Alle Abode Adobe Bias Bokeh Brennweite C2PA CAI Camera lucida Camera obscura Cloud Display Edvard Munch Edward Hopper Firefly Fotografie Futurismus Gemini Grok Hasselblad Impressionismus Juno Jupiter Künstliche Intelligenz KI Kamerareparatur Kickstarter Kubismus Kunst LCD Leica Makrofotografie Malerei Midjourney Nikon OLED Pixel Raumfahrt René Magritte Rolling Shutter Schlitzverschluss Smartphones Stable Diffusion Stuart Semple Verschluss Zentralverschluss Zoom elektronischer Sucher elektronischer Verschluss hidden prompts


Nikons C2PA-Bug: Kein Problem, aber …

mjh, 24. September 2025, 08:00 Uhr

Der Bug in Nikons Firmware für die Z6 III, die der Kamera eine Unterstützung von Herkunftsnachweisen nach dem CAI/C2PA-Standard ermöglichte, war ärgerlich und im Grunde unnötig, aber die Konsequenzen bleiben überschaubar – ein Drama ist er nicht. Er sollte aber als Warnschuss verstanden werden, denn falls künftige Fehler dieser Art erst später erkannt werden, könnten die Folgen weit größer und teilweise irreparabel sein.

Mit der CAI/C2PA-Unterstützung für die Z6 III war Nikon ganz weit vorne, aber wohl etwas zu schnell. (Foto: Nikon)

Eine kleine aber wachsende Zahl von Kameraherstellern unterstützt den CAI/C2PA-Standard, um fälschungssichere Herkunftsnachweise schon in die von der Kamera gespeicherten Bilddateien einzubetten, und Nikon gehört hier zur Avantgarde. Dass dabei auch einmal Fehler gemacht werden, ist nicht wirklich überraschend, wenngleich Nikons Bug in der Z6III-Firmware 2.00 auf Gedankenlosigkeit zurückzuführen zu sein scheint. Man hatte übersehen, dass Bilddateien nicht nur nach dem Druck auf den Auslöser gespeichert werden, sondern auch bei der Berechnung von „Mehrfachbelichtungen“ in der Kamera. Auf diesem Wege ließen sich beliebige Bilder undokumentierter Herkunft einschleusen, um sie als echte, mit der verwendeten Kamera aufgenommene Fotos auszugeben.

Nach Installation der Firmware-Version 2.00 für die Nikon Z9 III ließ sich die Speicherung von Herkunftsnachweisen aktivieren, wie im aktualisierten Handbuch zur Kamera dokumentiert.

Diesen Fehler in einer neuen Firmware-Version abzustellen, sollte nicht allzu schwierig sein, wofür sich Nikon aber wohl etwas Zeit nehmen wird, um diesmal alles richtig zu machen. Wie PetaPixel meldete, musste der Hersteller aber auch alle bislang mit der Firmware 2.00 gespeicherten Herkunftsnachweise und deren Zertifikate zurücknehmen – sie sind nicht mehr gültig, worüber Nikon die betroffenen Kunden per E-Mail informiert hat. Effektiv zurückgezogen werden sie aber erst, wenn die Fotografen ihre Kamera mit der Nikon Imaging Cloud verbinden; bis dahin können weitere Fotos mit den nun ungültigen Zertifikaten signiert werden. Wie PetaPixel schreibt, werden zurückgezogene Zertifikate auch nicht unbedingt erkannt, wenn man die Herkunft einer Bilddatei überprüft: Die Verifizierungsdienste testen zwar die innere Stimmigkeit der Zertifikate, fragen aber nicht ab, ob sie nachträglich widerrufen worden sind – das sieht man ihnen ja nicht an. Diese verschärfte Überprüfung wird künftig nachgerüstet werden müssen, und hier ist auch Adobe gefordert. Aber auch dieser Umstand rechtfertigt noch keine große Aufregung: Die Unterstützung von CAI/C2PA durch die Industrie beginnt ja erst und Fehler in dieser Anlaufphase lassen sich noch problemlos beheben. Was aber, wenn sich ein ähnlicher, aber schwerer zu entdeckender Fehler in eine Kamera-Firmware einschleicht und vielleicht erst Jahre später bekannt wird?

Die Fotos, die bislang mit der Z6 III und Firmware 2.00 aufgenommen und mit aktivierter C2PA-Unterstützung authentifiziert worden waren, haben keinen gültigen Herkunftsnachweis mehr, und dieser Mangel lässt sich auch nicht im Nachhinein heilen. Man hat nur eine einzige Chance, die Entstehung eines Bildes durch eine Aufnahme mit einer bestimmten Kamera fälschungssicher zu dokumentieren, nämlich während der Speicherung der Bilddatei in der Kamera. Eben deshalb ist die breite Unterstützung des Standards durch die Kamerahersteller ja so wichtig. Die Zahl der vom aktuellen Bug betroffenen Bilder dürfte aber überschaubar sein.

Die Speicherung einer Aufnahme nach dem Druck auf den Auslöser bietet die einzige, nicht wiederholbare Chance, den Bilddateien einen fälschungssicheren Herkunftsnachweis hinzuzufügen. (Foto: Nikon)

Wohlgemerkt: Die CAI/C2PA-Herkunftsnachweise sollen den gesamten Workflow transparent abbilden und können auch von Anwendungen wie Raw-Konvertern und Bildbearbeitungssoftware hinzugefügt werden. Das sind aber nur zusätzliche Nachweise, die einen weiteren Bearbeitungsschritt dokumentieren, und können eine Authentifizierung durch die Kamera nicht ersetzen. Beispielsweise besitze ich noch keine Kamera, die solche Nachweise unterstützt, weshalb die Provenienz meiner Fotos erstmals gespeichert wird, wenn ich sie in Lightroom Classic exportiere. Aber auch wenn ab diesem Schritt ein Großteil meines Workflows dokumentiert wird, fehlt der Nachweis für den entscheidenden ersten Schritt: die Aufnahme selbst.

Falls einem Softwarehersteller ein Fehler in der CAI/C2PA-Unterstützung unterlaufen sollte, ließe er sich ohne großen Schaden beheben. Als Nutzer der betroffenen Software müsste man nur die Verfügbarkeit einer korrigierten Version abwarten und könnte seine Bilder dann mit einem neuen, gültigen Zertifikat erneut speichern beziehungsweise exportieren. Ein für ungültig erklärter Herkunftsnachweis der Kamera kann dagegen nicht so einfach durch einen neuen, gültigen Nachweis ersetzt werden, denn solche nachträglichen Eingriffe öffneten ja wieder ein Einfallstor für Fälschungen. Wenn ein Fehler, wie er Nikon mit der Firmware der Z6 III unterlaufen ist, künftig bei einem anderen Kameramodell entdeckt werden sollte, nachdem bereits Millionen Fotos damit aufgenommen und authentifiziert worden sind, stünden alle diese Fotos ohne gültigen Herkunftsnachweis da, und um ihn nachzuliefern, müsste man die Aufnahmen wiederholen. In Genres wie der Reportage- oder der Hochzeitsfotografie wäre das offenkundig unmöglich und in vielen anderen Bereichen zu kostspielig, als dass es eine realistische Option wäre.

Die Kamerahersteller müssen sich daher ihrer Verantwortung bewusst sein und vor dem Roll-out peinlich genau überprüfen, ob die CAI/C2PA-Unterstützung , die sie für ihre Modelle entwickeln, wirklich lückenlos und fehlerfrei ist. Daher wäre es auch nicht zu kritisieren, wenn die Unterstützung etwas mehr Zeit brauchen sollte: Sicherheit geht hier vor Geschwindigkeit.