Erkennung von Dokumentenbetrug: 3 Methoden, um gefälschte Dokumente aufzudecken

Was versteht man unter der Erkennung von Dokumentenbetrug?

Dokumentenbetrug besteht darin, offizielle Unterlagen zu verfälschen, um einen Vorteil zu erhalten, der eigentlich nicht zusteht – etwa einen Kredit, eine Wohnung, eine Sozialleistung, einen Vertrag oder eine Anstellung. Die Erkennung von Dokumentenbetrug bedeutet daher, zu überprüfen, ob die eingereichten Dokumente sowohl authentisch als auch inhaltlich stimmig sind, bevor eine geschäftskritische Entscheidung getroffen wird.

In der Praxis betrifft das vor allem finanzielle und identitätsbezogene Unterlagen wie Kontoauszüge, Gehaltsabrechnungen, Steuerbescheide, Ausweisdokumente, Wohnsitznachweise, Rechnungen oder andere administrative Nachweise. Sobald eines dieser Dokumente manipuliert wurde, wird die gesamte Entscheidungskette unsicher – vom Kreditscoring über die Mietbewerbung bis hin zu KYC-Prozessen, Onboarding und Betrugsprävention.

Historisch beruhte die Erkennung von Dokumentenbetrug auf manueller Prüfung: Eine Fachkraft verglich mehrere Dokumente, kontrollierte Beträge, Daten, Logos, Unterschriften oder Stempel und nutzte Erfahrung, um Unstimmigkeiten zu erkennen. Das bleibt wichtig, wird aber schnell unbeherrschbar, sobald die Volumina steigen.

Heute zeichnen sich drei große Ansätze ab: die visuelle Analyse des Dokumentenbildes, die Untersuchung der technischen Metadaten sowie konsistenzbasierte Prüfungen, die durch KI gestützt werden – wie sie Softwarelösungen wie Koncile ermöglichen.

Ziel ist nicht, die “beste” Methode auszuwählen, sondern zu verstehen, was jede abdeckt, wo ihre Grenzen liegen und wie sie sich in einem industriellen Workflow sinnvoll kombinieren lassen.

‍

‍

Methode 1: Python-Pakete für die visuelle Erkennung

Die erste Methode behandelt das Dokument zunächst nur als Bild. Der Inhalt (Beträge, Namen, Steuernummer) ist noch egal – es geht um die Frage: „Wurde dieses Bild nachträglich bearbeitet?“.

Dafür kommen Bildforensik-Pakete in Python zum Einsatz. Sie analysieren Pixel, Texturen, Kompressionsartefakte und wiederholte Muster, um Manipulationen sichtbar zu machen.

Typische Einsatzszenarien:

• manipulierte Ausweisdokumente (neues Foto, andere Personendaten)
• gefälschte Rechnungen mit ausgetauschten Logos oder Stempeln
• bearbeitete Steuerbescheide oder Lohnabrechnungen, die als Bild exportiert wurden

Stark sind diese Ansätze vor allem bei groben Manipulationen oder „Quick-and-dirty“-Fälschungen. Bei guter Bildqualität und sehr sauber gefälschten Vorlagen stoßen sie dagegen schnell an Grenzen.

Erklärung der Methode

In dieser Methode wird ein Dokument (z. B. Ausweis, Rechnung, Steuerbescheid) als reines Bild verarbeitet. Algorithmen prüfen zum Beispiel:

• Bildblöcke und Regionen: Wiederholen sich Muster oder Bereiche (Clone Detection)?
• Kompression und Rauschen: Gibt es Zonen, die anders komprimiert oder „körniger“ wirken?
• Konturen und Übergänge: Weisen bestimmte Kanten oder Flächen untypische Artefakte auf?

Typische Signale für Manipulation:

• ein ausgetauschtes Ausweisfoto mit anderem Hintergrund oder anderen Kanten
• nachträglich eingefügte Stempel oder Unterschriften, deren Textur sich klar unterscheidet
• ein Logo, das deutlich schärfer oder unschärfer ist als der Rest des Dokuments

Die visuelle Erkennung beantwortet also nicht die Frage, ob die dargestellten Beträge plausibel sind, sondern ob das Dokument als Bild „ehrlich“ wirkt.

Bespiel

‍

Die Python-Pakete

Python-Pakete für visuelle Erkennung werden häufig in R&D-Projekten oder als Basis für Proof-of-Concepts genutzt. Sie zeigen, was technisch möglich ist, sind aber selten „Out-of-the-box“-Lösungen für Fachabteilungen.

DocAuth (Python)

DocAuth ist ein Python-Projekt zur „Document Authentication“ und richtet sich an Fälle wie Ausweise, Zertifikate oder andere offizielle Dokumente.

Typische Funktionen:

• grundlegende Erkennung von Bildmanipulationen auf Ausweisen oder Zertifikaten
• Beispielskripte, um sensible Bereiche (Foto, Stempel, Unterschrift) genauer zu analysieren
• einfache Heatmaps oder Scores für verdächtige Regionen
• Einsatz als Einstiegspunkt oder Demonstrator in Pilotprojekten

Zu beachten: Das Projekt ist relativ einfach gehalten und nicht intensiv gepflegt – ideal für Experimente, weniger für Produktivumgebungen.

PhotosHolmes (Python)

PhotosHolmes ist eine Python-Bibliothek für digitale Bildforensik. Sie ist nicht speziell auf Ausweisdokumente ausgerichtet, aber die verwendeten Techniken lassen sich übertragen.

Typische Funktionen:

• Erkennung von kopierten/verschobenen Bildbereichen (Copy-Move-Fälschungen)
• Analyse lokaler Manipulationen in bestimmten Regionen des Bildes
• Visualisierung verdächtiger Zonen zur Unterstützung menschlicher Prüfer

Nützlich ist PhotosHolmes vor allem als Baustein, um einen bestehenden Workflow visuell zu „schärfen“.

pyIFD (Python Image Forgery Detection Toolkit)

pyIFD bündelt mehrere Bildforensik-Verfahren in einem Toolkit.

Typische Funktionen:

• Implementierungen verschiedener Erkennungsalgorithmen für Bildfälschungen
• Unterstützung gängiger Bildformate wie JPEG, PNG, TIFF
• Scripts, um Tests schnell auf einen Satz von Dokumentbildern auszuführen

pyIFD eignet sich gut für Experimente und interne Vergleichstests verschiedener Algorithmen, erfordert aber Prüfung von Wartungsstand und Kompatibilität.

Forensically (Web / Tool)

Forensically ist ein kostenloses, webbasiertes Forensik-Tool für Bilder (Clone Detection, Error Level Analysis usw.).

Typische Funktionen:

• visuelle Clone Detection innerhalb eines Dokuments
• Error-Level-Analyse, um lokale Bearbeitungen aufzudecken
• interaktive Werkzeuge für forensische Gutachten oder Einzelfallprüfungen

In vielen Teams dient Forensically als Schulungs- und Analysewerkzeug für komplexe Verdachtsfälle – nicht als direkt integrierte Massenlösung.

‍

Vergleich der Python-Pakete

‍

Vorteile der visuellen Erkennung

• gut geeignet, um offensichtliche Manipulationen auf digitalisierten Dokumenten aufzuspüren
• liefert visuelle Hinweise, die Prüferinnen und Prüfer bei Entscheidungen unterstützen
• sinnvoll als erste Filterstufe oder für Low-Volume-Workflows

Grenzen der visuellen Erkennung

• stark abhängig von der Bildqualität (verschwommene Fotos, schlechte Scans, Schatten)
• trifft keine Aussage über inhaltliche Plausibilität (Beträge, Namen, Zeiträume)
• schwer skalierbar und wartbar ohne dediziertes technisches Team

‍

Methode 2: Analyse von Dateimetadaten mit Open-Source-Tools und Python

Die zweite Methode betrachtet nicht die Oberfläche des Dokuments, sondern seine „technische Geschichte“. Digitale Dateien enthalten Metadaten wie:

• Erstellungs- und Änderungsdatum
• verwendete Software
• Gerätetyp (Scanner, Smartphone, Kamera)
• zusätzliche EXIF- oder XMP-Felder

Diese Metadaten lassen erkennen, ob ein Dokument so entstanden ist, wie es behauptet wird.

Beispiele:

• Ein angeblich direkt vom Steuerportal heruntergeladener Bescheid, der in Wahrheit einen Tag zuvor mit einem PDF-Editor bearbeitet wurde.
• Eine Lohnabrechnung, die formal korrekt aussieht, aber als Bild aus einer Bildbearbeitung heraus gespeichert wurde.
• Mehrere Dokumente in einem Dossier, die alle dieselbe auffällige Metadaten-Signatur tragen – ein Hinweis auf eine „Dokumentenfabrik“.

Erklärung der Methode

In dieser Methode werden Metadaten aus den Dateien ausgelesen und mit dem erwarteten Prozess abgeglichen. Geprüft werden u. a.:

• Erstellungs- und Änderungszeiten
• verwendete Software und Softwareversion
• Gerätetyp oder Kameramodell
• zusätzliche Felder, die bestimmte Tools automatisch setzen

Die Analyse beantwortet Fragen wie:

• „Ist es plausibel, dass dieses PDF von genau diesem System erzeugt wurde?“
• „Warum wurde dieser Steuerbescheid kurz vor dem Upload noch einmal mit einem anderen Tool verändert?“
• „Warum sehen drei angeblich unabhängige Dokumente technisch identisch aus?“

Metadaten liefern damit wertvolle Risikosignale – ersetzen aber keine inhaltliche Prüfung.

‍

Die Lösungen (Open Source & Python)

ExifTool (Open Source)

ExifTool ist das bekannteste Open-Source-Tool zur Extraktion technischer Metadaten (EXIF, XMP, IPTC usw.) aus Bilddateien und teilweise PDFs.

Typische Stärken:

• sehr breite Formatunterstützung
• etablierter Standard in vielen Workflows
• hervorragend für Batch-Verarbeitung in Skripten geeignet

Für die Erkennung von Dokumentenbetrug ist ExifTool vor allem hilfreich, um:

• Erstellungs- und Änderungsdaten auszuwerten
• verwendete Software oder Geräte zu identifizieren
• ungewöhnliche oder fehlende Metadatenfelder zu erkennen

Exiv2 (Open Source)

Exiv2 ist eine C++-Bibliothek mit CLI-Tool zur Lektüre und Bearbeitung von Metadaten in Bilddateien.

Typische Stärken:

• gute Integration in viele Open-Source-Projekte
• saubere API für C++-Anwendungen
• Fokus auf EXIF, IPTC und XMP in gängigen Bildformaten

Exiv2 eignet sich vor allem, wenn schon C++-basierte Bildverarbeitungssysteme im Einsatz sind und Metadaten-Checks integriert werden sollen.

hachoir-metadata (Python-Paket)

hachoir-metadata ist Teil des Hachoir-Ökosystems, einer Python-Bibliothek zum binären Parsen von Dateien.

Typische Stärken:

• Auslesen technischer Metadaten aus vielen Dateiformaten (nicht nur Bilder)
• einfache Integration in Python-Skripte und -Pipelines
• geeignet, um große Dateimengen automatisiert zu scannen

In der Erkennung von Dokumentenbetrug kann hachoir-metadata beispielsweise genutzt werden, um:

• systematisch Metadaten in Eingangsdokumenten auszuwerten
• eigene Regeln zu definieren („diese Software ist in legitimen Dokumenten nie vorhanden“)
• Metadaten-Signale mit anderen Scorings (z. B. visueller Check, inhaltliche Checks) zu kombinieren

‍

Vergleich der Metadaten-Tools

‍

Vorteile der Metadaten-Analyse

• deckt Unstimmigkeiten in der technischen Entstehungsgeschichte von Dateien auf
• lässt sich gut automatisieren und auf große Dokumentmengen anwenden
• hilft, Muster und wiederkehrende Betrugsschemata zu erkennen

Grenzen der Metadaten-Analyse

• bewertet nicht den inhaltlichen Wahrheitsgehalt (Beträge, Namen, Zeiträume)
• Metadaten können entfernt oder bewusst manipuliert werden
• die Interpretation erfordert Kontextwissen über reguläre Prozesse und Systeme

‍

Methode 3: Konsistenztests mit KI-gestützter Software wie Koncile

Die dritte Methode orientiert sich am Vorgehen erfahrener Sachbearbeiter: Sie prüfen, ob die Gesamtheit der Dokumente und Informationen eine stimmige Geschichte erzählt.

Hier geht es nicht mehr nur um Bilder oder Metadaten, sondern um den inhaltlichen Abgleich:

• innerhalb eines Dokuments (z. B. Brutto/Netto auf einer Lohnabrechnung)
• zwischen mehreren Dokumenten (Kontoauszug, Lohnabrechnung, Steuerbescheid)
• im Kontext des beantragten Produkts (Kredit, Mietobjekt, Limit usw.)

Software wie Koncile, Inscribe oder Resistant AI kombiniert dafür:

• spezialisiertes OCR
• strukturierte Datenauswertung
• Geschäftsregeln
• KI-Modelle zur Anomalie- und Mustererkennung

Erklärung der Methode

Typischer Ablauf:

1. Datenextraktion per OCR
   Beträge, Daten, IBAN, Arbeitgeber, Adressen, Zeiträume, Steuernummern etc. werden aus Dokumenten wie Kontoauszügen, Lohnabrechnungen, Steuerbescheiden, Rechnungen und US-Tax-Returns gelesen.
2. Strukturierung und Normalisierung
   Formate werden vereinheitlicht (Datumsformate, Währungen), Zeilen werden Kategorien zugeordnet (Einkommen, Fixkosten, Steuern, Salden usw.).
3. Geschäftsregeln und Konsistenzchecks
   Beispiele:
   • Verhältnis Brutto/Netto/Abzüge auf Lohnabrechnungen
   • Abgleich zwischen deklarierten Einkommen und tatsächlichen Zahlungsströmen auf dem Kontoauszug
   • Plausibilität der Zwischensalden im Steuerbescheid
   • Konsistenz von Adresse, Arbeitgeber und Zeiträumen über verschiedene Dokumente hinweg
4. KI-gestützte Anomalieerkennung
   Modelle lernen, wie „normale“ Dossiers aussehen, und flaggen ungewöhnliche Muster, etwa:
   • Einkommen, die nicht zum Profil passen
   • Sprunghafte Veränderungen von Monat zu Monat
   • Kombinationen von Dokumenten, die in legitimen Dossiers kaum vorkommen

Damit geht es nicht mehr nur um „gefälschtes PDF oder nicht“, sondern um die Frage: „Ist diese finanzielle und biografische Geschichte in sich plausibel?“.

Beispiele für Lösungen (AI powered)

Koncile

Koncile fokussiert sich auf Finanz- und Verwaltungsdokumente in Prozessen wie Kreditvergabe, Mieterscreening oder Kunden-Onboarding.

Typische Funktionen:

• OCR-Extraktion speziell für Kontoauszüge, Lohnabrechnungen, Steuerbescheide, Rechnungen und ähnliche Dokumente
• Strukturierung der Daten in Dossier-Modelle (z. B. Kreditantrag, Mietdossier)
• eingebettete Geschäftsregeln zu Einkommen, Ausgaben, Salden und Zeiträumen
• KI-gestützte Risiko- und Konsistenzbewertung
• API-first-Ansatz zur Integration in bestehende Workflows

Inscribe

Inscribe richtet sich an Banken und Fintechs und konzentriert sich auf Dokumentenbetrug im Onboarding und Underwriting.

Typische Funktionen:

• Analyse von Bank Statements, Pay Stubs, Tax Documents und IDs
• Kombination von Bildforensik, Metadatenanalyse und Datenkonsistenzchecks
• Fokus auf „hidden inconsistencies“, also versteckte Unstimmigkeiten in Beträgen, Daten oder Dokumentstrukturen

Resistant AI

Resistant AI bietet eine mehrschichtige „Document Forensics“-Plattform für Finanzinstitute mit sehr hohen Volumina.

Typische Funktionen:

• Prüfung von Bank Statements, Payslips, Nebenkostenabrechnungen, Steuerformularen und weiteren Belegen
• hunderte von Signalen aus Dateistruktur, Inhalt und Manipulationsmustern
• Ermittlung eines Risikoprofils pro Dokument und pro Dossier
• Integration in KYC-, Kredit- und Monitoring-Prozesse

‍

Vergleich der KI-gestützten Lösungen

‍

Vorteile der Konsistenzprüfung

• bildet das tatsächliche Entscheidungsverhalten erfahrener Sachbearbeiter nach – nur skalierbar
• erkennt Betrugsfälle, die mit reiner Bild- oder Metadatenanalyse kaum auffallen würden
• lässt sich direkt in bestehende Prozesse integrieren (APIs, Workflows, Dashboards)

Grenzen der Konsistenzprüfung

• erfordert initiale Modellierung von Dokumenttypen, Regeln und Anwendungsfällen
• setzt ein gewisses Data- und Process-Maturity-Level auf Kundenseite voraus
• ersetzt nicht jede manuelle Prüfung, reduziert aber die Anzahl der Dossiers, die überhaupt manuell gesichtet werden müssen

Zu beachten (Fazit)

Keine der drei Methoden – Bildforensik, Metadatenanalyse oder Konsistenzprüfung – löst das Problem Dokumentenbetrug allein. In Kombination entsteht jedoch ein deutlich robusteres Schutzsystem:

• visuelle Erkennung filtert grobe und schnelle Fälschungen
• Metadatenanalyse deckt technische Unstimmigkeiten auf
• KI-gestützte Konsistenzprüfungen bewerten die inhaltliche Plausibilität des gesamten Dossiers

Eine Plattform wie Koncile fokussiert sich auf diesen letzten, geschäftsnahen Schritt und integriert sich gleichzeitig mit vorgelagerten Prüfungen. Ziel ist nicht, jedes Risiko auf Null zu senken – sondern Dokumentenbetrug so aufwendig und riskant zu machen, dass er im Tagesgeschäft zur Ausnahme wird.

‍

zur Erkennung von Dokumentenbetrug