In einer Welt, in der nicht klar ist, was echt ist und was gefälscht, sehen Tech-Firmen die Demokratie in Gefahr. Zwar versprachen sie ein gemeinsames Vorgehen, um Wahlen zu schützen, aber sie lassen sich viel Zeit bei der Umsetzung. Dabei ginge es anders.
Auf Facebook zirkulierte kürzlich ein Bild von Donald Trump auf einer Weihnachtsparty von Afroamerikanern. Er strahlt, wirkt jung und energetisch – und so volksnah. Solch einen Präsidenten braucht das Land, oder?
Mehr als diesen kurzen Gedanken dürften sich die wenigsten Nutzerinnen und Nutzer von sozialen Netzwerken machen, schliesslich scrollt man meist schnell weiter.
Nur wer länger beim Bild hängenbleibt, merkt: Es ist künstlich erstellt. Trumps Hände sehen deformiert aus, zwischen zwei Fingern scheint er eine Art Schwimmhaut zu haben, an einem Zeigefinger fehlt der Nagel. Ausserdem ist auf dem Baseball-Cap eines Mannes im Hintergrund ein unleserliches Schriftzeichen zu sehen – ein typisches Merkmal von KI-generierten Bildern.
Gerade ist Superwahljahr, und die Politik entdeckt die Vorteile von KI-Bildgeneratoren. Ein paar Klicks, ein paar Texteingaben, und schon hat man ein Bild einer Situation, die es nie gab. Trump beim Beten in der Kirche. Trump, wie er vor der Polizei wegrennt. Trump bei den Afroamerikanern.
Alle diese Bilder bedienen entweder Narrative, die Trump helfen, oder solche, die ihm schaden sollen. So suggeriert das Bild von der Weihnachtsparty schwarzen Wählerinnen und Wählern, die 2020 noch mitgeholfen haben, Joe Biden ins Amt zu hieven, Trump sei ein geselliger Typ – vielleicht auch zunehmend wählbar für Afroamerikaner?
Tech-Firmen gaben ein leeres Versprechen
Das Beispiel zeigt, dass die sozialen Netzwerke noch keinen Mechanismus gefunden haben, um computergenerierte Bilder als solche zu kennzeichnen. Dabei hatten zwanzig Tech-Firmen Mitte Februar ein koordiniertes Vorgehen versprochen, um Fakes im Zusammenhang mit Wahlen aufzuspüren, unter ihnen Vertreter der Erzrivalen Instagram, Tiktok, X und Youtube.
Bei der Verkündung der Vereinbarung wählten sie drastische Worte: «Deepfakes sind eine neue und grosse Bedrohung für die Demokratie», sagte ein Angestellter von Microsoft. «Sobald du alles bezweifelst, was du siehst, hat die Demokratie ein Problem», meinte einer von Adobe. Und die Vertreterin von Open AI fand: «Wir sind in einem historischen Wahljahr. Es ist höchste Zeit [für ein koordiniertes Vorgehen].»
Seit der Ankündigung ist wenig passiert: Künstlich generierte Bilder werden in den sozialen Netzwerken nach wie vor ohne KI-Label oder Warnhinweis verbreitet. Viele davon, wie auch das Foto von Trump, können bei näherer Betrachtung schnell als Fake entlarvt werden – aber nicht alle.
So zum Beispiel in einem Fall aus den Nationalratswahlen in der Slowakei im September. Dort verbreitete sich in den sozialen Netzwerken eine Audiodatei, angeblich ein Mitschnitt eines Telefongesprächs. Darin erklärt Michal Simecka, der Vorsitzende der liberalen Partei «Progressive Slowakei», einer Vertrauten, dass er die Wahl manipuliere.
Die sehr gut gefälschte Audiodatei wurde zwei Tage vor der Wahl publiziert, zu einem Zeitpunkt, zu dem slowakische Medien traditionellerweise nicht mehr über die Wahlen berichten.
Zwischen dem Billig-Fake von Trump und dem Deepfake von Simecka gibt es ein breites Spektrum von mehr oder weniger gut gemachten Fälschungen. Egal, wie schnell sie entlarvt werden, eine Wirkung haben alle, schliesslich weiss man aus der psychologischen Forschung, dass Bilder stärker auf Gefühle wirken als Text und dass sie einprägsamer sind.
So verbreitet sich online eine Flut von gefälschten Informationen, just in einem der wichtigsten Wahljahre der Geschichte. 2024 werden weltweit mehr Menschen an die Urnen gerufen als je zuvor, unter anderem in der Europäischen Union und in den USA.
Forderung: KI-Bilder müssten ein Wasserzeichen tragen
Ramak Molavi, unabhängige KI-Expertin, hat für eine Analyse die gängigsten Methoden untersucht, mit denen die Flut von gefälschten Bildern im Internet bekämpft werden könnte. Sie sagt, KI-Bilder müssten als solche erkennbar gemacht werden – idealerweise schon bei der Erstellung. Nur so könnten Stimmbürgerinnen und Stimmbürger informierte Entscheidungen über Kandidierende treffen.
Schlüssel für die Kennzeichnung von KI-Bildern sind Wasserzeichen. Sie sind bekannt als kleine Markierungen innerhalb eines Bildes, vielleicht ein halb durchsichtiges Logo oder ein Schriftzeichen irgendwo am Bildrand. Solche sichtbaren Kennzeichnungen sind einfach zu manipulieren. Es reicht beispielsweise, das Bild zuzuschneiden, damit das Wasserzeichen wegfällt. Will jemand ein KI-Bild als echt darstellen, ist dies also ohne grosses technisches Wissen möglich.
Doch es gibt auch Wasserzeichen, die solche Manipulationsversuche unbeschadet überstehen, zum Beispiel das kryptografische Wasserzeichen. Es ist für das menschliche Auge unsichtbar, nicht aber für Maschinen. Denn wo Menschen Farben und Formen sehen, erkennen Maschinen nur einzelne Pixel, also kleine Vierecke, die einem bestimmten Farbcode zugeordnet sind.
Wird in ein KI-Bild ein Wasserzeichen eingefügt, erhalten ausgewählte Pixel einen neuen Pixelfarbwert (Hex-Wert). Im Bild von Donald Trump würde zum Beispiel ein Pixel mit seiner blonden Haarfarbe vom Originalwert #d8b96a zum veränderten Wert #d6b772.
Für Menschen sieht das Bild danach genau gleich aus, für Maschinen ist es aber ein anderes geworden. Welche Pixel wie stark verändert werden, bestimmt ein Muster, das für das menschliche Auge zufällig erscheint, aber mit einem kryptografischen Schlüssel entziffert werden kann.
Das Muster im kryptografischen Wasserzeichen bleibt auch dann bestehen, wenn das Bild mit einem Filter belegt, zugeschnitten oder gedreht wird, so zeigt es ein Blog-Beitrag von Deepmind. Das Tochterunternehmen von Google hat ein kryptografisches Wasserzeichen namens Synth-ID geschaffen, das im Moment in einer Pilotphase von einer kleinen Anzahl Google-Kunden getestet wird.
Plattformen müssten jedes Bild beim Upload prüfen
Die Sicherheitsforscherin Molavi sagt, wenn KI-Bild- oder -Videogeneratoren wie Dall-E, Midjourney oder Sora ihre Produkte mit einem Wasserzeichen versähen, könnten Plattformen wie Facebook, Instagram oder Tiktok in einem zweiten Schritt sicherstellen, dass sich Fakes nicht unkontrolliert verbreiteten. Dies wäre möglich, indem sie automatisch bei jedem Upload eines Bildes prüften, ob es ein KI-Wasserzeichen trägt – und falls dies der Fall ist, dies für Nutzerinnen und Nutzer deutlich kennzeichneten.
«Die grosse Masse von KI-generiertem Content könnte man damit wohl finden und kennzeichnen», sagt Florian Tramèr, der an der ETH zur Sicherheit von KI-Systemen forscht. Allerdings, sagt Tramèr, wenn jemand mit genügend technischem Wissen ein Deepfake erstelle, dürfte dieses unentdeckt bleiben. Denn auch das kryptografische Wasserzeichen kann manipuliert werden. Dies braucht allerdings so viel technisches Wissen, dass es den meisten Nutzerinnen und Nutzern nicht gelingen dürfte.
«Es ist ein Katz-und-Maus-Spiel», sagt Tramèr. Sobald eine neue, sicherere Verifizierungsmethode gefunden wird, gibt es schon Leute, die lernen, sie zu umgehen.
Molavi sieht das ähnlich. Es gebe zwar keine Methode, mit der Deepfakes wie jenes von Simecka ganz verhindert werden könnten. Aber Methoden wie das kryptografische Wasserzeichen «wären besser als nichts», findet sie. Weil bis jetzt aber ein übergreifender Standard fehlt, an dem sich alle Tech-Firmen orientieren könnten, verbreiten sich im Netz massenhaft KI-generierte Inhalte ohne Label oder Warnhinweise.
Erodiert das Vertrauen in den Staat?
Für Wählerinnen und Wähler heisst das: Die KI-Bildrevolution macht zunehmend unklar, was echt ist und was ein Fake. Karsten Donnay, Politologe und Professor an der Universität Zürich, sagt dazu: «Wir müssen damit rechnen, dass das Vertrauen der Menschen in Informationen noch weiter erodiert – und wir wissen aus der Forschung, dass damit auch ihr Vertrauen in die Medien und letztlich auch in den Staat sinken kann.»
Was das Resultat davon sei, sei für europäische Demokratien noch nicht ausreichend erforscht, sagt Donnay. Ob Wählerinnen und Wähler ihre Stimme in diesen postfaktischen Zeiten eher populistischen Parteien geben oder vermehrt starke Führungspersönlichkeiten wählen, ist demnach noch offen.
«Klar ist», sagt der Politologe Donnay: «Erodiert das Vertrauen in die Information, suchen sich Leute eher jene Informationen, die sowieso schon in ihr politisches Weltbild passen.» Damit verkleinert sich die gemeinsame Faktenbasis, auf der politischer Diskurs stattfinden kann.
Die Flut von gefälschten Fotos in den sozialen Netzwerken ist also keine gute Neuigkeit, auch wenn bis jetzt unklar ist, wie KI-Labels wirken würden. So oder so bleibt die Botschaft des Bildes bestehen, egal ob ein Label es als künstlich auszeichnet oder nicht.
So wie das Bild von Donald Trump bei den Afroamerikanern. Es bleibt online, ohne KI-Label. Publiziert wurde es vom konservativen Moderator Mark Kaye, der in einem Studio in Florida seine eigene Radio-Show produziert. Er habe nie behauptet, das Bild sei echt, sagte Kaye gegenüber der BBC.
«Wenn jemand wählt, nachdem er ein Foto auf einer Facebook-Seite gesehen hat, ist das Problem bei der Person, nicht beim Post», sagt Kaye. Und: «Ich gehe nicht raus und nehme Bilder auf von Dingen, die wirklich passieren. Ich bin ein Geschichtenerzähler.»
