Mit der Firmware 2.00 für die Nikon Z6 III signiert die Kamera Bilder, die nicht mit ihr aufgenommen wurden. Das ist genau das, was die „Content Authenticity Initiative“, gegründet unter anderem von Adobe 2019, verhindern wollte: Eine Kamera, die Bilder, die nicht aus ihr stammen, als quasi „echt“ ausgibt. Denn dass ein Foto mit einer bestimmten Kamera aufgenommen wurde, von wem, wann und wo genau, und das kryptografisch zu belegen, ist die ganze Idee hinter dem, was unter Namen wie CAI, C2PA oder Content Credentials gemeint ist. Die vielen Bezeichnungen, die da seit ganzen sechs Jahren unterwegs sind, zeigen schon, wie uneinheitlich die Branche agiert – und warum CAI, bleiben wir bei diesem Namen, nicht aus dem Quark kommt.

Was insbesondere Pressefotos, die in Sekunden weltweit verteilt werden, heute fehlt, ist die digitale Provenienz, also der Herkunftsnachweis. Dabei geht es nicht um absolute Fälschungssicherheit, die kann es nicht geben. Jedes System hat Lücken, Sicherheit ist ein Prozess, nicht etwas, das man durch eine einmalige Aktion wie den Kauf einer bestimmten Kamera herstellen kann. Aber am Anfang der Kette von der Aufnahme eines Bildes muss man irgendjemandem oder irgendetwas trauen, das ist die „chain of trust“. Und bei CAI, das oft auch als „Echtheitssiegel für Fotos“ bezeichnet wird, ist das die Kamera.

Darum wiegt Nikons Firmware-Bug auch ziemlich schwer, wenn es um das System CAI an sich geht: Wenn die Vertrauenskette schon im allerersten Glied massive Schwächen hat, ist es völlig egal, wie stabil der Rest ist. Da CAI noch kaum verbreitet ist, und es Wochen dauerte, bis das Ausmaß des Problems bekannt wurde, dürfte der tatsächliche Schaden, also Fake-Fotos, zwar gering sein. Wie eine falsch signierte Aufnahmen mit der Z6 III entsteht, und was der zeitliche Ablauf war, zeigt unsere ausführliche Meldung.

Der Moment der Aufnahme ist die einzige Chance

Dass das System unausgereift ist, wurde dadurch nämlich deutlich sichtbar. Darauf weist auch Michael J. Hußmann bei Docma hin: „Man hat nur eine einzige Chance, die Entstehung eines Bildes durch eine Aufnahme mit einer bestimmten Kamera fälschungssicher zu dokumentieren, nämlich während der Speicherung der Bilddatei in der Kamera.“ Und das ist der Punkt: Der Anfang der Kette. Alles, was danach kommt, Bearbeitung, Ausschnitt, Größenänderung, lässt sich – das ist im Workflow von C2PA vorgesehen – dokumentieren. Der Ursprung ist aber die Aufnahme an sich und deren Provenienz.

Weil ein solcher Fehler, wie bei Nikon mit der Firmware verursacht, aber offenbar bisher nicht bedacht wurde, blieb dem Unternehmen nur eine drastische Reaktion: Die Prüfung der C2PA-Signatur durch Nikons Onlinesysteme ist bis auf Weiteres ganz abgeschaltet. Und zwar für alle Nikons, nicht nur die Z6 III. Andere Prüfstellen, das zeigte der Entdecker Adam Horshack auch bereits, akzeptieren die verfälschten Bilder weiterhin. Darum schrieb ganz richtig auch Petapixel: Nikon kann das Problem allein nicht lösen.

Denn wie auch andere digitale Sicherheitsmechanismen basiert C2PA auf Zertifikaten. Das kennt man, vereinfachtes Beispiel: Wenn sie diese Kolumne gerade mit einem handelsüblichen Browser lesen, stellt der irgendwo ein kleines Schloss dar. Das sagt, dass die Verbindung zwischen Ihrem Gerät und dem Server – heise.de – tatsächlich zu unserem Angebot führt. Die Verbindung ist zwischen dem Gerät und uns verschlüsselt. Dafür hat der Server ein Zertifikat, das wir regelmäßig erneuern müssen, und das auch zurückgerufen werden kann. Wie gesagt, alles etwas vereinfacht.

Und ein globaler Rückruf dieser Zertifikate ist wohl bei C2PA nicht vorgesehen. Ebenso, dass die Kamera selbst darauf hinweist, dass ihr Zertifikat vielleicht ungültig oder veraltet ist. Das ist, neben Nikons eigenem Problem, das, was die ganze Allianz für C2PA, eben die CAI, lösen muss. Dass Nikon ein Firmware-Update bringt, und Fotos aus einer Z6 III mit Firmware 2.00 nirgendwo mehr akzeptiert werden, ist zwingend nötig.

Die CAI muss enger zusammenarbeiten

Sinnvoll wäre aber auch noch, und da werden wir dann endlich mal konstruktiv, wenn die zahlreichen Mitglieder der CAI im Verbund neue Firmware-Versionen auf solche Lücken prüfen. Konkurrenz unter den Firmen muss da beiseitegelegt werden, auch wenn die Markteinführung einer neuen Kamera oder ein Update für C2PA-Funktionen länger dauert. Die Zerfaserung der CAI, die wir schon vor gut anderthalb Jahren festgestellt haben, muss endlich aufhören. Das ganze System muss so sicher wie möglich sein, und nicht schon bei der Aufnahme ausgehebelt werden können.

Um es auszuhebeln, reicht es im Übrigen nicht, wie vielfach behauptet, einen Monitor, eine Leinwand oder einen Ausdruck abzufotografieren. Es geht, siehe oben, um die komplette Provenienz: Wer hat das Bild wo, wann und mit welchem Gerät gemacht? Das wird verschlüsselt mit den Bilddaten in der Kamera bei Aufnahme gespeichert. Und später mit Servern abgeglichen. Wenn Max Mustermann ein Foto des US-Präsidenten, aufgenommen von seinem Monitor in Hintertupfing, veröffentlicht, dann hat das wenig Glaubwürdigkeit. Und gar keine, wenn solche Daten fehlen.

Wenn dagegen ein namentlich bekannter Berufsfotograf von einer großen Agentur dieses Bild veröffentlicht, aufgenommen vor dem Weißen Haus, dann ist allein das schon ein Hinweis auf Authentizität. Und erst recht, wenn die Daten der Aufnahme kryptografisch gesichert sind. Ein Grund, warum es C2PA braucht, ist ja, dass sich EXIF-Daten beliebig verändern lassen, ohne dass der Verlauf nachprüfbar festgehalten würde. Im Übrigen speichern C2PA-Kameras oft auch viel mehr Daten als per EXIF, teilweise auch Informationen des Autofokus für die Tiefe der Elemente in einem Bild. Darauf wies kürzlich Sony hin.

Preise für den Blick ins All

Nach diesem schwierigen Thema ist ein bisschen Entspannung angesagt. Also blicken wir doch in den Himmel, oder vielmehr, lassen Astrofotografen das tun. Denn der „Astrophotography Prize 2025“ wurde in der vergangenen Woche vergeben. Wenn man die Galerie der Bilder bei DPreview im Vollbild ansieht – unser Long Click zum Wochenende – stehen da auch die Aufnahmedaten, natürlich nicht per C2PA signiert, aber mit Namen der Fotografen. Alternativ gibt es einen Long Watch von knapp einer Stunde auf YouTube von der Preisverleihung mit Kommentaren der Juroren zu den wunderschönen Bildern.

(nie)

Erstmals hat Microsoft selbst direkt bestätigt, was bereits zuvor durchgesickert war: Windows-10-Nutzerinnen und -Nutzer in Europa werden auch nach dem offiziellen Supportende weiterhin Sicherheitsupdates erhalten – und zwar kostenlos.

In einem aktuellen Beitrag im deutschen Microsoft Newsroom bekräftigt der Konzern damit die zuvor von Medienberichten angestoßene Diskussion rund um den erweiterten Sicherheitssupport. Dort heißt es, dass Microsoft für Privatkundinnen und -kunden ab dem 15. Oktober 2025 ein „Extended Security Update (ESU)“-Programm ohne zusätzliche Kosten bereitstellt – allerdings nur für ein Jahr, also bis zum 13. Oktober 2026. Voraussetzung dafür ist ein Microsoft-Konto und ein Wohnsitz im Europäischen Wirtschaftsraum (EWR). Die Updates enthalten ausschließlich Sicherheitsaktualisierungen; neue Funktionen oder Produktverbesserungen sind nicht mehr vorgesehen. Microsoft empfiehlt weiterhin, langfristig auf Windows 11 oder neue Geräte umzusteigen.

Windows 10 wird selbst auf die neue Möglichkeit hinweisen. Microsoft schreibt: „Ein Einrichtungsassistent wird über Benachrichtigungen sowie in den Einstellungen verfügbar sein“. Schon in den vergangenen Monaten hatte Windows 10 durch Benachrichtungen im Infobereich (Systray) und durch bildschirmfüllende Nachrichten vor der Anmeldung nach einem Neustart auf das Support-Ende hingewiesen.

Der Schritt dürfte vor allem für Privatanwenderinnen und -anwender wichtig sein, die bislang noch nicht auf Windows 11 gewechselt haben – und zeigt, dass Microsoft auf anhaltende Kritik und regulatorischen Druck in Europa reagiert.

(nb)

Unternehmen sind zunehmend von Cyberangriffen, Datenverlust oder Betriebsunterbrechungen bedroht. ISO 27001 bietet einen strukturierten Rahmen, um diese Risiken frühzeitig zu identifizieren, geeignete Schutzmaßnahmen zu etablieren und mit Sicherheitsvorfällen professionell umzugehen. Ein funktionierendes Informationsmanagementsystem (ISMS) unterstützt somit die Geschäftskontinuität und reduziert mögliche finanzielle Schäden.

Der Online-Workshop ISO 27001 für Admins: ISMS praktisch umsetzen bietet einen Überblick über die Anforderungen der ISO-Norm 27001 an ein ISMS. Er zeigt praxisnah, wie Sie als IT-Verantwortlicher oder Administratore die technischen und organisatorischen Aufgaben bei der Umsetzung wirksam lösen, etwa bei der Unterstützung des Risikomanagements, der Maßnahmenumsetzung und der Dokumentation.

Ebenfalls lernen Sie, die Anwendungsbereiche der ISO 27001 zu definieren, relevante Geschäftsprozesse und ihre IT-Systeme zu identifizieren. Dabei blicken Sie auch auf die IT als Kompetenzträger im Risiko- und Maßnahmenprozess und schauen gemeinsam mit den Referenten auf den Maßnahmenkatalog aus Anlage A der Norm und lernen, den Bedarf realistisch abzuschätzen. Abschließend erfahren Sie, wie Sie die Umsetzung für Führungskräfte, Kollegen und Auditoren nachvollziehbar dokumentieren und sich so auf die Zertifizierung vorbereiten.

Der zweitägige Workshop richtet sich an Administratoren und IT-Fachkräfte, die bislang noch keine Erfahrungen mit ISO 27001 gemacht haben und nun an der Implementierung eines ISMS in ihrem Unternehmen beteiligt sind. Ebenso lernen IT-Sicherheitsverantwortliche, ihre Rolle im ISMS besser zu verstehen und erhalten einen Einblick in die praktische Umsetzung.

ISO 27001 praxisnah kennenlernen

Anhand von realistischen Szenarien entwickeln Sie in Gruppenarbeiten gemeinsam ein solides Verständnis für die Umsetzung der Norm. Somit erhalten sie das Rüstzeug, die Inhalte in ihrem Berufsalltag einzusetzen. Für einen regen Erfahrungsaustausch und eine persönliche Betreuung durch die Referenten ist die Teilnehmerzahl auf maximal 20 Personen begrenzt.

Durch die Inhalte führen die Informationssicherheits-Experten Björn Lemberg und Carsten Strozyk. Als freier Berater unterstützt Björn Lemberg zahlreiche Unternehmen beim Einsatz von Informationsmanagementsystemen. Zudem ist er bei einem BSI-zertifizierten IT-Sicherheitsdienstleister aktiv. Carsten Strozyk ist Prokurist und Informationssicherheitsbeauftragter der levigo systems GmbH. Mit technischem Know-how und praxiserprobter Führungserfahrung aus über 30 Jahren in der IT weiß er, wie sich Informationssicherheit im Unternehmen technisch und organisatorisch umsetzen lässt.

(ilk)