logo
Gehaltsabrechnung Fälschung

Gefälschte Gehaltsabrechnungen bestehen die visuelle Prüfung — strukturelle Forensik nicht

HR-Teams, Kreditanalysten und Mietprüfer akzeptieren Gehaltsabrechnungs-PDFs als Einkommensnachweis. Betrüger erstellen diese Dokumente in Microsoft Word nach, tragen ein höheres Gehalt ein und exportieren als PDF. Die visuelle Kontrolle erkennt nichts — die Strukturanalyse schon.

~3 Sek.
pro Dokument
47 Prüfungen
forensische Schichten
Ab $15
pro Monat
1.500+
Docs/Monat mit Pro
Auch verfügbar in:🇬🇧 English🇫🇷 Français🇪🇸 Español🇮🇹 Italiano🇳🇱 Nederlands🇵🇱 Polski
Umfang

HTPBE? analysiert die Strukturschicht der PDF-Datei — die Schicht, die jede Änderung aufzeichnet, auch unsichtbare. Wir prüfen keine Hologramme, Handyfotos oder biometrische Merkmale. Wenn Ihr Betrugsproblem digital gefälschte oder manipulierte Gehaltsabrechnungs-PDFs betrifft, sind wir das präziseste Werkzeug dafür.

Wenn HTPBE? INCONCLUSIVE zurückgibt, ist die Interpretation kontextabhängig: Bei einem Großunternehmen (SAP HR, Sage HR, DATEV) ist INCONCLUSIVE ein starkes Betrugsindiz — echte Gehaltsabrechnungen tragen die Signatur der Lohnbuchhaltungssoftware.

Das Problem

Moderne Dokumentenfälschung ist optisch nicht erkennbar

Eine wachsende Klasse der Dokumentenfälschung öffnet ein echtes PDF, ändert einen Saldo, ein Datum oder einen Begünstigten und speichert es erneut. Optisch ändert sich nichts — das Dokument besteht die Sichtprüfung, die Layout-Prüfung und KYC.

Die strukturelle PDF-Analyse liest die Schichten, die Rendering-Engines nie offenlegen: Versionsverlauf, Objektstruktur, Signaturabdeckung. Genau dort hinterlassen Bearbeitungen Spuren, die sich nicht entfernen lassen.

Häufige Manipulationsmuster

  • Veränderte Salden oder Summen nach dem Export
  • Ausgetauschte IBAN oder Begünstigter bei Rechnungen
  • Bearbeitungen nach der Unterschrift bei Verträgen
  • Rückdatierte Erstellungs- und Änderungsdaten
  • Mit Endkunden-Tools erzeugte Fälschungen

Wie es in der Praxis aussieht

So sehen gefälschte Gehaltsabrechnungen wirklich aus

Drei reale Betrugsmuster, die wir auf Ebene der PDF-Strukturschicht erkennen.

01

Fälschung in Microsoft Word

Kein realer Arbeitgeber ist beteiligt. Der Antragsteller erstellt die Abrechnung in Word mit dem Logo des vorgetäuschten Unternehmens, trägt ein überhöhtes Gehalt ein und exportiert als PDF. Das Producer-Feld zeigt Microsoft Word — nicht die Lohnbuchhaltungssoftware (SAP, DATEV, Sage, Lexware, Personio).

02

Echte Abrechnung nachträglich verändert

Der Antragsteller hat eine echte Gehaltsabrechnung, aber das Gehalt reicht für den Kredit oder die Mietwohnung nicht aus. Er öffnet das PDF in einem Editor, ändert den Betrag und speichert erneut. Die xref-Tabelle zeigt ein inkrementelles Update — unwiderlegbarer struktureller Beweis.

03

Online-Generator ohne realen Arbeitgeber

Webdienste erstellen Gehaltsabrechnungen auf Anfrage mit beliebigem Arbeitgeber und Gehalt. Das Producer-Feld verrät Chrome Headless, Puppeteer oder wkhtmltopdf — niemals echte Unternehmenslohnbuchhaltung.

Das Ausmaß

~10–15 %
der Kredit- und Mietanträge enthalten gefälschte Einkommensnachweise
15.000 € +
durchschnittlicher Schaden pro betrügerischem Kreditantrag
~3 Sek.
pro Gehaltsabrechnung via API

Warum bestehende Prüfungen das übersehen

KYC-Plattformen prüfen die Identität. Sie prüfen nicht die Datei.

OCR liest die Beträge. OCR liest nicht den Ursprung des PDFs.

KYC-Plattformen (IDnow, WebID, Veriff) extrahieren Daten per OCR und verifizieren Identitäten — sie können nicht feststellen, ob das PDF aus der Lohnbuchhaltungssoftware des Arbeitgebers stammt oder auf einem Desktop erstellt wurde. Bankdaten-APIs (FinAPI, finleap connect) übertragen Kontodaten direkt von der Bank — ein Vorteil, aber nicht die Gehaltsabrechnung selbst. HTPBE? analysiert die Dateistruktur und liefert strukturelle Betrugssignale vor der Kreditentscheidung.

Ergebnisse in unter 3 Sekunden30 bis 1.500+ Dokumente/MonatAb $15/Monat

Was HTPBE? prüft

Erkennungsfähigkeiten

Deterministische Struktursignale. Kein probabilistisches Scoring.

Producer-Signatur der Lohnbuchhaltungssoftware

Echte Abrechnungen tragen die Producer-Signatur von SAP HR, DATEV Lohn und Gehalt, Sage HR, Lexware, Personio oder vergleichbaren Systemen. Ein Producer-Feld mit Word, LibreOffice oder Chrome Headless weist auf eine Desktop-Erstellung hin.

Spur inkrementeller Updates

Ein sauberer Export aus Lohnbuchhaltungssoftware enthält nur eine xref-Tabelle. Jedes Öffnen in einem PDF-Editor und erneute Speichern fügt eine zweite xref hinzu — struktureller Beweis einer nachträglichen Änderung.

Digitale Signaturkette

Viele deutsche Arbeitgeber signieren Gehaltsabrechnungen digital. Gefälschte Dokumente zeigen keine Signatur oder eine ungültige Kette.

Zeitstempel-Abweichung

Bei einer echten Abrechnung stimmen CreationDate und ModDate überein oder liegen sehr nah beieinander. Ein Abstand von mehreren Tagen ist ein starkes Indiz für nachträgliche Bearbeitung.

Schriftart-Subset-Divergenz

Echte Abrechnungen verwenden konsistente Schriftart-Subsets. Fälschungen, bei denen Beträge nachträglich geändert wurden, zeigen oft Prefix-Divergenzen — Merkmal einer Komposition aus mehreren Quellen.

Bildartefakte bei eingefügten Logos

Von Websites extrahierte und manuell eingefügte Logos erscheinen als redundante Bildströme mit abweichenden Komprimierungsmerkmalen — charakteristischer Fingerabdruck einer Fälschung.

Integration in wenigen Minuten

Zwei HTTP-Aufrufe zur Prüfung jeder Gehaltsabrechnung

Einkäufer können diesen Abschnitt überspringen — für Entwickler reduziert sich die Integration auf zwei HTTP-Aufrufe.

Schritt 1 — PDF einreichen

curl -X POST https://api.htpbe.tech/v1/analyze \
  -H "Authorization: Bearer $HTPBE_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{"url": "https://your-storage/gehaltsabrechnung.pdf"}'

Schritt 2 — Ergebnis lesen

{
  "id": "g1e2h3a4-5l6t-7s8a-9b0r-a1b2c3d4e5f6",
  "status": "modified",
  "modification_confidence": "high",
  "modification_markers": [
    "Multiple cross-reference tables (incremental updates)",
    "Known PDF editing tool detected"
  ],
  "producer": "Adobe Acrobat Pro",
  "creator": "DATEV Lohn und Gehalt",
  "creation_date": 1707091200,
  "modification_date": 1708128000,
  "has_digital_signature": false,
  "xref_count": 2,
  "has_incremental_updates": true
}

Dokument von DATEV Lohn und Gehalt erzeugt — institutionelle Quelle. Zwölf Tage später in Adobe Acrobat Pro erneut gespeichert, wodurch eine zweite xref-Tabelle hinzugefügt wurde. Urteil: modified mit hoher Konfidenz.

API-Schlüssel holen — kostenlose Testschlüssel inklusiveVollständige API-Dokumentation

Preise

Self-Service-Tarife, kein Verkaufsgespräch

Alle Tarife enthalten dieselben forensischen Prüfungen. Wählen Sie das Kontingent passend zu Ihrem monatlichen Dokumentenvolumen.

manuell

Starter

$15/mo

30 Prüfungen/Monat

Manuelle Stichproben und Integrationstests

am häufigsten

Growth

$149/mo

350 Prüfungen/Monat

Aktive Pipelines zur Dokumentenverarbeitung

hohes Volumen

Pro

$499/mo

1.500 Prüfungen/Monat

Hochvolumige Automatisierung und API-Integrationen

Enterprise (unbegrenzt, On-Premise verfügbar) vollständige Preise ansehen

Workflow absichernAPI-Dokumentation

API-Schlüssel bei Registrierung. Kostenlose Testumgebung in jedem Tarif. Keine Karte erforderlich.

Kundenstimmen

Teams, die Dokumentenbetrug gestoppt haben

Compliance-, Finanz- und Risikoteams nutzen HTPBE?, um manipulierte PDFs zu erkennen, bevor sie zu kostspieligen Fehlern werden.

Caught an invoice where the total had been changed by less than a thousand dollars. Without this I would have approved it without a second look.

Sarah M.

AP Manager

United States

We had three applicants in the same week with bank statements that looked completely fine. Two of them were flagged as modified. You simply cannot see this by reading the document — it is in the file structure.

Lars V.

Risk Analyst, Online Lending

Netherlands

Salary slips were coming with altered figures. We identified two problematic files before the placement was finalised.

Priya K.

HR Operations Lead

India

Since we started checking documents this way, we stopped two applications early in the process that would have been very difficult to reverse later.

Julien R.

Fraud Analyst, Fintech

France

Some applicants were sending PDFs that looked authentic but had been edited in ways not visible to the eye. We now ask for checked originals when something is flagged. Already saved us from a few bad decisions.

Marta S.

Compliance Coordinator

Spain

One invoice was caught because there was a mismatch between the document dates and structure. That particular case would have cost us significantly.

Tariq A.

Finance Manager

United Arab Emirates

FAQ

Häufig gestellte Fragen

Funktioniert das mit allen deutschen Lohnbuchhaltungssystemen?

Ja. Die Analyse ist Producer-unabhängig — sie prüft jedes eingereichte PDF. Echte Abrechnungen aus DATEV, SAP HR, Sage HR, Lexware, Personio und anderen tragen erkennbare Producer-Signaturen.

Wie unterscheidet sich das von Open-Banking-Schnittstellen?

Open-Banking-APIs (FinAPI, finleap connect, Plaid) übertragen Kontodaten direkt von der Bank — ideal wenn der Antragsteller der Verbindung zustimmt. HTPBE? analysiert das PDF selbst. Beide Werkzeuge sind komplementär, nicht substituierbar.

Erkennt es eine Gehaltsänderung auf einer ansonsten echten Abrechnung?

Ja. Jede Änderung erfordert das Öffnen des PDFs in einem Editor und erneutes Speichern — was ein inkrementelles Update zur xref-Kette hinzufügt. Urteil: modified mit entsprechendem Marker.

Was bedeutet INCONCLUSIVE bei einer Gehaltsabrechnung?

HTPBE? gibt INCONCLUSIVE zurück, wenn eine Abrechnung auf einem Desktop erstellt wurde und keine Bearbeitungsspuren aufweist. Bei einem Großunternehmen, das DATEV oder SAP verwendet, ist INCONCLUSIVE ein starkes Betrugsindiz. Bei einem kleinen Arbeitgeber, der legitim Word verwendet, ist es das erwartete Standardergebnis.

Sichern Sie Ihren Workflow

Konto erstellen — API-Schlüssel bei der Registrierung, Testumgebung auf jedem Plan.
Ab $15/Monat. Ohne Vertragsbindung. Jederzeit kündbar.

API-Schlüssel holenAPI-Dokumentation