logo
Gefälschte Gehaltsabrechnungen

Gefälschte Gehaltsabrechnungen bestehen die Sichtprüfung — die strukturelle Forensik nicht

Built for fraud ops at lending, insurance & compliance teams

HR-Teams, Kreditanalysten und Mietprüfer akzeptieren Gehaltsabrechnungen als PDF zum Einkommensnachweis. Betrüger bauen diese Dokumente in Microsoft Word nach, tragen ein höheres Gehalt ein und exportieren sie als PDF. Die Sichtprüfung erkennt das nicht — die Strukturanalyse schon.

~3 Sek.
pro Dokument
61 Prüfungen
forensische Schichten
Ab 15 $
pro Monat
über 1.500
Dokumente/Monat im Pro-Plan
Auch verfügbar in:🇬🇧 English🇫🇷 Français🇪🇸 Español🇮🇹 Italiano🇳🇱 Nederlands🇵🇱 Polski
Umfang

HTPBE? analysiert die Strukturschicht der PDF-Datei — also die Schicht, die jede Änderung festhält, auch die unsichtbaren. Wir prüfen weder Hologramme noch Handyfotos oder biometrische Merkmale. Wenn Ihr Betrugsproblem digital gefälschte oder nachträglich manipulierte Gehaltsabrechnungen als PDF betrifft, sind wir das präziseste Werkzeug dafür.

Wenn HTPBE? INCONCLUSIVE zurückgibt, hängt die Interpretation vom Kontext ab: Bei einem Großunternehmen (SAP HR, Sage HR, DATEV) ist INCONCLUSIVE ein deutliches Betrugsindiz — echte Gehaltsabrechnungen tragen die Signatur der Lohnbuchhaltungssoftware.

Das Problem

Moderne Dokumentenfälschung ist optisch nicht erkennbar

Eine wachsende Klasse der Dokumentenfälschung öffnet ein echtes PDF, ändert einen Saldo, ein Datum oder einen Begünstigten und speichert es erneut. Optisch ändert sich nichts — das Dokument besteht die Sichtprüfung, die Layout-Prüfung und KYC.

Die strukturelle PDF-Analyse liest die Schichten, die Rendering-Engines nie offenlegen: Versionsverlauf, Objektstruktur, Signaturabdeckung. Genau dort hinterlassen Bearbeitungen Spuren, die sich nicht entfernen lassen.

Häufige Manipulationsmuster

  • Veränderte Salden oder Summen nach dem Export
  • Ausgetauschte IBAN oder Begünstigter bei Rechnungen
  • Bearbeitungen nach der Unterschrift bei Verträgen
  • Rückdatierte Erstellungs- und Änderungsdaten
  • Mit Endkunden-Tools erzeugte Fälschungen

So sieht das in der Praxis aus

So sehen gefälschte Gehaltsabrechnungen in der Realität aus

Drei reale Betrugsmuster, die wir auf Ebene der PDF-Strukturschicht erkennen.

01

Fälschung in Microsoft Word

Es gibt keinen realen Arbeitgeber. Der Antragsteller baut die Abrechnung in Word mit dem Logo des vorgetäuschten Unternehmens nach, trägt ein überhöhtes Gehalt ein und exportiert sie als PDF. Im Producer-Feld steht Microsoft Word — nicht die Lohnbuchhaltungssoftware (SAP, DATEV, Sage, Lexware, Personio).

02

Echte Abrechnung nachträglich verändert

Der Antragsteller besitzt eine echte Gehaltsabrechnung, aber das Gehalt reicht für den Kredit oder die Mietwohnung nicht aus. Er öffnet das PDF in einem Editor, ändert den Betrag und speichert es erneut. Die xref-Tabelle weist ein inkrementelles Update auf — ein unwiderlegbarer struktureller Beweis.

03

Online-Generator ohne realen Arbeitgeber

Webdienste erzeugen Gehaltsabrechnungen auf Anfrage mit beliebigem Arbeitgeber und Gehalt. Das Producer-Feld verrät Chrome Headless, Puppeteer oder wkhtmltopdf — niemals eine echte betriebliche Lohnbuchhaltung.

Die Dimension

~10–15 %
der Kredit- und Mietanträge enthalten gefälschte Einkommensnachweise
über 15.000 €
durchschnittlicher Schaden je betrügerischem Kreditantrag
~3 Sek.
pro Gehaltsabrechnung via API

Warum bestehende Prüfungen das übersehen

KYC-Plattformen prüfen die Identität — nicht die Datei

OCR liest die Beträge. OCR liest nicht die Herkunft des PDFs.

KYC-Plattformen (IDnow, WebID, Veriff) extrahieren Daten per OCR und gleichen Identitäten ab — sie können nicht feststellen, ob das PDF aus der Lohnbuchhaltungssoftware des Arbeitgebers stammt oder am Desktop erstellt wurde. Open-Banking-APIs (FinAPI, finleap connect) übertragen Kontodaten direkt von der Bank — ein Vorteil, der jedoch die Gehaltsabrechnung selbst nicht abdeckt. HTPBE? analysiert die Dateistruktur und liefert strukturelle Betrugssignale noch vor der Kreditentscheidung.

Ergebnisse in unter 3 Sekunden30 bis über 1.500 Dokumente pro MonatAb 15 $/Monat

Was HTPBE? erkennt

Erkennungsleistung

Deterministische Struktursignale. Keine probabilistische Bewertung.

Producer-Signatur der Lohnbuchhaltungssoftware

Echte Abrechnungen tragen die Producer-Signatur von SAP HR, DATEV Lohn und Gehalt, Sage HR, Lexware, Personio oder vergleichbaren Systemen. Steht im Producer-Feld Word, LibreOffice oder Chrome Headless, deutet das auf eine Erstellung am Desktop hin.

Spur inkrementeller Updates

Ein sauberer Export aus einer Lohnbuchhaltungssoftware enthält nur eine einzige xref-Tabelle. Jedes Öffnen und erneute Speichern in einem PDF-Editor fügt eine zweite xref hinzu — der strukturelle Beweis einer nachträglichen Änderung.

Digitale Signaturkette

Viele deutsche Arbeitgeber signieren Gehaltsabrechnungen digital. Gefälschte Dokumente weisen entweder gar keine Signatur oder eine ungültige Signaturkette auf.

Abweichung der Zeitstempel

Bei einer echten Abrechnung stimmen CreationDate und ModDate überein oder liegen nur Sekunden auseinander. Ein Abstand von mehreren Tagen ist ein starkes Indiz für eine nachträgliche Bearbeitung.

Divergenz bei Schriftart-Subsets

Echte Abrechnungen verwenden durchgängig konsistente Schriftart-Subsets. Fälschungen, bei denen Beträge nachträglich geändert wurden, zeigen häufig abweichende Präfixe — ein Merkmal für eine Zusammenstellung aus mehreren Quellen.

Bildartefakte bei eingefügten Logos

Logos, die von Websites extrahiert und manuell eingefügt wurden, erscheinen als redundante Bildströme mit abweichenden Komprimierungsmerkmalen — der typische Fingerabdruck einer Fälschung.

Share with engineering

Wire this into your intake pipeline in under a day

Two API calls — one POST to submit the PDF, one GET to retrieve the verdict. Forward this page to your engineering team; the full API reference, quotas, and copy-paste examples in cURL, JavaScript, Python, PHP, Go, and Ruby are one click away.

Vollständige API-Dokumentation

Preise

Self-Service-Tarife, kein Verkaufsgespräch

Alle Tarife enthalten dieselben forensischen Prüfungen. Wählen Sie das Kontingent passend zu Ihrem monatlichen Dokumentenvolumen.

manuell

Starter

$15/mo

30 Prüfungen/Monat

Manuelle Stichproben und Integrationstests

am häufigsten

Growth

$149/mo

350 Prüfungen/Monat

Aktive Pipelines zur Dokumentenverarbeitung

hohes Volumen

Pro

$499/mo

1.500 Prüfungen/Monat

Hochvolumige Automatisierung und API-Integrationen

Enterprise (unbegrenzt, On-Premise verfügbar) vollständige Preise ansehen

Workflow absichernAPI-Dokumentation

API-Schlüssel bei Registrierung. Kostenlose Testumgebung in jedem Tarif. Keine Karte erforderlich.

Kundenstimmen

Teams, die Dokumentenbetrug gestoppt haben

Compliance-, Finanz- und Risikoteams setzen HTPBE? ein, um manipulierte PDFs zu erkennen, bevor sie zu teuren Fehlern werden.

Caught an invoice where the total had been changed by less than a thousand dollars. Without this I would have approved it without a second look.

Sarah M.

AP Manager

United States

We had three applicants in the same week with bank statements that looked completely fine. Two of them were flagged as modified. You simply cannot see this by reading the document — it is in the file structure.

Lars V.

Risk Analyst, Online Lending

Netherlands

Salary slips were coming with altered figures. We identified two problematic files before the placement was finalised.

Priya K.

HR Operations Lead

India

Since we started checking documents this way, we stopped two applications early in the process that would have been very difficult to reverse later.

Julien R.

Fraud Analyst, Fintech

France

Some applicants were sending PDFs that looked authentic but had been edited in ways not visible to the eye. We now ask for checked originals when something is flagged. Already saved us from a few bad decisions.

Marta S.

Compliance Coordinator

Spain

One invoice was caught because there was a mismatch between the document dates and structure. That particular case would have cost us significantly.

Tariq A.

Finance Manager

United Arab Emirates

FAQ

Häufig gestellte Fragen

Funktioniert das mit allen deutschen Lohnbuchhaltungssystemen?

Ja. Die Analyse ist Producer-unabhängig — sie prüft jedes eingereichte PDF. Echte Abrechnungen aus DATEV, SAP HR, Sage HR, Lexware, Personio und weiteren Systemen tragen jeweils erkennbare Producer-Signaturen.

Worin liegt der Unterschied zu Open-Banking-Schnittstellen?

Open-Banking-APIs (FinAPI, finleap connect, Plaid) übertragen Kontodaten direkt von der Bank — ideal, sofern der Antragsteller der Verbindung zustimmt. HTPBE? analysiert dagegen das PDF selbst. Beide Werkzeuge ergänzen sich, sie ersetzen einander nicht.

Wird auch eine Gehaltsänderung auf einer ansonsten echten Abrechnung erkannt?

Ja. Jede Änderung setzt voraus, dass das PDF in einem Editor geöffnet und erneut gespeichert wird — wodurch ein inkrementelles Update an die xref-Kette angehängt wird. Urteil: modified mit entsprechendem Marker.

Was bedeutet INCONCLUSIVE bei einer Gehaltsabrechnung?

HTPBE? gibt INCONCLUSIVE zurück, wenn eine Abrechnung am Desktop erstellt wurde und keine Bearbeitungsspuren aufweist. Bei einem Großunternehmen, das DATEV oder SAP einsetzt, ist INCONCLUSIVE ein starkes Betrugsindiz. Bei einem kleinen Arbeitgeber, der legitim mit Word arbeitet, ist es schlicht das zu erwartende Standardergebnis.

Sichern Sie Ihren Workflow ab

Konto erstellen — API-Schlüssel direkt bei der Registrierung, Testumgebung in jedem Plan enthalten.
Ab 15 $/Monat. Ohne Vertragsbindung. Jederzeit kündbar.

API-Schlüssel holenAPI-Dokumentation
Read API docs →