Gemeinschaft der Organisationen, die sich für seinen Einsatz starkmachen.
Worin unterscheiden sich C2PA, Content Credentials und Content Authenticity Initiative?
Eine einfache Merkhilfe: C2PA ist der Name des Standards, Content Credentials ist das, was Nutzer sehen, und die CAI ist, wer für die Einführung plädiert.
Warum C2PA wichtig ist: KI, Regulierung und die Vertrauenskrise
Das Argument für C2PA gründet in einem messbaren Vertrauensverlust. Laut dem Edelman Trust Barometer 2025 befürchten 70 % der Befragten, dass Journalistinnen und Journalisten die Öffentlichkeit bewusst in die Irre führen. Der Reuters Institute Digital News Report 2025 stellte fest, dass sich 58 % des Publikums um die Authentizität der konsumierten Nachrichten sorgen. Der Global Risks Report 2025 des Weltwirtschaftsforums zählt Fehl- und Desinformation, befeuert durch KI-generierte Inhalte, zu den größten globalen Risiken der kommenden zwei Jahre.
Generative KI wirkt dabei als Brandbeschleuniger. Werkzeuge, die fotorealistische Bilder, Videos und Audiodateien in großem Maßstab erzeugen, machen gefälschte Medien einfach herzustellen und schwer zu erkennen. Aktuelle Studien zeigen, wie begrenzt die menschliche Erkennung tatsächlich ist: In einem groß angelegten Test identifizierten nur 0,1 % der Teilnehmenden alle echten und manipulierten Inhalte korrekt, und gefälschte Videos wurden rund 36 % seltener erkannt als gefälschte Bilder (iProov, 2025). Weitere Forschung bestätigt, dass die Trefferquote oft kaum über dem Zufall liegt (Somoray, Miller & Holmes, 2025).
Ohne einen überprüfbaren Nachweis darüber, wie ein Inhalt entstanden ist, bleibt dem Publikum nur das Raten. C2PA gibt ihm etwas an die Hand, das sich prüfen lässt. Indem der Standard die Herkunft im Moment der Betrachtung überprüfbar macht, können Redaktionen, Marken und Plattformen authentische von synthetischen oder manipulierten Inhalten unterscheiden. C2PA beweist nicht, dass ein Bild wahr ist, wohl aber, wer es erstellt hat, was damit geschehen ist und ob sich seither etwas verändert hat.
Mehr zum Thema: Die Vertrauenskrise bei digitalen Inhalten: GenAI und Content Authenticity
C2PA und der EU AI Act
Regulierungsbehörden beginnen, genau diese Transparenz einzufordern. Der 2024 in Kraft getretene EU AI Act (KI-Verordnung) schreibt vor, dass KI-generierte und KI-bearbeitete Inhalte klar gekennzeichnet werden. Artikel 50 des EU AI Act verpflichtet Anbieter und Betreiber generativer KI, ihre Ausgaben maschinenlesbar zu kennzeichnen, und C2PA gilt weithin als der praktikabelste offene Standard, um diese Anforderung zu erfüllen. Ähnliche Kennzeichnungspflichten zeichnen sich in den USA, im Vereinigten Königreich und in weiteren Märkten ab.
Mehr zum Thema: Der EU AI Act und DAM: KI kennzeichnen, Echtheit beweisen - von Alexander Karst
Wo C2PA heute steht
C2PA hat sich schnell vom Konzept zur Praxis entwickelt. Die Verbreitung nimmt bei Kameras, KI-Tools, Bearbeitungssoftware und Publishing-Plattformen zu, und eine wachsende Zahl an Pilotprojekten zeigt, wie sich der Standard in realen Publishing-Workflows bewährt. Die nächste Phase der Einführung dreht sich darum, die Herkunftssicherung über den gesamten Lebenszyklus eines Inhalts auszudehnen.
Noch bewahren manche sozialen Netzwerke und Content Management Systeme C2PA-Manifeste nicht, wenn Dateien hochgeladen oder neu kodiert werden. Die besten Ergebnisse erzielt daher, wer möglichst große Teile der Verarbeitungskette selbst kontrolliert. Soft Bindings wie Wasserzeichen und Fingerabdrücke schließen diese Lücke gemeinsam mit der rasch wachsenden Plattformunterstützung Schritt für Schritt.
Für den Moment gilt: Organisationen, die eine durchgängige Herkunftssicherung wollen, sollten ihre Verarbeitungskette so weit wie möglich kontrollieren und Werkzeuge wählen, die den C2PA-Standard unterstützen.

C2PA in der Praxis: das Projekt von Reuters, Canon und Starling Lab
Was heute produktiv im Einsatz ist, ist eine kleine, aber wachsende Zahl von Pilotprojekten, die zeigen, wie sich C2PA in einem realen Publishing-Workflow bewährt. Eines der prominentesten Beispiele für einen durchgängigen Workflow stammt von Reuters, Canon und Starling Lab, mit Fotoware DAM als System zwischen Aufnahme und Verbreitung.
In diesem Workflow nimmt ein Fotojournalist ein Bild mit einer Canon Kamera auf, die mit einem kryptografischen Schlüssel ausgestattet ist. Im Moment der Aufnahme signiert die Kamera das Bild mit überprüfbaren Metadaten, darunter Zeitstempel, Standort und Gerätekennung. Das authentifizierte Bild wird anschließend direkt in das Fotoware Digital Asset Management System von Reuters übernommen, wo es geprüft, mit Bildunterschriften versehen und zur Verbreitung weitergeleitet werden kann, ohne die Signaturkette zu unterbrechen. Die Signatur wird zusätzlich in einer öffentlichen Blockchain registriert, sodass Konsumenten und Prüfer nachgelagert bestätigen können, dass es sich um genau jenes Bild handelt, das der Fotograf aufgenommen hat.
Read more about the Reuters, Canon, and Starling Lab project here. >
Wie ein DAM in den C2PA-Workflow passt
Ein solcher Workflow verweist auf eine grundlegendere Wahrheit: C2PA funktioniert nur, wenn jede Stufe des Content-Lebenszyklus das Manifest bewahrt. Ein signiertes Bild, das seine Herkunftsdaten in dem Moment verliert, in dem es in ein CMS oder DAM gelangt, bietet nicht mehr Vertrauen als ein unsigniertes. Für Organisationen, die Medien in großem Maßstab erstellen, bearbeiten und verbreiten, wird das Digital Asset Management System zum entscheidenden Glied in der Kette.
— "Das DAM ist dafür verantwortlich, Konformität, Compliance, Rechte, Berechtigungen und all die Dinge zu erfassen und zu erhalten, die über den Lebenszyklus eines Assets hinweg anfallen. Aber mehr noch: das Ganze für Endnutzer, Kunden und Partner zu vereinfachen."
In der Praxis erfüllt ein DAM mit Unterstützung für Content Provenance drei Aufgaben. Es bewahrt das C2PA-Manifest beim Import, sodass die signierte Historie unversehrt bleibt. Es erfasst zusätzliche Assertions, wenn autorisierte Nutzer Assets bearbeiten, betiteln oder freigeben, sodass interne Vorgänge Teil des überprüfbaren Nachweises werden. Und es führt das Manifest bis zur Verbreitung weiter, sodass veröffentlichte Inhalte ihr Publikum mit weiterhin angehängten Credentials erreichen.
Fotoware ist seit den frühen Tagen der Content Authenticity Initiative Teil dieser Arbeit und baut die native Unterstützung für Content Credentials plattformweit aus, während das C2PA-Ökosystem reift. Das Ziel: Herkunftssicherung soll zum Normalzustand jedes Assets werden, das durch ein Fotoware DAM fließt, von der Aufnahme bis zur Veröffentlichung.
Die Zukunft von C2PA und Content Provenance
Die Entwicklung von C2PA ähnelt den frühen Tagen von HTTPS, ein Vergleich, den Brendan Quinn, Managing Director des International Press Telecommunications Council (IPTC), auf einem Panel der Konferenz Reimagining DAM 2026 zog:
„Die SSL-Spezifikation wurde erstmals 1994 veröffentlicht. 2010 war Gmail die erste Website, die HTTPS standardmäßig nutzte. Und heute ist es so weit, dass die Browser schlicht erwarten, dass alles über HTTPS läuft.“
Das Schloss-Symbol, einst Zeichen besonderer Sorgfalt, ist heute die selbstverständliche Grundausstattung, und ungesicherte Seiten werden als nicht vertrauenswürdig markiert. Content Provenance ist auf demselben Weg. Je mehr Kameras, KI-Tools, Bearbeitungssoftware und Publishing-Plattformen C2PA unterstützen, desto eher wird das Fehlen von Credentials verdächtig wirken statt normal.
Organisationen, die früh auf Herkunftssicherung setzen, werden jene sein, denen das Publikum standardmäßig vertraut, sobald der Standard diesen Kipppunkt erreicht. Für die meisten Medien- und Markenteams lautet die Frage nicht, ob sie sich mit C2PA befassen, sondern wie bald sie damit beginnen.
Webinar: Ensuring trust in the age of AI
Learn how DAM helps protect provenance and the credibility of every asset - with Kristina Huddart.
Häufig gestellte Fragen über C2PA
-
Ja. Die vollständige technische C2PA-Spezifikation ist offen unter c2pa.org veröffentlicht und für jede Organisation frei umsetzbar. Sie deckt Bilder, Videos, Audio, PDFs und weitere Dateitypen ab.
-
Wird ein Inhalt nach dem Signieren verändert, schlägt die Überprüfung fehl und der Betrachter wird gewarnt, Credentials lassen sich also nicht unbemerkt ändern. Metadaten können dennoch verloren gehen, wenn Dateien per Screenshot erfasst, neu kodiert oder auf manchen Plattformen hochgeladen werden. Um dem zu begegnen, unterstützt C2PA Soft Bindings wie Wasserzeichen und Fingerabdrücke, die eine Datei wieder mit ihrem Manifest verknüpfen.
-
Nein. C2PA beweist nicht, dass ein Bild wahr ist. Es belegt, wer den Inhalt erstellt hat, welche Werkzeuge verwendet wurden, welche Bearbeitungen vorgenommen wurden und ob sich seit dem Signieren etwas verändert hat, also überprüfbare Fakten, die Betrachter selbst bewerten können.
-
C2PA selbst ist gesetzlich nicht vorgeschrieben, doch die Regulierung bewegt sich in Richtung der Transparenz, die der Standard ermöglicht. Der EU AI Act verlangt, dass KI-generierte und KI-bearbeitete Inhalte klar gekennzeichnet werden, und C2PA gilt weithin als der praktikabelste offene Standard, um diese Anforderung zu erfüllen.
-
Ein Digital Asset Management System mit Unterstützung für Content Provenance, wie das von Fotoware, erfüllt drei Aufgaben: Es bewahrt das C2PA-Manifest beim Import, erfasst neue signierte Assertions, wenn Nutzer Assets bearbeiten oder freigeben, und führt das Manifest bis zur Verbreitung weiter, sodass veröffentlichte Inhalte ihr Publikum mit intakten Credentials erreichen.
Auf dieser Seite