logo
Rechnungsbetrug

Eine gefälschte Rechnung sieht aus wie eine echte — bis die Überweisung auf dem falschen Konto landet

Buchhaltungsteams und Finanzabteilungen verarbeiten täglich Dutzende Rechnungs-PDFs. Betrüger wissen das. Sie fangen eine legitime Rechnung ab, ändern die IBAN oder den Betrag im PDF-Editor und schicken die Datei weiter. Die Sichtprüfung erkennt nichts — die Analyse der Dateistruktur schon.

Auch verfügbar in:🇬🇧 English🇫🇷 Français🇪🇸 Español🇮🇹 Italiano🇳🇱 Nederlands🇵🇱 Polski
~3 Sek.
pro Dokument
35 Prüfungen
forensische Schichten
Ab $15
pro Monat
1.500+
Dok./Monat mit Growth
Geltungsbereich

HTPBE? analysiert die strukturelle Schicht des PDF-Dokuments — die Schicht, die alle Änderungen nach dem ursprünglichen Export aufzeichnet. Wir prüfen keine Bankdaten in Echtzeit und keine handelsrechtliche Existenz des Lieferanten.

Gibt HTPBE? bei einer Rechnung INCONCLUSIVE zurück, hängt die Interpretation vom Kontext ab: Bei einem Lieferanten, der ein anerkanntes Buchhaltungsprogramm nutzt (DATEV, SAP, Xero, Sage), ist INCONCLUSIVE ein starkes Warnsignal — echte Rechnungen tragen die Signatur ihrer Buchhaltungssoftware. Bei einem Kleinunternehmer, der legitim mit Word fakturiert, ist INCONCLUSIVE das erwartete Standardergebnis.

So sieht es aus

Ein REST-Aufruf, ein deterministisches Ergebnis

PDF einreichen. Die API gibt INTACT, MODIFIED oder INCONCLUSIVE mit benannten Markern zurück — in etwa drei Sekunden.

Konkrete Beispiele

So sieht Rechnungsbetrug in der Praxis aus

Fünf reale Betrugsmuster, die wir auf der strukturellen PDF-Schicht erkennen.

01

IBAN-Manipulation (Business Email Compromise)

Das häufigste Muster beim Zahlungsbetrug. Der Angreifer fängt eine echte Lieferantenrechnung ab — oft über ein kompromittiertes E-Mail-Konto — und ändert die IBAN im PDF-Editor. Die weitergeleite Rechnung sieht identisch aus. Die xref-Tabelle verrät die inkrementelle Aktualisierung: ein zweiter Querverweisabschnitt, der nach dem Export durch die Buchhaltungssoftware hinzugefügt wurde.

02

Überhöhter Rechnungsbetrag vor Zahlung

Ein Lieferant stellt 8.500 Euro in Rechnung. Bevor die Buchhaltung die Zahlung freigibt, öffnet jemand — intern oder extern — das PDF und ändert den Betrag auf 14.200 Euro. Das Producer-Feld zeigt nun einen generischen PDF-Editor, obwohl die Originalrechnung aus DATEV oder SAP stammte — eine sofort erkennbare strukturelle Inkonsistenz.

03

Vollständig erfundene Rechnung

Ein fiktiver Subunternehmer reicht Rechnungen für nie erbrachte Leistungen ein. Das PDF wird von Grund auf in Word oder einem Online-Generator erstellt. Das Producer-Feld verrät die verwendete Tool-Kette (Microsoft Word, wkhtmltopdf, Chrome Headless) — niemals die eines echten Buchhaltungsprogramms.

04

Datumsmanipulation für Zahlungsziel

Eine am 30. des Monats ausgestellte Rechnung wird im PDF-Editor auf den 1. vordatiert, um eine Vertragsklausel auszulösen oder das 30-Tage-Zahlungsziel zu verschieben. Der ModDate-Zeitstempel in den PDF-Metadaten liegt vor dem behaupteten Ausstellungsdatum — ein deterministisches strukturelles Signal.

05

Doppelte Rechnung mit geänderter Rechnungsnummer

Eine legitime Rechnung wird dupliziert, die Rechnungsnummer manuell erhöht und ein zweites Mal zur Zahlung eingereicht. Beide Versionen teilen dieselbe CreationDate, denselben Producer und dieselben Schrift-Subsets — der Unterschied liegt ausschließlich in der manuell geänderten Rechnungsnummer im Inhaltsstrom.

Das Ausmaß

43 %
der Unternehmen berichten von mindestens einem Überweisungsbetrug-Versuch im vergangenen Jahr
130.000 €
durchschnittlicher Schaden pro erfolgreichem Zahlungsbetrug in Europa
~3 Sek.
pro Rechnung analysiert via API

Warum Ihre bisherigen Kontrollen nicht ausreichen

ERP-Systeme extrahieren Rechnungsdaten. Sie prüfen nicht die Datei selbst.

Drei-Wege-Abgleich prüft Beträge. Er prüft nicht den Ursprung des PDFs.

ERP-Systeme (SAP, Oracle, Xero, DATEV) und der Drei-Wege-Abgleich (Bestellung — Wareneingang — Rechnung) prüfen die Konsistenz extrahierter Daten. Sie können nicht feststellen, ob die PDF-Datei nach der Ausstellung durch den Lieferanten verändert wurde. OCR-Tools lesen gedruckte Zahlen — sie sehen weder die xref-Tabelle noch das Producer-Feld. HTPBE? analysiert die PDF-Dateistruktur selbst und liefert deterministisches Forensik-Feedback vor der Buchung.

Ergebnis in unter 3 Sekunden30 bis 1.500+ Dokumente/MonatAb $15/Monat
So funktioniert es

Fünf forensische Schichten, ein deterministisches Ergebnis

Jedes empfangene PDF durchläuft dieselbe strukturelle Pipeline — ohne Modelltraining, ohne zu konfigurierende Schwellenwerte.

01

Metadaten-Analyse

Erstellungs- und Änderungszeitstempel, Producer- und Creator-Felder, XMP-Metadaten — die erste Schicht deckt grundlegende Manipulationen auf.

02

Dateistruktur

xref-Tabellen, Trailer-Kette, inkrementelle Aktualisierungen. Jede Änderung nach dem Export hinterlässt hier eine strukturelle Spur.

03

Digitale Signaturen

Integrität der Signaturkette und Änderungen nach der Signierung — Signale mit deterministischem Sicherheitsniveau.

04

Inhaltsintegrität

Schriften, Objekte, eingebettete Inhalte, Seitenmontage. Mehr-Sitzungs-Änderungen und eingefügte Objekte sind auf dieser Ebene sichtbar.

05

Ergebnis mit Markern

Deterministisches Ergebnis: INTACT / MODIFIED / INCONCLUSIVE, mit benannten Markern für jeden Befund — geeignet für den Prüfpfad.

Die vollständige 5-Schichten-Analyse ansehen
Dokumenttypen

Rechnungstypen und Geschäftsdokumente, die wir prüfen

Jeder unten aufgeführte Typ wird auf der strukturellen Dateiebene analysiert — nicht als gerendertes Bild.

Lieferantenrechnung PDFProformarechnung PDFGutschrift PDFDienstleistungsvertrag PDFLieferschein PDFAngebot PDFLieferantenkontoauszug PDF
Was HTPBE? prüft

Erkennungsfähigkeiten

Deterministische Struktursignale. Keine probabilistischen Scores, kein Modelltraining.

Inkrementelle Aktualisierung (xref)

Eine von Buchhaltungssoftware generierte Rechnung enthält eine einzige Querverweistabelle. Jedes Öffnen in einem PDF-Editor und erneute Speichern fügt einen zweiten xref-Abschnitt hinzu — ein unwiderlegbarer struktureller Nachweis der nachträglichen Änderung, unabhängig davon, ob die Änderung visuell sichtbar ist.

Producer-Inkonsistenz

Anerkannte Buchhaltungsprogramme (DATEV, SAP, Xero, Sage, Lexware, QuickBooks) hinterlassen eine spezifische Producer-Signatur. Zeigt das Producer-Feld Microsoft Word, LibreOffice oder ein generisches Tool bei einer Rechnung, die angeblich aus einem ERP stammt, ist die Inkonsistenz ein starkes Warnsignal.

Zeitstempel-Differenz

Bei einer echten Rechnung sind ModDate und CreationDate identisch oder liegen sehr nahe beieinander. Eine Abweichung von mehreren Stunden, Tagen oder Wochen bei einem als „original" vorgelegten Dokument signalisiert eine nachträgliche Bearbeitung.

Digitale Signaturkette

Rechnungen, die von zertifizierten ERP-Systemen oder Diensten wie DocuSign oder Adobe Sign digital signiert wurden, tragen eine gültige Signaturkette. Gefälschte Dokumente weisen eine ungültige oder fehlende Kette auf — unabhängig vom visuellen Erscheinungsbild erkennbar.

Schrift-Subset-Divergenz

Echte Rechnungen aus einer einzigen Software verwenden konsistente Schrift-Subsets über das gesamte Dokument hinweg. Rechnungen mit nachträglich geändertem Betrag oder IBAN zeigen oft zwei verschiedene Subset-Präfixe — ein charakteristisches Merkmal einer Zusammensetzung aus mehreren Quellen.

Bild-Artefakte in Logos

In echten Rechnungen sind Logos Teil der Dokumentvorlage. Ein von einer Website kopiertes und manuell eingefügtes Logo erscheint als redundanter Bildstrom mit abweichenden Komprimierungsmerkmalen — charakteristisch für eine Fälschung.

Integration in wenigen Minuten

Zwei HTTP-Aufrufe, um jede Rechnung zu prüfen

Entscheider können diesen Abschnitt überspringen — für Entwickler besteht die Integration aus zwei HTTP-Aufrufen.

Schritt 1 — PDF einreichen

curl -X POST https://api.htpbe.tech/v1/analyze \
  -H "Authorization: Bearer $HTPBE_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{"url": "https://your-storage/lieferantenrechnung-2024.pdf"}'

Schritt 2 — Ergebnis abrufen

{
  "id": "r3c4h5n6-7u8n-9g0a-1b2c-3d4e5f6a7b8c",
  "status": "modified",
  "modification_confidence": "high",
  "modification_markers": [
    "Zwei xref-Tabellen — inkrementelle Aktualisierung",
    "Änderungsdatum 2 Tage nach Erstellungsdatum",
    "PDF-Editor als Producer erkannt"
  ],
  "producer": "Adobe Acrobat Pro",
  "creator": "DATEV",
  "creation_date": 1709251200,
  "modification_date": 1709424000,
  "has_digital_signature": false,
  "xref_count": 2,
  "has_incremental_updates": true
}

Rechnung aus DATEV generiert — legitime Quelle. Zwei Tage später wurde die Datei in Adobe Acrobat Pro erneut geöffnet und gespeichert, wodurch eine zweite xref-Tabelle entstand. Ergebnis: modified mit hoher Konfidenz. Typisches Szenario: IBAN oder Betrag vor der Weiterleitung geändert.

API-Schlüssel erhalten — Testschlüssel inklusiveVollständige API-Dokumentation

Kundenstimmen

Teams, die Dokumentenbetrug gestoppt haben

Compliance-, Finanz- und Risikoteams nutzen HTPBE?, um manipulierte PDFs zu erkennen, bevor sie zu kostspieligen Fehlern werden.

Caught an invoice where the total had been changed by less than a thousand dollars. Without this I would have approved it without a second look.

Sarah M.

AP Manager

United States

We had three applicants in the same week with bank statements that looked completely fine. Two of them were flagged as modified. You simply cannot see this by reading the document — it is in the file structure.

Lars V.

Risk Analyst, Online Lending

Netherlands

Salary slips were coming with altered figures. We identified two problematic files before the placement was finalised.

Priya K.

HR Operations Lead

India

Since we started checking documents this way, we stopped two applications early in the process that would have been very difficult to reverse later.

Julien R.

Fraud Analyst, Fintech

France

Some applicants were sending PDFs that looked authentic but had been edited in ways not visible to the eye. We now ask for verified originals when something is flagged. Already saved us from a few bad decisions.

Marta S.

Compliance Coordinator

Spain

One invoice was caught because there was a mismatch between the document dates and structure. That particular case would have cost us significantly.

Tariq A.

Finance Manager

United Arab Emirates

Pricing

Self-serve plans. No sales call, no procurement process.

Starter

$15/mo

30 checks/mo

Manual spot-checks and integration testing

Growth

$149/mo

350 checks/mo

Active document processing pipelines

Pro

$499/mo

1,500 checks/mo

High-volume automation and API integrations

Enterprise (unlimited, on-premise available) — see full pricing and docs

Secure your workflowView API docs

API key on signup. Free test environment on every plan. No card required.

FAQ

Häufig gestellte Fragen

Ja. Eine IBAN-Änderung im PDF erfordert das Öffnen und erneute Speichern der Datei, was eine inkrementelle Aktualisierung in der xref-Kette hinterlässt. Das Ergebnis lautet modified mit dem entsprechenden Marker — auch wenn die Änderung optisch nicht erkennbar ist.
Ja. Die Analyse ist unabhängig von der Quellsoftware — jede empfangene PDF-Datei wird inspiziert. Echte Rechnungen aus DATEV, SAP, Xero, Sage, Lexware und anderen Programmen tragen erkennbare Producer-Signaturen. In Word oder generischen Tools erstellte Rechnungen tragen nicht-institutionelle Signaturen, die automatisch gemeldet werden.
Der Drei-Wege-Abgleich (Bestellung, Wareneingang, Rechnung) prüft die Konsistenz extrahierter Daten zwischen drei Dokumenten. HTPBE? prüft, ob die PDF-Datei selbst nach der Ausstellung verändert wurde — zwei komplementäre Kontrollschichten. Eine geänderte IBAN besteht den Drei-Wege-Abgleich problemlos, wenn keine Originalbestellung zum Vergleich vorliegt.
HTPBE? gibt INCONCLUSIVE zurück, wenn eine Rechnung auf einem Desktop-Rechner erstellt wurde und keine Bearbeitungsspuren aufweist. Bei Lieferanten mit DATEV, SAP oder Xero ist INCONCLUSIVE ein starkes Warnsignal. Bei einem Kleinunternehmer, der mit Word fakturiert, ist es das erwartete Standardergebnis. Kombinieren Sie dieses Ergebnis mit Bild-Artefakten, Signatur-Merkmalen und Zeitstempeln, bevor Sie eine Entscheidung treffen.
Verwandte Themen

Verwandte Lösungen und Leitfäden

Technischer Leitfaden

Invoice Tampering Detection

Englische Version — PDF-Forensik für Rechnungen für internationale Finance- und Compliance-Teams.

Mehr erfahren
Technischer Leitfaden

Gefälschte Gehaltsabrechnung erkennen

Dieselbe forensische Analyse für Lohnabrechnungen — nützlich für HR-Onboarding und Kreditprüfung.

Mehr erfahren
Lösung

Document Fraud Detection API

Gesamtübersicht der HTPBE?-API für alle Arten von Geschäftsdokumenten.

Mehr erfahren

Sichern Sie Ihre Zahlungen ab

Konto erstellen — API-Schlüssel bei der Registrierung, Testumgebung auf jedem Plan.
Ab $15/Monat. Kein Vertriebsgespräch. Jederzeit kündbar.

Zahlungen absichernAPI-Dokumentation