Schulen lieben schöne Fotos, sei es von einem Ausflug zu einer Burg, einer Preisverleihung im naturwissenschaftlichen Bereich oder einem Sportfest, das aus drei Blickwinkeln festgehalten wurde. Zwei Jahrzehnte lang landeten solche Festbilder direkt auf den Schulwebseiten, versehen mit einem Namen und einer Klassenstufe. Doch diese Zeiten sind vorbei, denn wir schreiben das Jahr 2026, und im Internet gibt es keine schönen Dinge mehr.
Wie der Guardian als Erster berichtete, fordern Experten die Schulen nun dringend auf, diese Bilder zu entfernen. Nach Angaben der britischen National Crime Agency, der Internet Watch Foundation und einer Beratungsgruppe namens Early Warning Working Group (EWWG) haben Erpresser gewöhnliche Schulfotos gesammelt, sie durch deepfake geleitet, um Material über sexuellen Kindesmissbrauch (CSAM) herzustellen, und Geld gefordert, damit die Bilder nicht im Internet verbreitet werden.
Eine Schule, 150 Bilder
Ende letzten Jahres wandten sich Cyberkriminelle mit dieser Forderung an eine nicht namentlich genannte britische Sekundarschule. Die IWF stufte 150 der dabei entstandenen Bilder nach britischem Recht als CSAM ein und erstellte für jedes Bild digitale Fingerabdrücke, damit große Plattformen erneute Hochladungen blockieren konnten.
Die IWF nennt weder den Namen der Schule noch der Polizeibehörde und geht nicht davon aus, dass es sich um einen Einzelfall handelt. Die EWWG erklärt, es sei „nur eine Frage der Zeit“, bis weitere Schulen mit ähnlichen Forderungen konfrontiert werden.
Die britische Ministerin für Kinderschutz, Jess Phillips, bezeichnete dies als „zutiefst besorgniserregende neue Bedrohung“. Im Februar 2025 war Großbritannien das erste Land, das KI-Tools verbot, die speziell zur Erstellung von CSAM entwickelt wurden.
Wie es dazu kam
Diese Bedrohung ist nicht über Nacht entstanden und beschränkt sich nicht auf Großbritannien. Sie ist die Weiterentwicklung einer seit langem bestehenden Bedrohung: Sextortion, also die Erpressung durch die Verwendung intimer Bilder. Bislang basierte Sextortion auf echten intimen Bildern, die gestohlen oder weitergegeben wurden, doch deepfake hat alles verändert.
Das Internet Crime Complaint Center (IC3) des FBI verzeichnete in der ersten Hälfte des Jahres 2021 mehr als 16.000 Anzeigen wegen Sextortion, wobei sich die Schäden auf über 8 Millionen Dollar beliefen. Im Juni 2023warnte das büro , dass sich die Vorgehensweise geändert habe: Angreifer nutzten gewöhnliche Fotos aus sozialen Medien, um gefälschte explizite Bilder zu erstellen und Minderjährige zu erpressen.
Die britische Kinderberatungshotline „Childline“ verzeichnet ähnliche Veränderungen, da deepfake immer leichter zugänglich werden. Sie registriert bereits jedes Jahr zahlreiche Fälle von Sextortion, viele davon von Kindern, die dazu manipuliert wurden, intime Bilder von sich selbst weiterzugeben. Nun erhält die Organisation Anrufe von Kindern, denen deepfake von sich selbst deepfake zugesandt werden, ohne dass zuvor Kontakt zu ihnen aufgenommen wurde.
Einem 15-jährigen Mädchen wurde beispielsweise ein „wirklich überzeugendes“ gefälschtes Nacktfoto zugesandt, das aus ihren Instagram erstellt worden war.
Bis November 2025 hatten sich die Meldungen der IWF über KI-generiertes CSAM im Vergleich zum Vorjahr mehr als verdoppelt und stiegen von 199 auf 426. 94 % der Opfer waren Mädchen. Nach Angaben der Organisation betrafen die gemeldeten Fälle Kinder im Alter von Neugeborenen bis zu Zweijährigen.
Das Umfeld dieser Tools ist industriell geprägt. Im April 2025 entdeckte ein Forscher einen ungeschützten AWS-S3-Bucket der südkoreanischen „Nudify“-App GenNomis, der 93.485 KI-generierte Bilder sowie die dazugehörigen Eingabeaufforderungen enthielt.
Was den Schulen mitgeteilt wird
Die EWWG empfiehlt, Nahaufnahmen, auf denen Personen erkennbar sind, durch Aufnahmen aus der Ferne, unscharfe Bilder oder Fotos von hinten zu ersetzen. Außerdem rät sie den Schulen, vollständige Namen aus Bildunterschriften zu entfernen, vorhandene Bilder zu überprüfen und die Eltern zu bitten, die Einverständniserklärungen erneut zu unterzeichnen.
Tatsächlich rät sie den Schulen, zu überdenken, ob sie Fotos von Kindern überhaupt online veröffentlichen müssen.
Einige Schulen haben bereits Maßnahmen ergriffen. Laut dem Guardian hat die Loughborough Schools Foundation, ein Zusammenschluss von drei Privatschulen, die sich eine Website teilen, im vergangenen Jahr alle Bilder entfernt, auf denen Schüler erkennbar waren.
Das britische Information Commissioner’s Office (ICO) erklärt, dass es „im Allgemeinen weiterhin davon ausgeht, dass Sie Eltern die Möglichkeit zum Widerspruch einräumen“, wenn Sie ein Foto veröffentlichen, auf dem ein Kind erkennbar ist; es weist jedoch darauf hin, dass dies rechtlich nicht mit einer Einwilligung gleichzusetzen ist, für die höhere Anforderungen gelten.
In den USA ist die Lage etwas undurchsichtiger, da die einzelnen Bundesstaaten oft ihre eigenen Datenschutzgesetze für Schüler haben. Im Großen und Ganzen fallen jedoch gemäß dem Privacy Family Educational Rights and Privacy (FERPA) identifizierbare Fotos von Schülern in der Regel unter die Kategorie der Verzeichnisdaten. Diese Kategorie umfasst auch Name, Adresse, Telefonnummer, Geburtsdatum und -ort, die Teilnahme an offiziell anerkannten Aktivitäten und Sportarten sowie die Daten der Anwesenheit.
Gemäß dem FERPA dürfen Schulen diese Art von Informationen veröffentlichen, sofern der Erziehungsberechtigte des Kindes nicht ausdrücklich widerspricht. Sie müssen den Erziehungsberechtigten benachrichtigen, wenn sie diese Informationen veröffentlichen wollen, doch gilt diese Regelung möglicherweise nicht unbegrenzt, nachdem ein Schüler die Schule verlassen hat.
Das bedeutet, dass Fotos und Informationen von Schülern noch lange online bleiben können, nachdem die Familien bereits davon ausgegangen sind, dass sie gelöscht wurden.
Wie geht es weiter?
In Großbritannien ermöglicht der „Report Remove“-Dienst von Childline Kindern, explizite Bilder oder Videos von sich selbst zu melden, die online veröffentlicht wurden. Im vergangenen Jahr gingen bei dem Dienst 394 Meldungen über Erpressung von Minderjährigen ein – ein Anstieg um ein Drittel im Vergleich zu 2024.
Unterdessen nimmt die britische Regierung Änderungen am „Crime and Policing Bill“ vor, wonach Plattformen verpflichtet werden, gemeldete intime Bilder innerhalb von 48 Stunden zu entfernen – andernfalls drohen ihnen Geldstrafen in Höhe von 10 % ihres weltweiten Umsatzes.
Wir rechnen mit einem Wettlauf zwischen den Aufsichtsbehörden und KI-gestützten Cyberkriminellen. Derzeit müssen Angreifer die Fotos noch manuell selbst suchen. Es besteht jedoch die Sorge, dass dieser Vorgang bald automatisiert werden könnte, sodass Kriminelle Namen und Fotos in großem Umfang von Schulwebsites und Social-Media-Plattformen abgreifen könnten.
Für Eltern besteht der einfachste Schutz vielleicht darin, die Anzahl der im Internet verfügbaren Fotos zu begrenzen, auf denen ihre Kinder erkennbar sind. Dazu gehört, nicht nur bei der Schule Ihres Kindes, sondern auch bei Sportvereinen, außerschulischen Aktivitäten und Social-Media-Konten wachsam zu sein.
