Provenienz entscheidet

Als „Salvator Mundi“ im Jahr 2017 für 450 Millionen Dollar versteigert wurde, ging es nicht nur um Kunst. Entscheidend war die Frage: Ist das um das Jahr 1500 entstandene Bild von Jesus wirklich ein Werk von Leonardo da Vinci? Und woher stammt es? Diese Besitz- und Herkunftsgeschichte heißt in der Kunst Provenienz.

Sie beschreibt den Weg eines Werkes – von seiner Entstehung über Sammler, Händler, Auktionen oder Museen bis heute. Je genauer die Provenienz dokumentiert ist, desto größer sind Vertrauen und Marktwert.

Dieses Prinzip gewinnt nun auch in der digitalen Welt an Bedeutung. Denn im Zeitalter von Künstlicher Intelligenz (KI), Deepfakes und Desinformation ist die Herkunft von digitalen Inhalten oft nicht mehr zu erkennen.

Gartner, das weltweit führende Forschungs- und Beratungsunternehmen für Informationstechnologie mit Hauptsitz in den USA, hat digitale Provenienz kürzlich als einen der wichtigsten Technologietrends der kommenden Jahre beschrieben. Der Begriff bezeichnet demnach „die Fähigkeit, den Ursprung, die Eigentümerschaft und die Integrität von Software, Daten, Inhalten und Prozessen zu verifizieren“. Auf Deutsch wird dabei oft von „digitaler Herkunft“ gesprochen. Die Trendforscher nennen vor allem drei Bedrohungen:

• Deepfake-basierte Desinformation:
  KI erzeugt täuschend echte Bilder, Videos oder Stimmen. Solche Deepfakes können genutzt werden, um falsche Aussagen zu verbreiten, Personen zu imitieren oder Unternehmen gezielt zu schädigen.
• Manipulierter Code:
  Software besteht heute oft aus vielen Bausteinen. Wird Code etwa durch eingeschleuste Schadsoftware verändert, kann das zu Sicherheitslücken führen oder Daten kompromittieren.
• Aufgegebene Open-Source-Projekte:
  Frei verfügbare Software ist für Unternehmen nicht nur kostengünstig. Durch die Zusammenarbeit in großen Entwickler-Communities profitieren sie auch von neuen Features, schnellen Bugfixes und innovativen Lösungen. Wird ein Projekt aber nicht mehr gepflegt, entstehen Sicherheitslücken oder Kriminelle schleusen schädlichen Code ein.

Künftig reicht es nicht mehr, Daten und Systeme vor Cyber-Angriffen zu schützen. Unternehmen müssen auch nachweisen können, dass ihre Inhalte und ihre Software authentisch sind: Wer hat ein digitales Asset oder Werk geschaffen, ist es sicher und kann alles rechtmäßig genutzt werden?

Kurzum: Digitale Provenienz schafft Transparenz darüber, woher Daten, Software und Inhalte stammen – und entscheidet, ob die digitalen Angebote vertrauenswürdig sind.

Solche digitalen Herkunftsnachweise sind keineswegs nur ein Nice-to-have, sondern entscheidend für den künftigen unternehmerischen Erfolg: Betriebe, die bis 2029 nicht ausreichend in digitale Provenienz investieren, riskieren Strafen in Milliardenhöhe.

Mit dem EU AI Act führt die Europäische Union neue Regeln für den Einsatz von Künstlicher Intelligenz ein. Alle Unternehmen sind betroffen, wenn sie KI etwa für Bilder und Videos nutzen. Ab August 2026 müssen sie Inhalte kennzeichnen, die künstlich erzeugt wurden oder aus KI-Systemen stammen. Bei Verstößen drohen hohe Bußgelder.

Für CTOs, CISOs und Compliance‑Verantwortliche stellt sich nicht mehr die Frage, ob sie eine Infrastruktur zur Überprüfung der Datenauthentizität aufbauen, sondern darum, wie schnell sie handeln. Dabei geht es nicht um ein einzelnes Tool, sondern um das Zusammenspiel verschiedener Technologien und Prozesse, die der Reihe nach implementiert werden sollten:

• Software Bill of Materials (SBOM): Eine solche Übersicht listet alle verwendeten Software-Bausteine, -bibliotheken und -abhängigkeiten auf.
• Für KI-Modelle sind Machine-Learning-Stücklisten (MLBOMs) sinnvoll.
• Beglaubigungsdatenbanken: Diese Sammlungen enthalten Verifizierungsinformationen − ob digitale Assets, Standards und Sicherheitsanforderungen passen. Hier werden kryptografisch signierte Herkunftsnachweise gespeichert.
• Digitale Wasserzeichen: Die unsichtbaren, eindeutigen Markierungen dienen dazu, die Herkunft eines Inhalts zu identifizieren. Damit können KI-generierte Medien gekennzeichnet werden, was Compliance-Anforderungen entspricht.
   

Ergänzend helfen Sicherheitsmaßnahmen, manipulierte Inhalte und Identitätsdiebstahl zu erkennen und zu verhindern.

Digitale Provenienz umfasst nicht nur einzelne Dateien oder Programme, sondern die gesamte digitale Lieferkette. Damit ist der Weg gemeint, den Daten, Software-Komponenten oder KI-Modelle vom Ursprung bis zum Einsatz im Unternehmen durchlaufen. Jede Station kann Sicherheit, Integrität und Nutzungsrechte beeinflussen – etwa Open-Source-Bibliotheken, externe Datenfeeds oder Drittanbieter-Software. Mit dem digitalen Herkunftsnachweis lässt sich nachvollziehen, wer ein Asset erstellt oder verändert hat und ob es aktuell ist.

Transparenz wird mithilfe digitaler Provenienz ganz besonders für mittelständische Unternehmen zum Wettbewerbsvorteil: Kunden, Partner und Aufsichtsbehörden wollen zunehmend wissen, ob Inhalte authentisch sind. Nur wer Herkunft, Historie und Authentizität seiner Daten und Software belegen kann, bleibt vertrauenswürdig – ganz wie bei einem Gemälde, dessen Provenienz seinen Wert bestimmt.