Gehaltsabrechnungsbetrug

Eine gefälschte Gehaltsabrechnung sieht aus wie eine echte — bis man die Dateistruktur liest

HR-Onboarding-Teams, Kredit-Underwriter und Vermieter akzeptieren Gehaltsabrechnungs-PDFs als Einkommensnachweis. Betrüger wissen das. Sie erstellen die Abrechnung in Microsoft Word mit der Vorlage des angeblichen Arbeitgebers, erhöhen das Gehalt, exportieren als PDF und laden hoch. Die optische Prüfung besteht — die strukturelle nicht.

Auch verfügbar auf:🇬🇧 English 🇫🇷 Français 🇪🇸 Español 🇳🇱 Nederlands 🇮🇹 Italiano 🇵🇱 Polski

~3 Sek.

pro Dokument

35 Checks

forensische Ebenen

Ab $15

pro Monat

1.500+

Dokumente/Monat im Growth-Plan

Umfang

htpbe? analysiert die strukturelle Ebene der PDF-Datei — die Ebene, die jede Bearbeitung aufzeichnet, auch unsichtbare. Wir prüfen keine Hologramme, Handyfotos oder Ausweisbiometrie. Wenn Ihr Betrugsproblem eine digital gefälschte oder manipulierte Gehaltsabrechnung ist, sind wir das präziseste Werkzeug dafür.

Wenn htpbe? bei einer Gehaltsabrechnung INCONCLUSIVE zurückgibt, ist das kontextabhängig: Bei großen Arbeitgebern (DATEV, SAP HCM, Workday Payroll) ist INCONCLUSIVE ein starkes Betrugsindiz — echte Abrechnungen dieser Arbeitgeber tragen die Lohnsystemsignatur. Bei Kleinarbeitgebern, die legitim mit Word arbeiten, ist INCONCLUSIVE der erwartete Normalfall.

So sieht es aus

Ein REST-Aufruf, ein eindeutiges Urteil

Das PDF einreichen. Die API gibt INTACT, MODIFIED oder INCONCLUSIVE mit benannten Markern zurück — in etwa drei Sekunden.

So sieht es konkret aus

So sehen gefälschte und manipulierte Gehaltsabrechnungen in der Praxis aus

Drei reale Betrugsmethoden, die wir auf der strukturellen PDF-Ebene erkennen.

Abrechnung in Microsoft Word von Grund auf gefälscht

Kein Arbeitgeber beteiligt. Der Bewerber erstellt die Abrechnung in Word mit dem Logo des angeblichen Arbeitgebers, trägt ein überhöhtes Gehalt ein und exportiert als PDF. Das Producer-Feld zeigt Microsoft Word — nicht das Lohnprogramm (DATEV, Sage, Lexware), aus dem echte Abrechnungen stammen.

Echte Abrechnung mit nachträglich geändertem Gehalt

Der Bewerber besitzt eine echte Abrechnung, aber das Gehalt reicht nicht für die gewünschte Kreditsumme oder Mietfreigabe. Er öffnet das PDF in einem PDF-Editor, ändert den Betrag und speichert erneut. Die xref-Tabelle zeigt eine inkrementelle Aktualisierung — der strukturelle Nachweis der nachträglichen Bearbeitung.

Lohnabrechnungsgenerator ohne realen Arbeitgeber

Online-Generatoren versprechen „schnelle Lohnabrechnungen" und liefern PDFs mit erfundenen Firmenköpfen. Das Producer-Feld verrät die Generator-Toolchain (häufig Chrome Headless, wkhtmltopdf, ReportLab) — niemals das Lohnsystem eines echten Arbeitgebers.

Das Ausmaß des Problems

~10–15%

der Kredit- und Mietanträge enthalten manipulierte Einkommensnachweise

€15.000+

durchschnittlicher Schaden pro betrügerischem Kreditantrag mit gefälschten Lohnnachweisen

~3 Sek.

Analysezeit pro Gehaltsabrechnung über die API

Warum bestehende Prüfungen das übersehen

KYC-Plattformen verifizieren die Identität — die Datei prüfen sie nicht.

OCR-Extraktion liest Beträge. Sie erkennt nicht, woher das PDF stammt.

KYC-Plattformen (Onfido, IDnow, Jumio, Sumsub) extrahieren Daten per OCR und verifizieren Identitäten — ob das zugrundeliegende PDF aus dem Lohnsystem des Arbeitgebers stammt oder auf einem Desktop gefälscht wurde, können sie nicht erkennen. Einkommensbestätigungs-APIs stützen sich auf Open-Banking-Daten, die nur einen Teilausschnitt liefern. htpbe? prüft die Dateistruktur (Producer, xref, Metadaten, Bildstreams) und liefert strukturelle Betrugssignale, bevor die Kreditzusage oder der Mietvertrag erteilt wird.

Ergebnisse in unter 3 Sekunden·30 bis 1.500+ Dokumente/Monat·Ab $15/Monat

So funktioniert es

Fünf forensische Ebenen, ein eindeutiges Urteil

Jedes PDF durchläuft dieselbe strukturelle Analyse — kein Modelltraining, keine Schwellenwerte.

Metadaten-Analyse

Erstellungs- und Änderungszeitstempel, Producer- und Creator-Felder, XMP-Metadaten — die erste Ebene deckt grundlegende Manipulationen auf.

Dateistruktur

Xref-Tabellen, Trailer-Kette, inkrementelle Aktualisierungen. Jede Bearbeitung nach dem Export hinterlässt hier einen strukturellen Fingerabdruck.

Digitale Signaturen

Integrität der Signaturkette und Änderungen nach der Signatur liefern deterministische Marker mit Sicherheits-Konfidenz.

Inhaltsintegrität

Schriften, Objekte, eingebettete Inhalte, Seitenaufbau. Mehr-Sitzungs-Bearbeitungen und eingefügte Objekte sind auf dieser Ebene sichtbar.

Urteil mit Markern

Deterministisches Ergebnis: INTACT / MODIFIED / INCONCLUSIVE, mit benannten Markern für jeden Befund — geeignet für Prüfprotokolle.

Vollständige 5-Ebenen-Analyse anzeigen

Dokumenttypen

Gehaltsabrechnungen und verwandte Einkommensnachweise, die wir analysieren

Jeder der folgenden Typen wird auf der strukturellen Dateiebene analysiert — nicht als gerendertes Bild.

Gehaltsabrechnung PDFLohnabrechnung PDFVerdienstbescheinigung PDFArbeitgeberbescheinigung PDFLohnsteuerbescheinigung PDFEinkommensnachweis PDFGehaltsnachweis PDF

Was htpbe? prüft

Erkennungsfähigkeiten

Deterministische strukturelle Signale. Keine Wahrscheinlichkeitswerte, kein Modelltraining.

Producer-Signatur der Abrechnung

Echte Gehaltsabrechnungen großer Arbeitgeber stammen aus Lohnprogrammen (DATEV, SAP HCM, Sage HR, Workday Payroll, ADP). Zeigt das Producer-Feld Microsoft Word, LibreOffice, Google Docs oder Chrome Headless, wurde die Abrechnung auf einem Desktop erstellt — bei Kleinarbeitgebern legitim, bei einem DAX-Konzern als Absender ein hochkonfidentes Betrugsindiz.

Spur inkrementeller Aktualisierungen

Ein sauberer Export aus einem Lohnsystem enthält eine einzige xref-Tabelle. Wird das Dokument anschließend in einem PDF-Editor geöffnet und gespeichert, entsteht eine zweite xref-Tabelle — der strukturelle Nachweis einer nachträglichen Bearbeitung von Gehalt oder Datum.

Digitale Signaturkette

Viele große deutsche Arbeitgeber signieren Lohnabrechnungen digital (z. B. über DATEV Unternehmen online oder den ELSTER-Workflow). Echte Dokumente tragen eine gültige Signaturkette. Fälschungen haben entweder keine Signatur oder eine ungültige Kette — unabhängig vom visuellen Erscheinungsbild.

Bildartefakte bei nachträglich eingefügten Logos

Echte Firmenbriefköpfe sind als Teil der Vorlage in Schrift- und Bildobjekte eingebettet. Nachträglich eingefügte Logos aus öffentlichen Webseiten erscheinen als redundante Bildstreams mit abweichenden Kompressionseigenschaften — ein struktureller Fingerabdruck der Fälschung.

Zeitstempellücke bei Änderungen

Bei einer echten Abrechnung stimmt ModDate mit dem CreationDate überein oder liegt nur Sekunden davon entfernt (Single-Session-Export). Eine Modifikation Tage oder Wochen nach Ausstellung ist bei einer „frisch erstellten" Abrechnung ein hochkonfidentes Indiz für nachträgliche Bearbeitung.

Schrift-Subset-Divergenz

Abrechnungen aus Lohnsystemen verwenden ein einheitliches Schrift-Subset über das gesamte Dokument. Wurden Beträge nachträglich eingefügt, treten häufig Subset-Präfix-Verschiebungen auf — ein Fingerabdruck für die Mehrsourcen-Erstellung.

In Minuten integriert

Zwei HTTP-Aufrufe genügen zur Prüfung jeder Gehaltsabrechnung

Käufer können diesen Abschnitt überspringen — Entwickler, die Integration besteht aus zwei HTTP-Aufrufen.

Schritt 1 — PDF übermitteln

curl -X POST https://api.htpbe.tech/v1/analyze \
  -H "Authorization: Bearer $HTPBE_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{"url": "https://your-storage/bewerber-gehaltsabrechnung.pdf"}'

Schritt 2 — Verdikt auswerten

{
  "id": "g1e2h3a4-5l6t-7s8a-9b0r-a1b2c3d4e5f6",
  "status": "modified",
  "modification_confidence": "high",
  "modification_markers": [
    "Zwei Querverweistabellen — inkrementelle Aktualisierung",
    "Modifikationsdatum 14 Tage nach Erstellungsdatum",
    "PDF-Editor als Producer erkannt"
  ],
  "producer": "Adobe Acrobat Pro",
  "creator": "DATEV Lohn und Gehalt",
  "creation_date": 1707091200,
  "modification_date": 1708300800,
  "has_digital_signature": false,
  "xref_count": 2,
  "has_incremental_updates": true
}

Original aus DATEV Lohn und Gehalt — institutionelle Quelle. 14 Tage später wurde das Dokument in Adobe Acrobat Pro geöffnet und erneut gespeichert, wodurch eine zweite xref-Tabelle entstand. Verdikt: modified mit hoher Konfidenz. Der Bewerber hat eine echte DATEV-Abrechnung nach Ausstellung bearbeitet — vermutlich um den Gehaltsbetrag vor der Kreditbeantragung zu erhöhen.

API-Schlüssel holen — kostenlose Testschlüssel inklusive Vollständige API-Dokumentation

Kundenstimmen

Teams, die Dokumentenbetrug gestoppt haben

Compliance-, Finanz- und Risiko-Teams nutzen htpbe?, um manipulierte PDFs zu erkennen, bevor sie zu kostspieligen Fehlern werden.

Caught an invoice where the total had been changed by less than a thousand dollars. Without this I would have approved it without a second look.

Sarah M.

AP Manager

United States

We had three applicants in the same week with bank statements that looked completely fine. Two of them were flagged as modified. You simply cannot see this by reading the document — it is in the file structure.

Lars V.

Risk Analyst, Online Lending

Netherlands

Salary slips were coming with altered figures. We identified two problematic files before the placement was finalised.

Priya K.

HR Operations Lead

India

Since we started checking documents this way, we stopped two applications early in the process that would have been very difficult to reverse later.

Julien R.

Fraud Analyst, Fintech

France

Some applicants were sending PDFs that looked authentic but had been edited in ways not visible to the eye. We now ask for verified originals when something is flagged. Already saved us from a few bad decisions.

Marta S.

Compliance Coordinator

Spain

One invoice was caught because there was a mismatch between the document dates and structure. That particular case would have cost us significantly.

Tariq A.

Finance Manager

United Arab Emirates

FAQ

Häufig gestellte Fragen

Ja. Die Analyse ist Producer-agnostisch — sie untersucht jedes eingehende PDF. Echte Abrechnungen aus DATEV, Sage HR, SAP HCM, Lexware Lohn+Gehalt, Personio, ADP und anderen Lohnsystemen tragen erkennbare Producer-Signaturen. Abrechnungen, die in Word, Google Docs oder generischen PDF-Tools erstellt wurden, tragen nicht-institutionelle Signaturen, die htpbe? entsprechend kennzeichnet.

KYC-Plattformen (IDnow, Onfido, Jumio) verifizieren Identitäten und extrahieren Daten per OCR. Open-Banking-APIs (FinAPI, Tink, Plaid) liefern Kontodaten direkt von der Bank. Keine von beiden prüft das eingereichte Gehaltsabrechnungs-PDF auf strukturelle Manipulation. htpbe? prüft die Datei selbst — ergänzend zu KYC und Open Banking, nicht als Ersatz.

Ja. Jede Gehaltsänderung erfordert das Öffnen des PDFs in einem Editor und das erneute Speichern — dabei wird eine inkrementelle Aktualisierung an die xref-Kette angehängt. Das Verdikt lautet modified mit dem Inkrement-Marker, auch wenn das visuelle Layout einwandfrei aussieht.

htpbe? gibt INCONCLUSIVE zurück, wenn eine Abrechnung auf einem Desktop erstellt wurde und keine Bearbeitungsspur vorliegt. Die Bedeutung hängt vom Arbeitgeber ab: Bei einem DAX-Konzern oder einem Mittelständler mit DATEV oder SAP HCM ist INCONCLUSIVE ein hochkonfidentes Betrugsindiz — echte Abrechnungen tragen die Lohnsystemsignatur. Bei Kleinarbeitgebern, die legitim Word verwenden, ist INCONCLUSIVE der erwartete Normalfall. Kombinieren Sie INCONCLUSIVE stets mit Bildstream-Artefakten, Signaturhashes und dem Modifikationszeitstempel, bevor Sie einen Antrag ablehnen.

Verwandte Themen

Workflow absichern

Konto erstellen — API-Schlüssel bei der Registrierung, kostenlose Testumgebung in jedem Plan.
Ab $15/Monat. Kein Verkaufsgespräch. Jederzeit kündbar.

Workflow absichern API-Dokumentation