Einkauf und Lieferanten: Wenn Ihr ERP Ungültiges validiert, ohne es zu merken

Gefälschte Dokumente. Ihr System speichert sie, ohne etwas zu sagen?

Was gerade jetzt in Ihrer Einkaufsabteilung passiert

Es ist 9 Uhr. Ein Lieferant hat gerade sein ISO-14001-Zertifikat in Ihr Einkaufsportal hochgeladen. Ihr ERPZentrales Unternehmenssystem (z. B. SAP), das Einkauf, Finanzen und Logistik bündelt. Es speichert automatisch die von Lieferanten eingereichten Dokumente, ohne deren Authentizität zu prüfen. speichert es. Der Einkäufer hakt das Feld ab. Die Bestellung geht raus.

Das Zertifikat ist eine Fälschung, in wenigen Sekunden von einer KI erzeugt. Niemand hat etwas bemerkt.

Dieses Szenario ist keine Fiktion. Es passiert heute in Tausenden Unternehmen — in KMU ebenso wie in multinationalen Konzernen — still, in großem Maßstab, mit finanziellen und strafrechtlichen Folgen, die verheerend sein können.

Dokumentenbetrug in Lieferketten ist explodiert

Zwischen 2023 und 2024 ist digitaler Dokumentenbetrug in nur einem Jahr um +244 % gestiegen. [Observatoire Tessi — L'IA générative industrialise la fraude documentaire 2024 (2024)]

Das ist keine Tendenz mehr. Das ist ein Bruch.

42,5 % der betrügerischen Dokumente werden heute mit generativen KI-Tools erzeugt oder verbessert [Observatoire Tessi — L'IA générative industrialise la fraude documentaire 2024 (2024)]

57 % der Betrugsfälle sind inzwischen digital und übertreffen damit erstmals physische Manipulationen [Observatoire Tessi — L'IA générative industrialise la fraude documentaire 2024 (2024)]

1 000 Milliarden US-Dollar jährliche Verluste weltweit [Ecabrella — The Rising Tide of Shipping Fraud 2025 (2025)]

65 Milliarden Euro verschwinden jedes Jahr in Frankreich — rund 2,5 % des BIP [Observatoire Tessi — L'IA générative industrialise la fraude documentaire 2024 (2024)]

91 % der Großunternehmen wurden bereits mit einem Versuch von Dokumentenbetrug konfrontiert [Observatoire Tessi — L'IA générative industrialise la fraude documentaire 2024 (2024)]

Warum die Lieferkette das bevorzugte Ziel von Fälschern ist

Tausende Dokumente jeden Tag, ohne echten Schutz

Der internationale Handel basiert fast ausschließlich auf PDF-Dateien: Ursprungszeugnisse, Zollerklärungen, ISO-Nachweise, Bill of LadingKonnossement: Schlüsseldokument des internationalen Handels, das als Warenquittung, Eigentumstitel und Transportvertrag dient. Sein finanzieller Wert macht es zu einem bevorzugten Ziel von Betrügern..

Diese Dokumente lösen Zahlungen aus, ermöglichen Grenzübertritte und bescheinigen Umwelt- und Sozialkonformität. Dennoch stützt sich ihre Prüfung noch sehr häufig auf das menschliche Auge und auf OCRTechnologie, die automatisch Text aus einem Bild oder einem PDF extrahiert. Sie liest Oberflächendaten, kann aber nicht erkennen, ob das Bild vor oder nach der Digitalisierung gefälscht wurde.-Tools der ersten Generation.

Genau dort schlagen Betrüger zu.

Das Konnossement: das am häufigsten gefälschte Dokument im internationalen Handel

Das Bill of LadingKonnossement (BoL): Schlüsseldokument des internationalen Handels, das als Frachtquittung, Eigentumstitel und Transportvertrag dient. Sein finanzieller Wert macht es zu einem bevorzugten Ziel von Betrügern. bündelt drei kritische Verwundbarkeiten in einem einzigen Dokument:

Es ist ein übertragbarer Eigentumstitel — seine Daten zu ändern, ist wie einen Blankoscheck zu fälschen

Es löst Bankzahlungen in Akkreditivmechanismen aus — ein gefälschtes Konnossement ist daher ein Werkzeug für direkten Finanzbetrug

Es zirkuliert zwischen zahlreichen Intermediären (Frachtführer, Spediteur, Zoll, Banken) — jede Übergabe ist ein potenzieller Einschleusungspunkt für Betrug

Der Fall Hin Leong Trading (Singapur, 2020) verdeutlicht das Ausmaß des Risikos: Das Unternehmen verwendete dieselben gefälschten Konnossemente wieder, um bei mehreren Banken betrügerisch Finanzierungen in geschätzter Höhe von 3,5 Milliarden US-Dollar zu erhalten. [Frontiers in Marine Science — Blockchain in maritime: applications, effects and challenges 2025 (2025)]

Gefälschte ISO-Zertifikate: wenn Compliance zur Fassade wird

ISO-Zertifizierungen (9001, 14001, 45001) sind zu Zugangsvoraussetzungen für internationale Ausschreibungen geworden. Doch es gibt keine zentrale, weltweit verfügbare Datenbank, die in Echtzeit zugänglich ist, um sie sofort zu prüfen.

Ein böswilliger Lieferant kann ein ISO-Zertifikat nachbauen, indem er ein bestehendes Muster kopiert, das Logo einer anerkannten Zertifizierungsstelle hinzufügt und die Daten mit einem einfachen PDF-Editor oder generativer KI anpasst. [Oxebridge — Fake ISO Certifications : Tech CEO Indicted (2024)]

Ergebnis: Ihr ERPZentrales Unternehmenssystem (z. B. SAP), das Einkauf, Finanzen und Logistik bündelt. Es speichert automatisch die von Lieferanten eingereichten Dokumente, ohne deren Authentizität zu prüfen. archiviert ein gefälschtes Dokument, und die Illusion von Compliance ist perfekt… bis zum Zwischenfall.

Warum Ihre aktuellen Tools diese Fälschungen nicht erkennen können

Stellen Sie sich einen Hotelportier vor, der nur prüft, ob die Magnetkarte die richtige Farbe hat — ohne jemals zu kontrollieren, ob sie im System registriert ist. Genau das macht Ihre aktuelle Dokumentenprüfung: Sie liest die Oberfläche, nicht die Gültigkeit.

OCR integriert den Betrug, ohne ihn zu sehen

Ein OCRTechnologie, die automatisch Text aus einem Bild oder einem PDF extrahiert. Sie liest Oberflächendaten, kann aber nicht erkennen, ob das Bild vor oder nach der Digitalisierung gefälscht wurde.-System liest und speichert die Daten einer gefälschten Rechnung genauso effizient wie die eines legitimen Dokuments. [SSRN — AI-Based Document Forgery Detection Using OCR and Convolutional Neural Networks (2025)] Es erkennt nicht, dass ein Textblock digital überlagert wurde, dass die Typografie Mikrovariationen aufweist oder dass ein Datum mit einer inpaintingKI-Technik, die Pixel synthetisiert, um einen Bereich eines Bildes zu füllen oder zu ersetzen, wodurch Änderungen visuell nicht erkennbar und für ein klassisches OCR-System unsichtbar werden.-Technik verändert wurde.

Sich ausschließlich auf OCR zu stützen heißt, die Integration von Betrug in Ihr Managementsystem zu automatisieren.

Drei unvermeidbare Grenzen der menschlichen Prüfung

1. Physiologische Unfähigkeit. Das menschliche Auge kann Änderungen auf Ebene einzelner Pixel nicht erkennen. Generative KI-Tools erzeugen Texturen, die visuell nicht von einem Originaldokument zu unterscheiden sind. [arXiv — AIForge-Doc: A Benchmark for Detecting AI-Forged Tampering in Financial Documents 2025 (2025)]
2. Skalenasymmetrie. Eine globale Lieferkette erzeugt jeden Tag Tausende PDFs. Eine menschliche Analyse kann nur wenige Sekunden pro Dokument dauern — was strukturell zur Freigabe per Default führt.
3. Vertrauensbias. Konfrontiert mit einem Dokument, das exakt das Corporate Design einer bekannten Zertifizierungsstelle zeigt, nimmt der Prüfer die Authentizität des Ganzen allein aufgrund des Erscheinungsbilds an. [VerifyPDF Blog — Stop fake documents! How AI can help you detect the invisible threat (2024)]

Die Schlussfolgerung ist eindeutig: KI muss mit KI bekämpft werden.

Rechtlicher und Compliance-Rahmen: worauf es ankommt

Die rechtlichen Folgen eines gefälschten Dokuments hängen stets von den konkreten Umständen, dem betroffenen Sektor, der rechtlichen Einordnung und der zuständigen Gerichtsbarkeit ab. In der Praxis ist für Organisationen vor allem entscheidend, einen verhältnismäßigen, nachvollziehbaren und dokumentierten Prüfprozess nachweisen zu können, mit menschlicher Überprüfung immer dann, wenn eine Entscheidung erhebliche Auswirkungen haben kann.

Die hier beschriebenen Kontrollen sind deshalb als Maßnahmen des Risikomanagements, der Compliance und der Beweissicherung zu verstehen. Jede endgültige Sperrung, Meldung, vertragliche Sanktion oder gerichtliche Maßnahme sollte weiterhin von den zuständigen Rechts- oder Compliance-Teams validiert werden.

Mehr als Dokumente: DeepForgery Media für Ihre visuellen und akustischen Inhalte

Betrug endet nicht bei PDFs. Dieselben böswilligen Akteure nutzen inzwischen deepfakesKI-generierte Video-, Audio- oder Bildinhalte, die reale Personen überzeugend imitieren. Eingesetzt für Identitätsdiebstahl, Überweisungsbetrug oder Meinungsmanipulation.-Videos, StimmenkloneSynthetische Replikation der Stimme einer realen Person, durch KI erzeugt, um biometrische Verifikationssysteme zu umgehen oder Überweisungsbetrug zu orchestrieren. und retuschierte Bilder, um KYCKnow Your Customer — regulatorischer Prozess zur Identifikation und Verifizierung der Kundenidentität, verpflichtend im Banken-, Versicherungs- und Finanzsektor.-Prozesse zu umgehen und Überweisungsbetrug zu orchestrieren.

DeepForgery Media zertifiziert die Authentizität von Bildern, Audioaufnahmen und Videos — und erkennt Face-SwapsDeepfake-Technik, bei der das Gesicht einer Person in einem Video durch das einer anderen ersetzt wird, um bei biometrischen Fernprüfungen eine Identität vorzutäuschen., synthetische Stimmen und Bildmanipulationen.

Der OrchestratorDeepForgery-Modul, das automatisch den eingehenden Dateityp (PDF, Bild, Audio, Video) analysiert und die passende Kombination forensischer Modelle ausrollt — ohne menschliches Eingreifen und ohne manuelle Konfiguration. identifiziert automatisch den eingehenden Dateityp und setzt die passende Modellkombination ein — ohne manuelle Konfiguration.

FAQ — Fragen, die sich Compliance- und Einkaufsverantwortliche stellen

Kann DeepForgery Dokumente in Fremdsprachen (Englisch, Chinesisch, Arabisch) analysieren? Ja. Die forensische Engine basiert auf der Analyse digitaler Strukturen, Kompressionsfingerabdrücken und Datei-Metadaten — Signale, die unabhängig von der Sprache des Dokuments sind. Die semantische Validierung passt sich den dokumentarischen Referenzen der jeweiligen geografischen Zone an.

Worin besteht der Unterschied zwischen DeepForgery und einer OCR-Prüfung oder einer Dokumentenmanagement-Lösung (DMS)? Ein OCRTechnologie, die automatisch Text aus einem Bild oder einem PDF extrahiert. Sie liest Oberflächendaten, kann aber nicht erkennen, ob das Bild vor oder nach der Digitalisierung gefälscht wurde.-System extrahiert Text — es erkennt nicht, ob dieser Text gefälscht wurde. Ein DMS speichert und klassifiziert — es prüft nicht die Authentizität. DeepForgery führt eine dreistufige forensische Analyse durch: Pixel, Dateistruktur, logische Kohärenz. Das sind zwei grundverschiedene Ansätze.

Wie integriert sich DeepForgery in SAP, ohne die bestehenden Prozesse zu stören? Über SAP BTPCloud-Plattform von SAP, die die Erweiterung von SAP-Anwendungen über Services und APIs ermöglicht, ohne den Standardcode des ERP zu ändern.. Wenn ein Dokument in SAP hochgeladen wird, startet die Analyse automatisch im Hintergrund — für den Nutzer unsichtbar, ohne Änderung des Standardcodes des ERP. Das Deployment ist nicht-invasiv und reversibel.

Wie erfolgt die Integration für Organisationen, die kein SAP nutzen? DeepForgery ist über eine REST-API verfügbar und kann dadurch in jedes Lieferantenportal, jeden Freigabe-Workflow oder jedes Dokumentenmanagementsystem integriert werden — unabhängig von der bestehenden Infrastruktur. Ein On-PremiseBereitstellungsmodus, bei dem die Lösung direkt auf den Servern des Unternehmens installiert wird und vollständige Vertraulichkeit ohne jeden Datentransit nach außen gewährleistet. Empfohlen für Umgebungen mit strengen Sicherheitsanforderungen.-Modus steht für Umgebungen mit den strengsten Sicherheitsanforderungen zur Verfügung.

Was Einkaufs- und Compliance-Abteilungen konkret gewinnen

Erkennung, eingebettet in bestehende Prozesse — die Analyse erfolgt in dem Moment, in dem das Dokument ins System gelangt, noch vor Speicherung oder Auslösung einer Zahlung

Dokumentierte Audit-Nachvollziehbarkeit — jede Analyse wird zeitgestempelt und archiviert, um den zuständigen Behörden (Sorgfaltspflicht, CSRD, Zoll) nachweisen zu können, dass eingehende Dokumente aktiv geprüft wurden

Sperre riskanter Zahlungen vor Ausführung — Bestellungen, die mit als verdächtig markierten Dokumenten verknüpft sind, werden zur menschlichen Prüfung zurückgestellt, bevor Geld abfließt

Schutz für sensible Umgebungen — der On-PremiseBereitstellungsmodus, bei dem die Lösung direkt auf den Servern des Unternehmens installiert wird und vollständige Vertraulichkeit ohne jeden Datentransit nach außen gewährleistet. Empfohlen für Umgebungen mit strengen Sicherheitsanforderungen.-Modus stellt sicher, dass Ihre Dokumente Ihre Infrastruktur nie verlassen

Fazit: Dokumentenbetrug ist ein Notfall. Die Antwort auch.

Die Demokratisierung generativer KI hat die technischen Hürden für Dokumentenfälschung beseitigt. Zu nahezu keinen Kosten kann heute jeder böswillige Akteur ein gefälschtes ISO-Zertifikat erstellen oder ein Konnossement so verändern, dass es für das menschliche Auge oder ein OCR-System nicht erkennbar ist.

Gleichzeitig lässt der europäische Regulierungsrahmen keinen Raum für Fehler. Ein gefälschtes Dokument zu akzeptieren ist kein Verwaltungsfehler mehr — es ist eine Straftat, die erhebliche Geldbußen und strafrechtliche Verfahren gegen Führungskräfte nach sich ziehen kann.

Angesichts dieser Bedrohung integriert sich DeepForgery direkt in Ihre Dokumentenprüfprozesse — per API oder im On-PremiseBereitstellungsmodus, bei dem die Lösung direkt auf den Servern des Unternehmens installiert wird und vollständige Vertraulichkeit ohne jeden Datentransit nach außen gewährleistet. Empfohlen für Umgebungen mit strengen Sicherheitsanforderungen.-Modus —, um Betrugsversuche genau in dem Moment abzufangen, in dem das Dokument versucht, in das Informationssystem einzudringen.

Wird ein gefälschtes Zertifikat erkannt, bevor es Ihr ERP erreicht, entstehen weder Geldbuße noch Strafsanktion noch Reputationsrisiko. Es wird sofort gestoppt — mit den forensischen Belegen, um zu handeln.