Bildforensik: Wie Sie Bildmanipulation erkennen und Betrug verhindern

Bildforensik bedeutet, digitale Bilddaten wie Digitalfotos technisch auf Manipulation, Veränderungen oder Fälschungen zu prüfen. Unternehmen setzen sie vor allem zur Betrugserkennung ein, um festzustellen, ob Dokumente wie Scans, Ausweise oder Rechnungsbelege echt sind. Bevor diese Daten in weitere Workflows gelangen, werden sie durch die Bildforensik entsprechend verifiziert.

Hey Doxi, warum ist Bildforensik für Unternehmen wichtig?

Bildmanipulation bezeichnet alle Veränderungen an einem Bild mit dem Ziel, Informationen zu verfälschen oder zu verschleiern. Das kann zum Beispiel ein nachträglich geänderter Betrag auf einem Beleg, ein falscher Name auf einem Ausweis oder ein manipuliertes Datum auf einem Vertragsdokument sein.

Es gibt verschiedene Methoden, mit denen solche Änderungen in Bilddateien vorgenommen werden können. Folgende sind für Unternehmen besonders relevant.

Copy-Move

Bei Copy-Move kopieren Personen oder Systeme bestimmte Bild- oder Dokumentbereiche und fügen sie an anderer Stelle wieder ein, um Inhalte unauffällig zu verändern. Ein Beispiel: Auf einer eingereichten Gehaltsabrechnung wird eine vorhandene „0“ kopiert und vor eine Ziffer im Nettobetrag gesetzt. So wirkt das ausgewiesene Einkommen deutlich höher.

Splicing

Splicing kombiniert Inhalte aus mehreren Bildern miteinander. Ein typisches Beispiel aus der Kriminalistik ist ein gefälschter Ausweis. Betrüger nehmen das Foto eines echten Ausweises und ersetzen das darauf abgebildete Porträt durch ein anderes Gesicht. So entsteht ein scheinbar authentischer, aber gefälschter Ausweis.

Inpainting

Inpainting bedeutet einfach ausgedrückt, Informationen zu übermalen und somit zu entfernen. In digitalen Prozessen ersetzen Pixel das händische Übermalen oder Schwärzen von Dokumenten. Betrüger löschen also zum Beispiel die Vertragsnummer im Vertragsdokument. Anschließend fügen sie eine neue Vertragsnummer an gleicher Stelle hinzu.

Metadaten-Manipulation

Mittels Metadaten-Manipulation verfälschen Betrüger nachträglich technische Informationen wie EXIF- oder PDF-Infos. Dazu zählen zum Beispiel je nach Kontext das Erstellungsdatum einer Fotografie, ein Gerätemodell oder GPS-Daten. Normalerweise zeigen diese Metadaten, wann und wie Bildmaterial entstanden ist. Ein Beispiel aus dem Schadenmanagement: Eine eingereichte Schadensmeldung enthält ein Foto, dessen Metadaten so geändert wurden, dass es angeblich am Tag des Schadens aufgenommen wurde. In Wirklichkeit stammt das Bild aber aus einem früheren Zeitpunkt und soll einen Schaden vortäuschen.

KI-generierte Inhalte und Deepfakes

KI-generierte Inhalte wie Deepfakes entstehen, wenn künstliche Intelligenz Bildmaterial synthetisch erzeugt, verändert oder vollständig neu zusammensetzt. In der Praxis ist das oft die am schwierigsten zu erkennende Form der Bildmanipulation. KI-Verfahren und Algorithmen simulieren authentische Bildinhalte so überzeugend, dass selbst geschulte Augen sie kaum noch von echten Dokumenten oder Fotos unterscheiden können.

Das ist umso gravierender, wenn Sie bedenken, dass KI-Technologien heute komplette Dokumentseiten, Unterschriften, Stempel, Logos oder bildbasierte Nachweise täuschend echt rekonstruieren oder neu erstellen können.

Bildforensik prüft Bilddateien auf typische Spuren von Bearbeitung. Im Folgenden sehen Sie die wichtigsten Prüfverfahren im Kern:

Copy-Move-Erkennung

Ein System durchsucht das Bild nach pixelidentischen Segmenten, die kopiert und an anderer Stelle eingefügt wurden. Dafür wandelt sie Bildregionen in mathematische Merkmalsvektoren um und prüft, ob dieselben Muster mehrfach vorkommen. So lässt sich erkennen, ob zum Beispiel einzelne Ziffern auf einer Abrechnung kopiert und an anderer Stelle eingefügt wurden.

Diese Merkmale weisen auf Copy-Move hin:

• Wiederholte Muster oder identische Texturen innerhalb eines Dokuments
• Unnatürlich scharfe oder unscharfe Übergänge rund um manipulierte Bereiche in der Bilddatei
• Inkonsistente Pixelstrukturen oder Rauschmuster im Vergleich zur Umgebung
• Geringfügige Verschiebungen in Ausrichtung oder Skalierung kopierter Elemente

Splicing-Erkennung

Dabei werden zusammengesetzte Inhalte aus mehreren Quellen identifiziert. Typische Hinweise sind unterschiedliche Beleuchtung, variierende Schattenverläufe oder abweichende JPEG-Kompressionsartefakte. Ergänzend nutzt die Untersuchung Verfahren wie die Error Level Analysis (ELA), die Kompressionsunterschiede sichtbar macht und so zum Beispiel gefälschte Identitätsdokumente entlarvt.

Anhaltspunkte für Splicing sind:

• Unstimmiges Licht oder Schatten zwischen verschiedenen Bildbereichen
• Abrupte Kanten oder Übergänge, die sich nicht harmonisch ins Gesamtbild einfügen
• Inkonsistente Farbgebung, etwa abweichende Hauttöne oder Weißabgleiche
• Pixel- oder Rauschunterschiede zwischen zusammengesetzten Elementen
• Geometrische Verzerrungen, zum Beispiel unterschiedliche Perspektiven oder Schärfeebenen

Inpainting-Erkennung

Auch Inpainting, also das algorithmische Entfernen oder Übermalen von Informationen, hinterlässt Spuren. KI-gestützte Bildforensik erkennt unnatürlich gleichmäßige Pixelstrukturen, symmetrische Muster und rekonstruierte Flächen, die eine Kamera so nie erzeugen würde.

Diese Eigenschaften weisen übermalte Bilder häufig auf:

• Auffällige Glättungen oder unscharfe Flächen, die sich vom restlichen Text oder Hintergrund unterscheiden
• Unregelmäßige Pixelstrukturen, etwa übermäßig geglättete oder künstlich homogenisierte Bereiche
• Fehlende natürliche Artefakte wie nicht vorhandenes Bildrauschen oder eine nicht vorhandene Papierstruktur im kopierten Bereich
• Unnatürlich gleichmäßige Farben oder Übergänge, die nicht zum restlichen Dokument passen

Metadaten-Forensik

Widersprüche in Metadaten wie etwa eine eingescannte Rechnung, deren Metadaten Photoshop nennen, machen Manipulationen sichtbar.

Diese Kriterien sprechen für eine Manipulation von Metadaten:

• Unplausible Zeitstempel, die nicht zum gemeldeten Ereignis oder zur sichtbaren Bildsituation passen
• Fehlende oder vollständig gelöschte Metadaten, obwohl das Dateiformat normalerweise umfassende Angaben enthält
• Inkonsistente Geräteinformationen, zum Beispiel eine Kamera, deren Modell nicht zu anderen eingereichten Dokumenten passt
• Abweichungen zwischen Metadaten und Dateiinhalt, etwa sommerliche Witterung auf einem Foto, dessen Metadaten einen Wintermonat nennen
• Künstlich wirkende oder automatisch generierte Metadaten, die nicht der üblichen Struktur des Formats entsprechen

Erkennung KI-generierter Bilder

Um ein KI-Bild erkennen zu können, analysieren spezialisierte Modelle typische Muster generativer KI. Das sind zum Beispiel wiederholte Pixelstrukturen, unnatürliche Glättungen oder Frequenzmuster, die bei echten Kamerabildern nicht vorkommen.

Typische Hinweise auf KI-generierte oder synthetische Inhalte sind:

• Auffällige oder unnatürliche Detailgenauigkeit wie extrem klare Kanten oder perfekt uniforme Schriftarten
• Inkonsistente oder fehlende Mikrodetails, etwa unregelmäßige Linienstrukturen, verfälschte Logos oder unsaubere Schatten
• Fehler oder Spuren in repetitiven Mustern wie Tabellen, Stempeln oder Wasserzeichen
• Anomalien in Metadaten zum Beispiel fehlende Kamera- oder Bearbeitungsinformationen, die auf generierte Inhalte hindeuten
• Unrealistische Artefakte an Übergängen oder Textfeldern, wie sie durch generative Modelle entstehen

Damit Bildforensik automatisiert funktionieren kann, muss die Datei technisch auswertbar sein. Deshalb macht Doxis als ECM-System eingehende Scans, Fotos und PDFs zunächst maschinenlesbar und extrahiert relevante Daten – erst danach folgt die Manipulationsprüfung. Das gelingt in zwei Schritten:

• OCR-Technologie: OCR wandelt Texte aus Scans, Fotos oder PDFs in durchsuchbare, strukturierte Zeichen um. Erst dann lassen sich Inhalte automatisiert prüfen, validieren und in Prozesse überführen.
• Datenextraktion: Aus maschinenlesbaren Inhalten extrahiert Doxis relevante Informationen wie etwa Beträge, Namen, Adressen, Vertragsnummern oder IBANs.

Sobald ein Dokument technisch auswertbar ist, prüft Doxis AI.dp Bild- und Dateiinhalte automatisiert. Drei Arten sind hier zu unterscheiden:

Copy-Move-Analyse

Doxis AI.dp identifiziert duplizierte oder verschobene Bild- und Dokumentfragmente – etwa kopierte Ziffern, übertragene Unterschriften oder verschobene Textbausteine. Dafür gleicht Doxis AI.dp Pixelmustern und Strukturelemente miteinander ab und erkennt so auch Manipulationen, die optisch kaum sichtbar sind.

Metadaten-Analyse

Doxis analysiert automatisch alle eingebetteten Metadaten und deckt Unstimmigkeiten auf: inkonsistente Zeitstempel, Bearbeitung mit Bildbearbeitungssoftware oder fehlende Kamera- und Scaninformationen. Diese Prüfung ist besonders relevant bei eingereichten Finanzdokumenten, Ausweisdokumenten oder Schadensmeldungen.

Splicing-Prüfung

Wenn Bild- oder Dokumentbereiche aus unterschiedlichen Quellen zusammengesetzt wurden, erkennt die KI dies anhand von Licht, Schatten, Kompressionsartefakten und Pixelstrukturen. So bleiben gefälschte Nachweise, zusammengesetzte Identitäten oder manipulierte Formularinhalte nicht unentdeckt.

Idealerweise erkennen Unternehmen Bildmanipulationen bereits, wenn die Dokumente im Unternehmen eingehen. So lassen sich fehlerhafte Entscheidungen, Betrugsrisiken und spätere Prozessstörungen zuverlässig vermeiden. Integrierte und automatisierte Bildforensik stellt sicher, dass Unternehmen nur mit authentischen, unveränderten Originalbildern und Dokumenten arbeiten und schützt damit Datenqualität, Compliance und gesamte Geschäftsprozesse. Mit präziser Bildforensik, starker OCR-Technologie und automatisierter Datenextraktion prüft Doxis Dokumente vollständig, bevor sie in weitere Workflows gelangen. So sichern Sie einen durchgehend sauberen und revisionsfesten Informationsfluss.

Häufige Fragen zur Bildforensik