Ein eindrückliches redaktionelles Bild, das versteckte Identitätssignale zeigt, die in Audio-Wellenformen eingebettet sind — passend zum Thema Musik und KI-Betrug.
Artificial IntelligenceMusic IndustryTechnology

75 Millionen Fake-Songs wurden von Spotify gelöscht. Das eigentliche Problem sind die, die es nicht wurden.

Ashutosh SinghalAshutosh Singhal23. Februar 202612 min

Vor ein paar Monaten saß ich in einem Meeting mit einem Musikvertrieb, der mir etwas erzählte, das meine Sicht auf die gesamte Audiobranche neu verdrahtete. Er rief ein Dashboard auf, das ihre tägliche Ingestion-Pipeline zeigte. „Siehst du das?", sagte er und scrollte durch einen Feed neuer Uploads. „Allein über unsere Plattform bekommen wir etwa viertausend Tracks pro Tag. Ich würde schätzen, dass ein Drittel davon von jemandem gemacht wurde, der weniger Zeit für den Track aufgewendet hat, als du heute Morgen fürs Zähneputzen gebraucht hast."

Ich lachte. Er nicht.

Er hat nicht übertrieben. Spotify allein erfasst etwa 100.000 neue Tracks an jedem einzelnen Tag. Wenn du versuchen würdest, auch nur 30 Sekunden von jedem einzelnen anzuhören, bräuchtest du 35 Tage ununterbrochener Wiedergabe, um die Uploads eines einzigen Tages zu bewältigen. Und ein wachsender Teil dieser Flut ist in keinem sinnvollen Sinne Musik — es ist algorithmisch erzeugtes Rauschen, das darauf ausgelegt ist, den Menschen, die wirklich Kunst schaffen, Geld abzusaugen.

Das ist das Audio-Wasserzeichen-Problem, mit dem ich mich im letzten Abschnitt meiner Karriere bei Veriprajna besessen beschäftigt habe. Nicht weil Wasserzeichen eine sexy Technologie sind — das sind sie nicht —, sondern weil jede andere Lösung, auf die sich die Branche verlässt, einen fatalen Fehler hat, über den niemand ehrlich reden will.

Der 3-Milliarden-Dollar-Raub, der sich in deiner Playlist versteckt

Und hier ist der Teil, der dich wütend machen sollte — egal, ob du Musiker bist, Hörer oder einfach jemand, der 10,99 $ im Monat für ein Streaming-Abo bezahlt.

Die Art, wie die meisten großen Plattformen Künstler bezahlen, nennt sich Pro-rata-Modell. Alle Abonnement- und Werbeeinnahmen fließen in einen einzigen riesigen Topf. Dieser Topf wird durch die Gesamtzahl der Streams auf der Plattform geteilt. Dein Satz pro Stream ist ein Bruchteil des Ganzen.

Das bedeutet: Jeder gefälschte Stream bestiehlt nicht nur die Plattform — er bestiehlt jeden echten Künstler. Wenn eine Bot-Farm eine Milliarde Wiedergaben auf KI-generiertem weißem Rauschen erzeugt, bläht sie den Nenner auf. Die Auszahlung pro Stream sinkt für alle. Dein Lieblings-Independent-Künstler, der sechs Monate lang in seinem Schlafzimmer an einem Album geschrieben hat, wird schlechter bezahlt, weil ein Betrügerring in einem anderen Land zehntausend Regengeräusch-Loops hochgeladen und ein Botnet darauf angesetzt hat.

Branchenschätzungen beziffern den jährlichen Schaden auf 2 bis 3 Milliarden Dollar. Deezer berichtete, dass 70 % der Wiedergaben von KI-generierten Tracks auf ihrer Plattform als betrügerisch markiert wurden. Spotify musste über 75 Millionen Tracks allein in den Jahren 2024 und 2025 löschen — eine Zahl, die an die Größe des gesamten historischen Katalogs aufgenommener Musik heranreicht.

Jeder betrügerische Stream ist nicht nur Diebstahl an einer Plattform. Er ist eine Steuer auf jeden legitimen Künstler, unsichtbar bezahlt über einen schrumpfenden Tantiemen-Topf.

Ich erinnere mich an die Nacht, in der diese Spotify-Löschzahlen herauskamen. Ich saß an meinem Schreibtisch, und meine erste Reaktion war Erleichterung — endlich nehmen die Plattformen das ernst. Meine zweite Reaktion, etwa zehn Minuten später, war Grauen. Denn 75 Millionen ist die Zahl, die sie erwischt haben. Was ist mit denen, die durchgerutscht sind?

Warum versagt Audio-Fingerprinting gegen KI-Musik?

Ein Vergleichsdiagramm nebeneinander, das zeigt, wie Audio-Fingerprinting (Identifikation) an neuartigen KI-Inhalten scheitert, während Audio-Wasserzeichen (Authentifizierung) erfolgreich sind, indem sie Provenienz bei der Erstellung einbetten.

Das ist die Frage, die mich dazu brachte, das aufzubauen, was wir aufbauen. Und die Antwort ist trügerisch einfach, sobald man sie sieht.

Das primäre Verteidigungssystem der Musikindustrie ist das Audio-Fingerprinting — die Technologie hinter Shazam, YouTubes Content ID und den meisten Rechteverwaltungsplattformen. Fingerprinting funktioniert, indem es eine perzeptuelle Signatur aus einem Audiostück extrahiert und mit einer riesigen Datenbank bekannter Aufnahmen abgleicht.

Und hier ist das Problem: Generative KI kopiert nicht. Sie synthetisiert.

Wenn ein Diffusionsmodell einen neuen Track erzeugt, erschafft es eine Wellenform, die noch nie zuvor existiert hat. Es gibt in keiner Fingerprinting-Datenbank einen Eintrag, mit dem sich abgleichen ließe. Für Content ID sieht ein brandneuer KI-Spam-Track genauso aus wie ein brandneues menschliches Meisterwerk. Beide sind schlicht „unbekannter Inhalt".

Ich nenne das das Originalitäts-Paradox, und es ist der Grund, warum ich nach unseren ersten Tests etwa eine Woche lang nicht schlafen konnte. Wir nahmen eine Reihe KI-generierter Tracks — einige klar von existierenden Künstlern abgeleitet, einige völlig neuartig — und ließen sie durch Standard-Fingerprinting-Pipelines laufen. Die abgeleiteten lösten gelegentlich Teiltreffer aus. Die neuartigen? Vollkommene Stille vom Erkennungssystem. Nicht eine einzige Markierung.

Mein Mitgründer sah sich die Ergebnisse an und sagte: „Je besser die KI also darin wird, originell zu sein, desto schlechter wird unsere Erkennung?" Ja. Genau. Das ist die Falle.

Fingerprinting ist eine Identifikationstechnologie. Sie sagt dir, was etwas ist. Wasserzeichen sind eine Authentifizierungstechnologie. Sie sagen dir, woher etwas stammt. Die Musikindustrie hat das falsche Werkzeug benutzt.

Ich habe über diese Unterscheidung — und die vollständige technische Architektur dahinter, warum Fingerprinting zusammenbricht — in unserem interaktiven Whitepaper geschrieben. Aber die Kurzfassung lautet: Fingerprinting ist reaktiv. Es braucht Inhalte, die bereits existieren und registriert sind. Wir brauchten etwas Proaktives — etwas, das Provenienz im Moment der Erstellung einbettet.

Der Betrug wurde schlauer, während wir nicht hinsahen

Ein Flussdiagramm, das die moderne „low and slow"-Kill-Chain des KI-Musikbetrugs zeigt, von der KI-Track-Erzeugung über die Botnet-Verteilung bis zur Extraktion aus dem Tantiemen-Topf.

Das andere, was mich wachhielt, war zu lernen, wie die Betrugsoperationen heute tatsächlich funktionieren. Das alte Drehbuch war plump: Lade einen Track hoch, feuere ihn mit Millionen Streams von einer einzigen IP-Adresse an, kassiere. Diese Masche haben die Plattformen vor Jahren aufgedeckt.

Das neue Drehbuch ist beängstigend elegant. Sie nennen es „low and slow".

Anstatt dass ein einzelner Track eine Million Fake-Streams bekommt, nutzt ein Betrügerring KI, um zehntausend Tracks zu erzeugen. Dann spielt ein Botnet jeden Track nur hundertmal ab. Die Gesamtauszahlung ist dieselbe, aber kein einzelner Track löst einen Viral-Spike-Alarm aus. Der Betrug versteckt sich im Long Tail, begraben unter der schieren Menge legitimer Daten.

Und die Infrastruktur hinter diesen Operationen hat Enterprise-Niveau erreicht. Wir reden von Residential Proxies, die Traffic durch kompromittierte IoT-Geräte leiten, sodass jeder Stream aus einem anderen Zuhause zu kommen scheint. Headless-Browser, die Skripte ausführen, die menschliches Verhalten nachahmen — Mausbewegungen, Pausieren, Überspringen von Tracks, Suchen —, um die Engagement-Analytik zu täuschen. KI-generierte Playlists mit SEO-optimierten Titeln wie „Chill Lo-Fi for Coding", die ein paar legitime Hits großer Künstler mit Dutzenden Spam-Tracks mischen, den Betrug tarnen und manchmal sogar den Empfehlungsalgorithmus der Plattform dazu bringen, die gefälschten Tracks echten Hörern vorzuspielen.

Eines Nachmittags saß ich mit unserem Team zusammen und zeichnete diese Kill-Chain auf einem Whiteboard auf, und jemand sagte: „Das ist keine Musikpiraterie. Das ist Finanzbetrug, der zufällig Audiodateien als Vehikel benutzt." Diese Neurahmung veränderte für uns alles.

Was passiert, wenn man ein Lied über einen Lautsprecher abspielt und neu aufnimmt?

Ein kommentiertes Diagramm, das zeigt, wie das autokorrelationsbasierte Wasserzeichen die analoge Lücke übersteht — die sich wiederholenden Wasserzeichenblöcke werden durch die Raumakustik identisch verzerrt, wodurch ihre interne Beziehung erhalten bleibt.

Das ist die technische Herausforderung, die seriöse Wasserzeichen von allem anderen trennt, und es ist diejenige, für deren Bewältigung ich am stolzesten auf unser Team bin.

Es nennt sich analoge Lücke — manchmal auch das analoge Loch. Stell dir vor, ein Deepfake-Song läuft über die Laptop-Lautsprecher von jemandem. Der Klang wandert durch die Luft. Jemand nimmt ihn mit dem Handy auf. Diese Aufnahme wird auf eine Plattform hochgeladen.

Auf dieser Reise wird das Audiosignal auf eine Weise zerstört, die der Datenerhaltung fast schon komisch feindlich gegenübersteht. Der Klang prallt von Wänden, Böden und Möbeln ab — das Mikrofon empfängt das direkte Signal plus Tausende leicht verzögerte Reflexionen. Billige Lautsprecher schneiden alles unter 300 Hz und über 15 kHz ab. Das Aufnahmegerät weiß nicht, wo das Wasserzeichen „beginnt", sodass das gesamte Signal desynchronisiert ist.

Die meisten Wasserzeichensysteme, die die MP3-Kompression — die digitale Lücke — überstehen, sterben in der analogen Lücke sofort. Und dabei ist die analoge Lücke genau das Szenario, das für das Erkennen von Deepfakes am wichtigsten ist — geteilt in sozialen Medien, im Radio gespielt oder während Live-Anrufen aufgezeichnet.

Wir sind wochenlang daran gescheitert, bevor wir den Ansatz fanden, der funktionierte. Der Durchbruch war die Erkenntnis, dass wir das empfangene Signal überhaupt nicht mit einer externen Referenz vergleichen sollten. Stattdessen betten wir ein sich wiederholendes Muster in das Signal selbst ein und nutzen die Autokorrelation — das Signal vergleicht sich mit sich selbst.

Und hier ist, warum das clever ist: Wenn Audio durch einen halligen Raum wandert, wird das gesamte Signal auf dieselbe Weise verzerrt. Block A und Block B unseres sich wiederholenden Wasserzeichens werden beide durch dieselbe Raumakustik verschmiert. Die Beziehung zwischen ihnen überlebt, selbst wenn das absolute Signal verstümmelt ist. Der Detektor sucht nach einem periodischen Ausschlag in der Autokorrelation in einem bekannten Intervall, und dieser Ausschlag bestätigt die Anwesenheit des Wasserzeichens, ohne jemals wissen zu müssen, wie das ursprüngliche Audio geklungen hat.

Es gab einen Moment im Labor — und ich verwende „Labor" großzügig, es war eigentlich nur ein Konferenzraum mit einem Laptop und einem Bluetooth-Lautsprecher, den wir in einem Kiosk gekauft hatten —, in dem wir einen mit Wasserzeichen versehenen Track über diesen furchtbaren Lautsprecher abspielten, ihn quer durch den Raum mit einem Handy aufnahmen und den Detektor laufen ließen. Als er positiv zurückkam, sah mich mein Ingenieur an und sagte sehr leise: „Das hätte nicht funktionieren dürfen." Aber es funktionierte. Und da wusste ich, dass wir etwas hatten.

Können Angreifer das Wasserzeichen nicht einfach entfernen?

Das ist der erste Einwand, den jeder erhebt, und es ist der richtige.

Raffinierte Angreifer werden ganz sicher versuchen, mithilfe von KI Wasserzeichen aufzuspüren und zu entfernen. Wir wären naiv, etwas anderes zu glauben. Deshalb verteidigt sich unsere Trainings-Pipeline nicht nur gegen eine feste Liste bekannter Angriffe wie „Rauschen hinzufügen" oder „zu MP3 komprimieren". Wir verwenden ein adversariales Trainings-Framework — im Grunde trainieren wir ein Angreifernetzwerk parallel zu unserem Wasserzeichensystem. Der Angreifer versucht, das Wasserzeichen zu zerstören und dabei das Audio anhörbar zu halten. Der Encoder passt sich an, um den Angriff zu überstehen. Sie spielen dieses Minimax-Spiel über Tausende von Iterationen, bis das Wasserzeichen Angriffe übersteht, die es zu Beginn des Trainings noch gar nicht gab.

Das Ergebnis: Unser System erreicht eine Zuordnungsgenauigkeit von über 98 % selbst bei aggressiver Bearbeitung — Time-Stretching, Pitch-Shifting, Zuschneiden. Selbst wenn ein Betrüger einen 30-Sekunden-Clip auf 10 Sekunden kürzt, sammelt der Detektor aus dem Fragment genug statistische Evidenz, um die Provenienzsignatur zu dekodieren.

Für die vollständige technische Aufschlüsselung der Spread-Spectrum-Einbettung, der SVD-Zerlegung und der Protokolle zur Abwehr adversarialer Angriffe siehe unser Forschungspapier. Aber die zentrale Erkenntnis betrifft keine einzelne Technik — sie besteht darin, dass das Wasserzeichen in der Struktur des Audios lebt, nicht an seiner Oberfläche. Man kann die Oberfläche sandstrahlen. Die Struktur bleibt bestehen.

Das Nährwertetikett für Klang

Ein Wasserzeichen für sich allein ist ein Link. Es sagt: „Dieses Audio wurde markiert." Aber von wem markiert? Zu welchem Zweck? Um ein echtes Vertrauens-Ökosystem aufzubauen, muss man dieses akustische Signal mit einer überprüfbaren Identität verbinden.

Genau hier integrieren wir C2PA — die Coalition for Content Provenance and Authenticity — einen offenen Standard, der wie ein Nährwertetikett für digitale Inhalte funktioniert. Er zeichnet kryptografisch auf, wer ein Asset erstellt hat, wie es erstellt wurde (Mensch oder KI) und welche Bearbeitungen vorgenommen wurden.

Die Verwundbarkeit reiner Metadaten-Lösungen liegt auf der Hand: Konvertiere eine signierte WAV in eine generische MP3, und der Metadaten-Header verschwindet. Spiele sie im Radio ab, und sie ist weg. Aber unser Wasserzeichen übersteht diese Transformationen. Deshalb nutzen wir das Wasserzeichen als Soft Binding — es trägt einen eindeutigen Identifikator, der auf ein cloudgehostetes C2PA-Manifest verweist. Entferne die Metadaten, konvertiere das Format, spiele es über die Luft ab und nimm es neu auf. Das Wasserzeichen bleibt erhalten. Der Detektor extrahiert den Identifikator, fragt das Ledger ab und ruft den vollständigen Provenienzdatensatz ab.

Provenienz sollte mit dem Inhalt reisen, nicht in einem Header sitzen, der in dem Moment entfernt wird, in dem jemand auf „Als MP3 exportieren" klickt.

Und für alle, die sich um Privatsphäre sorgen — ein dissidenter Journalist oder ein anonymer Künstler sollte seinen bürgerlichen Namen nicht an eine Datei anhängen müssen, nur um zu beweisen, dass sie echt ist. C2PA unterstützt pseudonyme Angaben und selektive Offenlegung. Ein Künstler kann einen Track als „Verified Creator #892" signieren, verknüpft mit einem von einem vertrauenswürdigen Dritten ausgestellten Berechtigungsnachweis, ohne seine Wohnadresse preiszugeben.

Warum nicht einfach mehr Moderatoren einstellen?

Weil es wirtschaftlich unmöglich ist. Studien zeigen, dass menschliche Moderatoren Nuancen und Kontext genauer erkennen, aber sie kosten fast 40-mal mehr als automatisierte Systeme. Und das menschliche Gehör wird biologisch unzureichend — einen hochwertigen KI-Stimmklon von einer echten Aufnahme zu unterscheiden, nähert sich den Grenzen dessen, was unsere Ohren leisten können, während es für Maschinen mathematisch handhabbar bleibt.

Die Branche braucht die Nuanciertheit menschlichen Urteils zu den Kosten und im Maßstab von Software. Genau das liefert die deterministische Wasserzeichenerkennung. Ein Wasserzeichen ist entweder vorhanden oder nicht. Es gibt keinen Konfidenzwert zu interpretieren, keine Wahrscheinlichkeitskurve, bei der ein menschlicher Prüfer den Ausschlag geben muss. Das ermöglicht vollständig automatisierte Maßnahmen — Demonetarisierung, Kennzeichnung, Entfernung — mit rechtssicherer Gewissheit.

Die Weggabelung

Leute fragen mich manchmal, ob ich glaube, dass KI die Musikindustrie zerstören wird. Das glaube ich nicht. Ich denke, die Musikindustrie wird in Ordnung sein — wenn sie aufhört, so zu tun, als würden die Werkzeuge, die für die letzte Ära gebaut wurden, in dieser funktionieren.

Fingerprinting wurde für eine Welt gebaut, in der Inhalte von Menschen erschaffen wurden und die Herausforderung darin bestand, Kopien zu identifizieren. Wir leben jetzt in einer Welt, in der Inhalte von Maschinen erschaffen werden und die Herausforderung darin besteht, den Ursprung zu belegen. Das sind grundlegend verschiedene Probleme, und sie erfordern eine grundlegend andere Infrastruktur.

Spotifys Mindestschwelle von 1.000 Streams für Tantiemenauszahlungen ist ein politisches Pflaster. Nutzerzentrierte Bezahlmodelle sind eine strukturelle Verbesserung. Aber keines von beiden geht die Grundursache an: Plattformen können derzeit den Unterschied zwischen einem neuen KI-Track und einem neuen menschlichen Track nicht erkennen. Solange sich das nicht ändert, ist jede andere Lösung nachgelagert.

Die generative Fähigkeit ist heute ein Massengut. Jeder mit einer GPU oder einem API-Schlüssel kann die Pipeline überfluten. Die Knappheit — und damit der Wert — hat sich zur Provenienz verschoben. Nicht was erschaffen wurde, sondern wer es erschaffen hat, wie, und ob es echt ist.

Bei der Zukunft der KI-Musik geht es nicht um das Modell, das die beste Melodie erzeugt. Es geht um die Infrastruktur, die garantiert, dass diese Melodie echt, vergütet und anerkannt ist.

Mit dem EU AI Act und der anstehenden US-Deepfake-Regulierung entwickelt sich Wasserzeichen von optional zu verpflichtend. Die Frage ist nicht, ob die Branche Provenienzstandards übernehmen wird. Sondern ob sie sie vor oder nach dem Trockenlegen der Tantiemen-Töpfe übernimmt.

Ich weiß, auf welche Seite dieser Wette ich baue. Wenn du es nicht mit einem Wasserzeichen versehen kannst, erzeuge es nicht. Das ist kein Slogan. Es ist die einzige operative Realität, die ein vertrauenswürdiges Audio-Internet möglich macht.

Verwandte Forschung

Auch veröffentlicht auf

Entwickeln Sie Ihre KI mit Zuversicht.

Arbeiten Sie mit einem Team zusammen, das über umfassende Erfahrung im Aufbau der nächsten Generation von Unternehmens-KI verfügt. Wir helfen Ihnen, eine KI-Strategie zu entwerfen, zu entwickeln und einzuführen, der Sie vertrauen können.

Veriprajna Deep-Tech-Beratung ist auf die Entwicklung sicherheitskritischer KI-Systeme für die Bereiche Gesundheitswesen, Finanzen und Regulierung spezialisiert. Unsere Architekturen werden anhand etablierter Protokolle validiert und mit umfassender Compliance-Dokumentation belegt.