Team schulen: KI-Dokumente an visuellen Merkmalen erkennen

Ihre Mitarbeiterinnen und Mitarbeiter, die täglich Dokumente prüfen — Personalausweise, Reisepässe, Gehaltsnachweise und Kontoauszüge — sind die erste Verteidigungslinie gegen Dokumentenbetrug. KI-generierte Dokumente haben jedoch eine Qualitätsstufe erreicht, bei der eine visuelle Prüfung ohne gezielte Schulung nicht mehr ausreicht. Dieser Leitfaden vermittelt Ihrem Team sieben konkrete visuelle Merkmale, beschreibt den Aufbau eines dreistufigen Schulungsprogramms und erläutert, was das Geldwäschegesetz (GwG) und die BaFin konkret von Ihrer Organisation verlangen.

KI-generierter Dokumentenbetrug: eine schnell eskalierende Bedrohung

Laut der Analyse von CheckFile von über 180.000 monatlich verarbeiteten Dokumenten machen durch KI generierte Dokumente inzwischen 12 % der erkannten Betrugsfälle im Jahr 2025 aus, gegenüber nur 3 % im Jahr 2024. Diese Vervierfachung innerhalb von weniger als zwölf Monaten spiegelt die wachsende Verfügbarkeit generativer Modelle wider: Werkzeuge, die früher nur für gut ausgestattete Betrugsorganisationen zugänglich waren, sind heute mit einem geringen Budget im Darkweb erhältlich.

Die Auswirkungen auf Ihre Organisation sind unmittelbar. Jede Mitarbeiterin oder jeder Mitarbeiter, der einen gefälschten Personalausweis akzeptiert, eine manipulierte Gehaltsabrechnung durchwinkt oder einen gefälschten Kontoauszug anerkennt, setzt Ihr Unternehmen Reputationsschäden, finanziellen Verlusten und aufsichtsrechtlicher Haftung gegenüber der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und dem BKA (Bundeskriminalamt) aus.

Generative Modelle produzieren heute zwei Kategorien gefälschter Dokumente. Vollständig synthetische Dokumente werden von Grund auf durch Diffusionsmodelle erstellt, die auf Datensätzen echter Identitätsdokumente trainiert wurden. Sie reproduzieren Guilloché-Muster, Seriennummern, Schriftarten und simulierte Hologramme. Teilweise gefälschte Dokumente gehen von einem gescannten echten Dokument aus und ersetzen bestimmte Felder — Name, Geburtsdatum, Foto, Meldebestätigung-Details — durch KI-generierte Inhalte. Diese zweite Kategorie ist in der Praxis gefährlicher: Die echten physischen Sicherheitsmerkmale des Originaldokuments bleiben erhalten, während die betrügerischen Daten oberflächlich plausibel wirken.

Das Bundeskriminalamt (BKA) hat in seinem Lagebericht 2025 festgestellt, dass KI-generierte Identitätsdokumente zu den am schnellsten wachsenden Werkzeugen der Finanzkriminalität gehören. Besonders betroffen sind Personalausweis- und Reisepassfälschungen sowie manipulierte Gehaltsnachweise im Rahmen von Kreditbetrug.

Die EU-KI-Verordnung (Verordnung EU 2024/1689) verpflichtet ab dem 1. August 2026 alle KI-Systeme, synthetisch generierte Inhalte als solche zu kennzeichnen (Artikel 50). Diese Verpflichtung gilt für gutgläubig handelnde Systeme und verhindert jedoch nicht, dass böswillige Akteure Fälschungen ohne Kennzeichnung verbreiten.

Lesen Sie dazu unsere detaillierte Analyse zur Erkennung von Deepfake-Dokumenten, die die forensischen Techniken beschreibt, die automatisierte Systeme neben der menschlichen Prüfung einsetzen.

Sieben visuelle Merkmale, die Ihr Team erkennen lernen sollte

Die folgende Tabelle dient als praktisches Referenzdokument, das Sie Ihrem Prüfteam zur Verfügung stellen können. Die sieben Merkmale sind von dem mit bloßem Auge am einfachsten erkennbaren bis zum subtilsten geordnet, damit Mitarbeiterinnen und Mitarbeiter eine effiziente Prüfreihenfolge einhalten können.

1. Schriftartenkonsistenz

Amtliche deutsche Dokumente — Personalausweis, Reisepass — verwenden strenge Schriftartenspezifikationen der Bundesdruckerei. Generative Modelle lernen diese Schriftarten statistisch, erzeugen jedoch subtile Variationen: leicht wechselnde Zeichenbreite, inkonsistente x-Höhe oder eine Zeilensetzung, die von der amtlichen Vorlage abweicht. Schulen Sie Ihr Team darin, Felder mit einem verifizierten Originaldokument zu vergleichen und vertikale Ausrichtungslinien zu prüfen.

2. Guilloché-Muster

Die feinen, spiralförmigen Hintergrundmuster auf deutschen Identitätsdokumenten werden durch Tiefdruckmaschinen aufgebracht, die kein generatives Modell vollständig replizieren kann. Digitale Fälschungen zeigen periodische Artefakte und unnatürliche Symmetrie. Verwenden Sie eine Lupe oder eine Smartphone-Kamera bei maximaler Vergrößerung: unterbrochene Linien, kurze Wiederholungszyklen oder geometrische Regelmäßigkeit, die zu perfekt ist, sind Warnsignale.

3. Fotorand und Einbettung

Bei echten deutschen Ausweisdokumenten wird das Lichtbild durch Lasergravur in das Polycarbonatlaminat eingebettet. KI-generierte Fälschungen zeigen häufig einen sichtbaren Rand um das Lichtbild, eine subtile Farb- oder Belichtungsabweichung zwischen Gesicht und Hals, oder einen Hintergrund mit einem anderen Körnungsmuster als das Gesicht. Beauftragen Sie Ihre Mitarbeiterinnen und Mitarbeiter, stets den Übergang zwischen Foto und Dokumenthintergrund zu untersuchen.

4. Dokumentennummernformat

Der deutsche Personalausweis trägt eine zehnstellige Seriennummer, der Reisepass eine neunstellige Seriennummer, jeweils mit einer definierten Zeichenmenge aus Großbuchstaben und Ziffern. Überprüfen Sie, ob die Seriennummer dem amtlichen Schema entspricht und ob das Ausgabedatum mit dem Ablaufdatum konsistent ist. KI-generierte Dokumente enthalten häufig Seriennummern mit falscher Länge oder nicht erlaubten Sonderzeichen.

5. Gehaltsabrechnung: Steuer-ID und IBAN

Eine gültige deutsche Steueridentifikationsnummer (Steuer-IdNr.) besteht aus elf Ziffern und beginnt nicht mit 0. Die IBAN beginnt mit DE, gefolgt von zwei Prüfziffern und einer achtstelligen Bankleitzahl (BLZ). Überprüfen Sie, ob die BIC einem existierenden deutschen Kreditinstitut entspricht, und führen Sie die standardisierte IBAN-Prüfsummenberechnung durch. KI-generierte Gehaltsnachweise enthalten regelmäßig fiktive Bankleitzahlen oder IBAN-Nummern, die die Prüfsummenvalidierung nicht bestehen.

6. Meldebestätigung: Amtliche Formatierung

Die Meldebestätigung folgt in allen deutschen Bundesländern einem weitgehend einheitlichen Format der jeweiligen Meldebehörde. Abweichungen im Layout, fehlende amtliche Stempel, falsche Schriftarten in der Kopfzeile oder Adressen, die nicht mit den gültigen Postleitzahlen der Deutschen Post übereinstimmen, sind klare Fälschungshinweise. KI-generierte Meldebestätigungen reproduzieren häufig das Kopfzeilenformat inkorrekt oder verwenden veraltete Behördenbezeichnungen.

7. Metadaten und Kompressionsartefakte

Bei digital eingereichten Dokumenten liefern Datei-Metadaten zusätzliche Hinweise. Eine PDF- oder JPEG-Datei, die durch ein KI-Werkzeug erzeugt wurde, trägt oft Metadatenreferenzen auf generative Softwarepakete (Stable Diffusion, Midjourney, DALL·E). Error Level Analysis — eine Technik, die die JPEG-Kompressionskennung pixelgenau visualisiert — macht manipulierte Bereiche als helle Regionen sichtbar, die vom Rest des Dokuments abweichen. Kostenlose Tools wie FotoForensics ermöglichen eine einfache ELA-Analyse ohne technischen Hintergrund.

Ein dreistufiges Schulungsprogramm aufbauen

Ein wirksames Schulungsprogramm für die Dokumentenprüfung besteht aus drei aufeinanderfolgenden Phasen, die den Lernbedürfnissen von Mitarbeiterinnen und Mitarbeitern mit unterschiedlichem Erfahrungsstand entsprechen.

Stufe 1: Bewusstseinssensibilisierung (Tag 1–2)

Das Ziel der ersten Stufe ist die Kalibrierung der Erwartungen des Teams: Wie überzeugend sind heutige KI-Fälschungen, und warum versagt die herkömmliche visuelle Prüfung? Verwenden Sie konkrete Fallbeispiele: Zeigen Sie Seitenvergleiche eines echten Personalausweises neben einer KI-generierten Version. Lassen Sie Mitarbeiterinnen und Mitarbeiter raten, welches Dokument echt ist, bevor Sie die Antwort offenbaren. Dies erzeugt kognitive Wirkung und erhöht die Behaltensrate der nachfolgenden Schulungsinhalte.

Bewusstseinssensibilisierung — Checkliste:

• Einführung in die sieben visuellen Merkmale (Tabelle oben)
• Live-Demonstration der ELA-Analyse an einem Testdokument
• Diskussion: Welche Dokumente prüft Ihr Team täglich? (Personalausweis, Reisepass, Gehaltsabrechnung, Kontoauszug, Meldebestätigung)
• Basiserhebung: Wie viele Fälschungen erkennt das Team vor der Schulung?

Stufe 2: Praxistraining (Woche 1–2)

In der zweiten Stufe übt das Team mit simulierten Prüfszenarien. Erstellen Sie ein Prüfprotokoll, das Mitarbeiterinnen und Mitarbeiter zwingt, alle sieben Merkmale für jedes Dokument systematisch zu durchlaufen. Verwenden Sie eine Mischung aus echten Dokumenten, vollständig KI-generierten Fälschungen und teilweise manipulierten Dokumenten. Das Ziel ist nicht Perfektion, sondern die Entwicklung einer strukturierten reflexartigen Prüfsequenz.

Praxistraining — Checkliste:

• Wöchentlicher Satz von zehn Testdokumenten (Mischung aus echt, vollständig gefälscht, teilweise manipuliert)
• IBAN- und Steuer-IdNr.-Validierung für alle Finanzdokumente
• Formatkontrolle für Seriennummern auf Personalausweis und Reisepass
• Dossierbildung: Jedes markierte Dokument wird mit dem spezifischen Merkmal dokumentiert, das Zweifel geweckt hat
• Nachbesprechung: Welche Fälschungen wurden übersehen und warum?

Stufe 3: Integration und Qualitätssicherung (ab Monat 2)

Die dritte Stufe integriert die manuelle Prüfung in den automatisierten Workflow Ihrer Organisation. Die menschliche Prüfung sollte auf Fälle beschränkt werden, in denen automatisierte Systeme eine Risikomeldung erzeugen oder in denen die Dokumentqualität für eine zuverlässige automatische Analyse zu gering ist. Legen Sie klare Eskalationsprotokolle fest und machen Sie periodische Überprüfungen zu einem festen Bestandteil Ihres Qualitätssicherungsprogramms.

Qualitätssicherung — Checkliste:

• Monatliche Kalibrierungssitzung: Neuer Satz von Testdokumenten zur Messung des Niveauverlusts
• Quartalsweise Aktualisierung der Merkmalstabelle auf Basis neuer Betrugstechniken
• Integration in CheckFile-Prüfworkflows für die Eskalationsregistrierung
• Berichterstattung an den Compliance-Beauftragten: Anteil weitergeleiteter gegenüber akzeptierter Dokumente

Unsere ausführliche Analyse der Best Practices für die Betrugsbekämpfung in der Dokumentenverarbeitung enthält detaillierte Empfehlungen für die Einrichtung Ihres Eskalationsprotokolls und die Dokumentation von Vorfallsdossiers.

Regulatorische Pflichten: Was das GwG und die BaFin verlangen

Das Geldwäschegesetz (GwG) legt Verpflichteten — Kreditinstituten, Versicherungsunternehmen, Rechtsanwälten, Notaren, Immobilienmaklern und anderen designated entities — konkrete Pflichten zur Identifizierung und Verifizierung von Vertragspartnern auf. § 10 GwG verpflichtet zur Durchführung allgemeiner Sorgfaltspflichten bei der Begründung einer Geschäftsbeziehung, der Durchführung einer außerhalb einer Geschäftsbeziehung anfallenden gelegentlichen Transaktion ab den maßgeblichen Schwellenwerten sowie bei Anhaltspunkten für Geldwäsche oder Terrorismusfinanzierung.

§ 12 GwG verlangt, dass die Identität des Vertragspartners anhand zuverlässiger und unabhängiger Quellen überprüft wird. Ein KI-generierter Personalausweis oder ein gefälschter Gehaltsnachweis kann diese Prüfanforderung nicht erfüllen. Die BaFin hat in ihrem Merkblatt zur Geldwäscheprävention (Stand: 2025) KI-generierte Identitätsdokumente ausdrücklich als aufkommende Risikokategorie benannt, der Verpflichtete bei ihrer Risikobewertung Rechnung tragen müssen.

§ 4 GwG verpflichtet zu einer risikobasierten Bewertung der Geschäftsbeziehung. Organisationen, die in digitalen Kanälen tätig sind, bei denen Dokumente ausschließlich elektronisch übermittelt werden, müssen ihre Risikobewertung aktualisieren, um der erhöhten Wahrscheinlichkeit KI-generierter Fälschungen Rechnung zu tragen. Unterlassene Aktualisierungen können als Verstoß gegen die Organisationspflichten des § 4 GwG gewertet werden.

Die AMLD6 (Richtlinie EU 2024/1640) stärkt diese Pflichten auf europäischer Ebene. Artikel 20 AMLD6 verlangt, dass Verpflichtete ihre Risikobewertung im Licht aufkommender technologischer Bedrohungen aktuell halten. Die Proliferation generativer KI-Tools wird von den europäischen Aufsichtsbehörden (ESAs) ausdrücklich als neuer Risikofaktor benannt, der in den Risikobewertungszyklus einfließen muss.

Die EU-KI-Verordnung (Verordnung EU 2024/1689) führt darüber hinaus Pflichten für Organisationen ein, die selbst KI-Systeme zur Dokumentenprüfung einsetzen. Systeme, die als hochrisikant eingestuft werden — was bei Systemen zur biometrischen Identifikation und Identitätsverifizierung der Fall ist — müssen die Anforderungen von Artikel 9 (Risikomanagementsystem) und Artikel 13 (Transparenz) der Verordnung erfüllen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) überwacht die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten aus Identitätsdokumenten. Kopien von Personalausweisen und Reisepässen sind besondere Kategorien personenbezogener Daten; ihre Verarbeitung ist nur auf Grundlage einer spezifischen Rechtsgrundlage zulässig. Stellen Sie sicher, dass Ihr Prüfprozess den Anforderungen von Art. 9 DSGVO und den einschlägigen nationalen Umsetzungsvorschriften entspricht.

Organisationen, die gegen die GwG-Pflichten verstoßen, riskieren Bußgelder von bis zu 5 Millionen Euro oder 10 % des Jahresumsatzes, je nach Schwere des Verstoßes und Grad des Verschuldens. Die BaFin hat in den Jahren 2024 und 2025 mehrere öffentliche Bußgeldbescheide erlassen, bei denen Mängel in der Kundenidentifizierung — einschließlich unzureichender Dokumentenprüfung — als Grundlage dienten.

Menschliche Prüfung in automatisierte Workflows integrieren

Automatisierte Dokumentenprüfungsplattformen wie CheckFile verarbeiten Dokumente in Millisekunden und erkennen Muster, die das menschliche Auge nicht wahrnehmen kann: digitale Artefakte, Kompressionsinkonsistenzen, Metadatenanomalien und Datenbankabweichungen. Die menschliche Prüfung ist jedoch nicht ersetzbar — sie fügt ein Urteil hinzu, das automatisierte Systeme nicht leisten können: kontextuelle Plausibilität.

Ein automatisiertes System, das einen Personalausweis als visuell konsistent bewertet, kann nicht wissen, dass der Kunde zuvor eine Gehaltsabrechnung mit einem anderen Geburtsdatum eingereicht hat. Eine Mitarbeiterin oder ein Mitarbeiter, die oder der den vollständigen Kundenkontext kennt, bemerkt diese Inkonsistenz sofort. Wirksame Prüfworkflows kombinieren beide Ebenen in einem mehrschichtigen Modell.

Empfohlenes dreischichtiges Prüfmodell:

Die erste Schicht umfasst die automatische Screening-Prüfung durch die Verifizierungsplattform: biometrische Konsistenzprüfung, Dokumentenauthentizitätsanalyse, IBAN-Validierung, Steuer-IdNr.-Format und Datenbankabgleich. Diese Schicht fängt 85–90 % der erkennbaren Fälschungen bei einer Verarbeitungsgeschwindigkeit von wenigen Sekunden pro Dokument ab.

Die zweite Schicht umfasst die menschliche Prüfung markierter Fälle: Dokumente, denen das automatisierte System einen erhöhten Risiko-Score zugewiesen hat. Die Mitarbeiterin oder der Mitarbeiter wendet die sieben visuellen Merkmale an, vergleicht mit Referenzdokumenten und trifft eine Entscheidung auf Grundlage des vollständigen Kundenkontexts.

Die dritte Schicht umfasst die Eskalation an den Compliance-Beauftragten oder das Anti-Fraud-Team für Fälle, bei denen die menschliche Prüfung keine eindeutige Schlussfolgerung zulässt oder bei denen die Risikoindikatoren mehrere Betrugsdimensionen betreffen. Diese Schicht umfasst auch die Erstattung einer Verdachtsmeldung gemäß § 43 GwG, wenn ein entsprechender Verdacht besteht.

Stellen Sie sicher, dass Ihr Workflow schriftlich dokumentiert und regelmäßig getestet wird. Die BaFin hat in ihrem thematischen Prüfungsprogramm zur GwG-Compliance (2024) festgestellt, dass ein erheblicher Teil der Mängel nicht das Fehlen von Verfahren betrifft, sondern deren inkonsistente Anwendung im Tagesgeschäft. Schulungen und Kalibrierungssitzungen sind die Instrumente, um diesen prozeduralen Verfall zu verhindern.

Integrieren Sie Ihre Prüfergebnisse und Vorfallsdossiers in Ihre CheckFile KYC-Lösung, um eine vollständige Prüfspur zu unterhalten, die für Aufsichtsbehörden zugänglich ist. Dokumentieren Sie für jeden markierten Fall das spezifische Merkmal, die Entscheidung und die Person, die die Prüfung vorgenommen hat. Dieses Dossier ist nicht nur eine gesetzliche Anforderung, es ist auch Ihr wichtigstes Beweismittel bei einer BaFin- oder BKA-Untersuchung.

Rechtlicher Hinweis: Dieser Beitrag dient als allgemeine Informationsgrundlage und stellt keine Rechtsberatung dar. Die Regelungen zur Dokumentenprüfung und zur Geldwäscheprävention sind komplex und länderspezifisch. Bitte konsultieren Sie einen qualifizierten Rechts- oder Compliance-Berater für Empfehlungen, die auf Ihre spezifische Situation und Organisation zugeschnitten sind.

Häufig gestellte Fragen

Wie schnell kann ein Team lernen, KI-generierte Dokumente zu erkennen?

Mit einem strukturierten Schulungsprogramm wie dem in diesem Leitfaden beschriebenen erreichen die meisten Teams nach zwei bis drei Schulungstagen eine messbare Verbesserung bei der Erkennung vollständig KI-generierter Fälschungen. Das Erkennen teilweise gefälschter Dokumente — bei denen nur bestimmte Felder ausgetauscht wurden — erfordert mehr Übung und hängt stark davon ab, wie häufig Mitarbeiterinnen und Mitarbeiter verdächtige Dokumente in ihrer täglichen Arbeit begegnen. Monatliche Kalibrierungssitzungen verhindern, dass das Niveau allmählich nachlässt.

Welche deutschen Dokumente sind am häufigsten von KI-Fälschungen betroffen?

Auf Basis der bei CheckFile registrierten Betrugsmuster sind der Personalausweis und die Gehaltsabrechnung die häufigsten Ziele KI-generierter Fälschungen im deutschen Kontext. Der Personalausweis wird bei Finanzdienstleistungen als Hauptidentifikationsmittel verlangt, während die Gehaltsabrechnung eine zentrale Rolle bei Kreditprüfungen und Mietverfahren spielt. Reisepässe und Meldebestätigungen bilden eine wachsende Kategorie, da sie zunehmend im digitalen Onboarding eingesetzt werden.

Was sollte ich tun, wenn eine Mitarbeiterin oder ein Mitarbeiter ein gefälschtes Dokument vermutet?

Ihre Organisation muss über ein dokumentiertes Eskalationsprotokoll verfügen. Die Mitarbeiterin oder der Mitarbeiter markiert das Dokument im Prüfsystem als verdächtig, dokumentiert die spezifischen Merkmale und eskaliert an die zuständige Compliance-Verantwortliche oder den zuständigen Compliance-Verantwortlichen. Treffen Sie keine endgültige Entscheidung auf Basis eines einzigen Merkmals allein. Wenn sich der Verdacht nach der Eskalation bestätigt, prüft der Compliance-Beauftragte, ob eine Verdachtsmeldepflicht gemäß § 43 GwG gegenüber der Financial Intelligence Unit (FIU) besteht. Bewahren Sie alle Unterlagen gemäß § 8 GwG mindestens fünf Jahre auf.

Reicht eine visuelle Schulung aus, oder benötigt mein Team auch technische Hilfsmittel?

Eine visuelle Schulung allein reicht für ein robustes Prüfprogramm nicht aus. Die Kombination aus geschulten Mitarbeiterinnen und Mitarbeitern sowie automatisierten Prüfplattformen wie CheckFile liefert deutlich bessere Ergebnisse als jede der beiden Komponenten für sich allein. Automatisierte Systeme erkennen Muster, die außerhalb des menschlichen Wahrnehmungsvermögens liegen — Kompressionsartefakte, Datenbankabweichungen, IBAN-Prüfsummenfehler — während menschliche Prüfer kontextuelle Inkonsistenzen bemerken, die außerhalb der Reichweite von Algorithmen liegen.

Welche Sanktionen drohen bei der Akzeptanz KI-generierter Dokumente?

Die Akzeptanz gefälschter Dokumente kann zu mehreren Arten von Haftung führen. Aus GwG-Sicht kann die BaFin ein Bußgeld verhängen, wenn festgestellt wird, dass das Unternehmen seine Sorgfaltspflichten nicht angemessen erfüllt hat. Bei strafrechtlicher Haftung kann Beihilfe zu Betrug in Betracht kommen, wenn eine betrügerische Transaktion durchgeführt wurde. Zivilrechtlich kann eine geschädigte Drittpartei eine Schadensersatzforderung erheben. Ein dokumentierter Prüfprozess — einschließlich der Schulungsunterlagen Ihres Teams — ist Ihr wichtigstes Schutzmittel bei einer Untersuchung.