Falsche Identitäten und gefälschte Diplome: Recruiting unter Hochdruck

Deepfakes und gefälschte Diplome: KI im Dienst von Recruiting-Betrug

Den Wandel digitaler Fälschungen verstehen, um Ihr Unternehmen besser zu schützen.

Einleitung

Der Recruiter hat gerade ein perfektes Video-Interview beendet. Der Kandidat beherrscht die technischen Antworten, der Lebenslauf wirkt solide, die Diplome sind als PDF beigefügt. Zwei Wochen später zeigt sich die Realität: Die eingestellte Person besitzt keine der im Interview demonstrierten Fähigkeiten. Der echte Experte, der die Fragen beantwortete, war nicht der Kandidat.

Dieses Szenario, das von mehreren internationalen Cybersecurity-Organisationen dokumentiert wurde, zeigt eine tiefgreifende Veränderung des Recruiting-Betrugs. Es geht nicht mehr nur um das Aufhübschen eines Lebenslaufs: Heute werden zunehmend zugängliche digitale Fälschungswerkzeuge eingesetzt, um Ausweisdokumente, Diplome und Visa zu erzeugen, die von Originalen schwer zu unterscheiden sind.

Das weltweite Ausmaß von Dokumentenbetrug

Bewerbungsbetrug ist inzwischen Teil einer strukturierten kriminellen Ökonomie, die drei große Dokumentkategorien betrifft: Diplome, Pässe und Visa. Verfügbare Daten zeigen die Dimension des Phänomens:

Mehr als 75% der Unternehmen haben während ihrer Einstellungsprozesse Abweichungen in Bewerbungen festgestellt (HireRight — Global Benchmark Report on Identity Fraud in Hiring, 2025).

In virtuellen Interviews haben 60% der Hiring Manager Kandidaten identifiziert, die ihre Qualifikationen oder Erfahrung verfälscht haben (Checkr — The Hiring Hoax Manager Survey, 2025).

• 25% der Kandidatenprofile könnten bis 2028 vollständig falsch oder KI-generiert sein (Gartner, Juli 2025).

In diesem Kontext wird der Einstellungsprozess zu einer neuen Angriffsfläche für Organisationen.

Die drei großen Familien des Dokumentenbetrugs

1. Diplom-Betrug

Akademischer Betrug ist eine der verbreitetsten Formen der Fälschung im Recruiting. Der globale Markt für gefälschte Diplome und zugehörige Dienstleistungen wird auf 21 Milliarden US-Dollar geschätzt (Parchment, 2024). Diese Dokumente werden heute mit einer visuellen Präzision produziert, die eine Erkennung mit bloßem Auge unzuverlässig macht.

Drei Fälschungsmodi lassen sich unterscheiden:

A — Das manipulierte Diplom

Ein authentisches Dokument wird nach der Erstellung verändert: Name, Abschluss, Datum oder Institution werden geändert. Retusche-Software ermöglicht Eingriffe in Typografie, Stempel und Unterschriften mit zunehmender Präzision. Solche Änderungen hinterlassen in der Regel Spuren in den Metadaten der Datei.

B — Das digital rekonstruierte Diplom

KI-Tools können eine veränderte Version eines bestehenden Dokuments erzeugen oder ein ganzes Dokument aus visuellen Beispielen rekonstruieren. Im Gegensatz zur klassischen Fälschung entsteht dabei eine neue Datei, deren Struktur kohärent wirken kann, deren Inhalt jedoch betrügerisch ist.

C — Das vollständig generierte Diplom

Spezialisierte Dienste bieten Diplome an, die vollständig durch KI erstellt wurden — für fiktive Universitäten mit überzeugenden Websites, aktiven Telefonnummern und „Professoren“-Profilen. Diese vollständigen Betrugsökosysteme sind ohne Abgleich mit offiziellen Akkreditierungsregistern besonders schwer zu erkennen.

Warnsignale, auf die Sie achten sollten:

• – Metadaten, die eine kürzliche Erstellung für ein angeblich altes Dokument anzeigen
• – Schrift oder Logo leicht abweichend vom institutionellen Standard
• – QR-Code, der auf eine kürzlich registrierte Domain weiterleitet
• – Akkreditierungsnummer, die in offiziellen Registern nicht existiert
• – Unmögliche akademische Daten (Semester endet vor dem Startdatum)
• – Unterschrift oder Stempel, der aus einem öffentlichen Dokument reproduziert wurde
• 2. Betrug mit Pässen und Ausweisdokumenten

Die Fälschung von Pässen und Ausweisdokumenten hat sich tiefgreifend verändert. Physische Manipulationen wurden weitgehend durch digitale Techniken ersetzt. Heute lassen sich drei Kategorien unterscheiden:

A — Das gefälschte Dokument

Ein authentisches Dokument wird digital verändert: Foto ersetzt, personenbezogene Daten geändert. Die Erkennung stützt sich auf die Analyse eingebetteter Sicherheitsmerkmale und die Verifikation bei den zuständigen Behörden.

B — Das digital rekonstruierte Dokument

Passbilder werden mit KI erzeugt oder manipuliert, um visuell überzeugende Scans zu produzieren. Diese Fälschungen werden besonders in Remote-Identitätsprüfungen genutzt, bei denen nie ein physisches Dokument vorgelegt wird.

C — Synthetische Identität

Es geht nicht mehr darum, ein bestehendes Dokument zu fälschen, sondern eine vollständige Identität zu erzeugen, die nicht existiert: Name, Geburtsdatum, Adresse, ein teilweiser Verlauf und ein kohärentes Dokument entstehen gemeinsam. Solche Identitäten kombinieren teils reale Daten mit fiktiven Angaben, was die Erkennung strukturell erschwert, weil keine reale Person direkt identitätsgestohlen wird.

Im Recruiting dient ein gefälschtes Ausweisdokument vor allem dazu:

• – Arbeitsberechtigungsprüfungen zu umgehen
• – eine reale Identität zu verschleiern (Vorgeschichte, Treffer in Branchendatenbanken)
• – einer Person zu ermöglichen, unter der Identität einer anderen mit den erforderlichen Qualifikationen zu kandidieren
• 3. Visa-Betrug

Gefälschte Visa-Dokumente sind in vielen Einstellungsprozessen ein blinder Fleck. HR-Teams prüfen die Echtheit von Arbeitsvisa selten mit der gleichen Strenge wie Diplome, obwohl diese Dokumente rechtlich das Arbeitsrecht begründen.

Drei Betrugsarten lassen sich unterscheiden:

A — Das gefälschte Visum

Ein authentisches Visum wird kopiert oder digital verändert: Ablaufdatum manipuliert, Visatyp geändert (Touristenvisum wird zum Arbeitsvisum), oder das Ausstellerland wird verändert. Konsularische Verifikationssysteme können diese Dokumente theoretisch validieren, doch nur wenige Arbeitgeber haben direkten Zugang.

B — Das digital rekonstruierte Visum

Bilder von Passseiten mit Visa werden durch KI erzeugt oder manipuliert. Diese Fälschungen werden häufig in vollständig digitalisierten Recruiting-Prozessen genutzt, in denen kein physisches Dokument je persönlich geprüft wird.

C — Das vollständig generierte Visum

In dokumentierten Fällen werden Visa für Personen mit vollständig synthetischen Identitäten generiert. Diese Betrugsform zielt insbesondere auf internationale Remote-Recruiting-Prozesse ab, in denen die Prüfung ausländischer Dokumente strukturell schwieriger ist.

Die Einstellung einer Person mit gefälschtem Arbeitsvisum setzt den Arbeitgeber erheblichen Risiken aus:

• – Verwaltungsrechtliche Sanktionen wegen illegaler Beschäftigung
• – Bußgelder, deren Höhe je nach nationaler Gesetzgebung variiert
• – Haftungsrisiken bei nachgewiesener Fahrlässigkeit
• – Reputationsrisiko im Fall von Kontrollen oder Ermittlungen

Warum Organisationen zu Zielen geworden sind

Die Verbreitung von Remote-Recruiting

Video-Interviews sind inzwischen Standard. Tools können Bild und Stimme in Echtzeit manipulieren, sodass der Recruiter mit einer Person interagieren kann, deren Erscheinung auf dem Bildschirm nicht ihrer realen Identität entspricht. Dieses Phänomen wurde von mehreren internationalen Cybersecurity-Behörden dokumentiert, darunter dem FBI, das hierzu öffentliche Warnungen veröffentlicht hat.

Der strategische Wert interner Zugänge

Eine betrügerische Einstellung kann Zugriff auf IT-Systeme, interne Datenbanken und strategische Kommunikation ermöglichen. Dokumentierte Fälle zeigen, dass solche Zugänge böswillig genutzt wurden – etwa zur Exfiltration geistigen Eigentums oder zur Kompromittierung von Infrastrukturen.

Grenzen der aktuellen Abwehr

Die meisten Organisationen stützen sich auf manuelle CV-Prüfung, visuelle Dokumentenchecks und das Video-Interview. Diese Mechanismen basieren auf menschlichem Vertrauen. Genau diese Schwäche nutzt moderner Dokumentenbetrug: Dokumente, die darauf ausgelegt sind, eine Sichtprüfung zu täuschen, hinterlassen ohne vertiefte Analyse keine offensichtlichen Spuren.

Recruiter stehen vor einem strukturellen Problem: Sie müssen Entscheidungen auf Basis digitaler Belege treffen, die mit leicht zugänglichen Tools fälschbar sind. Die Frage ist nicht mehr, ob das passiert, sondern wie man sich schützt.

Rechtlicher und Compliance-Rahmen: worauf es ankommt

Die rechtlichen Folgen eines gefälschten Dokuments hängen stets von den konkreten Umständen, dem betroffenen Sektor, der rechtlichen Einordnung und der zuständigen Gerichtsbarkeit ab. In der Praxis ist für Organisationen vor allem entscheidend, einen verhältnismäßigen, nachvollziehbaren und dokumentierten Prüfprozess nachweisen zu können, mit menschlicher Überprüfung immer dann, wenn eine Entscheidung erhebliche Auswirkungen haben kann.

Die hier beschriebenen Kontrollen sind deshalb als Maßnahmen des Risikomanagements, der Compliance und der Beweissicherung zu verstehen. Jede endgültige Sperrung, Meldung, vertragliche Sanktion oder gerichtliche Maßnahme sollte weiterhin von den zuständigen Rechts- oder Compliance-Teams validiert werden.

Illustratives Szenario: Kombination mehrerer Betrugsformen in einem Remote-Recruiting

Das folgende Szenario ist illustrativ. Es basiert auf von Cybersecurity-Behörden und Identitätsprüfstellen dokumentierten Betrugstypologien, entspricht jedoch keinem identifizierbaren realen Fall.

Der Kontext

Ein internationales Technologieunternehmen stellt einen Senior-Developer im Remote-Setting ein. Der Kandidat präsentiert einen soliden Lebenslauf, ein Diplom einer renommierten Universität, ein scheinbar gültiges Arbeitsvisum und besteht ein technisches Video-Interview. Die Unterlagen werden vor Abschluss der Einstellung einer vertieften Analyse unterzogen.

Was eine vertiefte Analyse aufdecken kann

Identitätsaustausch während des Video-Interviews

Das Bild des Kandidaten zeigt visuelle Inkonsistenzen, die typisch für Echtzeit-Manipulation sind: Mikroverzerrungen an den Gesichtskonturen, Asynchronität zwischen Lippenbewegungen und Ton, atypisches Verhalten bei abrupten Gesten.

Digital erzeugtes Diplom

Die PDF-Datei weist eine atypische Struktur für ein gescanntes Dokument auf. Die genannte Universität erscheint in keinem zugänglichen offiziellen Akkreditierungsregister. Ihre Website wurde kurz vor der Bewerbung registriert.

Digital rekonstruiertes Arbeitsvisum

Das Visabild zeigt visuelle Merkmale, die zu digitaler Generierung oder Manipulation passen. Die Visanummer entspricht keinem bekannten offiziellen Format des Ausstellerlands.

Teilweise synthetische Identität

Datenabgleiche zeigen, dass die verwendete Identität reale Elemente mit nicht verifizierbaren Angaben kombiniert: nicht existente Adresse, Geburtsdatum ohne Entsprechung in öffentlichen Registern.

Was danach passiert

Das Verifikationsteam erhält eine Warnung. Die Kandidatenakte wird ausgesetzt und vor jeder Einstellungsentscheidung eine zusätzliche Prüfung veranlasst. Die Einstellung wird abgebrochen.

Solche Fälle zeigen den Nutzen, einen systematischen Dokumentenanalyseprozess vor jede Entscheidung zu legen – ergänzend zu den üblichen menschlichen Checks.

DeepForgery: eine Lösung, die in Ihre Prüfprozesse integriert ist

DeepForgery ist dafür konzipiert, sich direkt in bestehende Dokumentenprüf-Workflows von HR-, Rechts- und Compliance-Teams zu integrieren, ohne deren Organisation zu verändern.

Zwei Bereitstellungsmodi

DeepForgery ist in zwei Integrationsvarianten verfügbar, die an die Anforderungen jeder Organisation angepasst sind:

In beiden Fällen erfolgt die Analyse automatisch beim Einreichen oder Übertragen des Dokuments in den Bearbeitungsworkflow — ohne zusätzliche manuelle Aktionen der Teams.

Zwei komplementäre Engines

DeepForgery Media analysiert Video- und Audio-Streams, um visuelle und akustische Anomalien in Remote-Interviews zu erkennen.

DeepForgery Documents verfügt über Modelle, die speziell trainiert wurden, um Dokumentenbetrug in drei Hauptformen zu erkennen:

• – gefälschte Dokumente — nach der Erstellung mit Editier-Software verändert (Bildretusche, PDF-Editing, professionelle Grafiktools)
• – digital rekonstruierte Dokumente — ganz oder teilweise durch KI aus bestehenden Vorlagen neu erstellt
• – vollständig generierte Dokumente — ex nihilo durch KI-Tools oder Spezialsoftware erzeugt, ohne authentisches Quelldokument

Diese Modelle analysieren interne Dateistruktur, Metadaten, visuelle Merkmale der Dokumentbestandteile und führen Abgleiche mit externen Referenzen durch (Akkreditierungsregister, offizielle Dokumentformate je Ausstellerland). Dieser Multi-Layer-Ansatz adressiert Betrug, der einer menschlichen Sichtprüfung entgeht.

Beide Engines arbeiten gemeinsam und bieten eine erweiterte Abdeckung der Expositionsfläche in einem digitalisierten Einstellungsprozess.

Was die Analyse abdeckt

• – Prüfung der strukturellen Konsistenz eingereichter Dateien
• – Analyse von Metadaten und Dokumenthistorie
• – Abgleich deklarierter Daten mit externen Referenzen (Akkreditierungsregister, offizielle Dokumentformate)
• – Erkennung von Manipulations- oder Generierungsindikatoren in Video-Streams
• – Erstellung von Analyseberichten, nutzbar für interne Audits

DeepForgery ist ein Entscheidungsunterstützungstool. Seine Analysen sind Indikatoren für einen umfassenden Prüfprozess, keine endgültigen Schlussfolgerungen. Jede Einstellungs- oder Ablehnungsentscheidung bleibt bei der Organisation und sollte auf allen verfügbaren Prüfungen basieren.

Häufige Fragen

Unterstützt DeepForgery alle Dokumenttypen?

DeepForgery unterstützt die wichtigsten Formate in Einstellungsprozessen: PDF, Bilder, Scans und Screenshots. Abgedeckt werden Diplome, Pässe, Arbeitsvisa, Notenspiegel und Empfehlungsschreiben. Eine Liste der unterstützten Formate ist in der technischen Dokumentation verfügbar.

Worin liegt der Unterschied zu einem optischen Dokumentenlesetool?

Ein optisches Lesetool (OCR) extrahiert Text aus einem Dokument. DeepForgery analysiert Struktur und Kohärenz der Datei selbst: Änderungshistorie, Konformität mit Dokumentstandards, Vorhandensein von Indikatoren für digitale Generierung oder Manipulation. Beide Ansätze ergänzen sich.

Kann DeepForgery die verschiedenen Arten von Dokumentenbetrug unterscheiden?

Die Analyse zielt darauf ab, je nach Manipulationsart unterschiedliche Indikatorkategorien zu identifizieren: Ein modifiziertes Dokument, ein digital rekonstruiertes Dokument und ein generiertes Dokument weisen unterschiedliche Merkmale auf. Die Lösung erzeugt einen kategorisierten Analysebericht, der Teams hilft, ergänzende Prüfungen zu priorisieren.

Wie erfolgt die Integration in bestehende HR-Prozesse?

Die Integration basiert auf einer dokumentierten REST-API, kompatibel mit den wichtigsten ATS-Systemen am Markt. Für on-premise-Umgebungen werden Installationsdokumentation und technischer Support bereitgestellt. Ziel ist es, Arbeitsgewohnheiten nicht zu verändern, sondern upstream eine automatisierte Analyseschicht hinzuzufügen.

Welche Daten werden bei einer Analyse via API übertragen?

Datenverarbeitungsmodalitäten, Aufbewahrungsfristen und Vertraulichkeitsgarantien sind in der Vertragsdokumentation und der Datenverarbeitungsrichtlinie von DeepForgery beschrieben. Für Organisationen mit spezifischen Anforderungen (DSGVO, regulierte Sektoren) ermöglicht on-premise, alle Dokumente zu verarbeiten, ohne sie außerhalb der Infrastruktur zu übertragen.

Was Teams erwarten können

Die Integration von DeepForgery in einen Dokumentenprüfprozess zielt darauf ab:

• – Erkennung von Fälschungsindikatoren bei Diplomen, Pässen und Arbeitsvisa in digitalisierten Prozessen zu stärken
• – Visuelle und verhaltensbezogene Anomalien in Remote-Video-Interviews zu identifizieren
• – Infiltrationsrisiken durch betrügerische Identitäten oder nicht verifizierbare Qualifikationen zu reduzieren
• – Compliance mit AML6, DSGVO und Einwanderungsrecht durch nachvollziehbare Audit-Elemente zu unterstützen
• – Teams von repetitiven manuellen Prüfungen gängiger Dokumente zu entlasten

Fazit

Recruiting-Betrug hat sich verändert. Er besteht nicht mehr nur darin, einen Lebenslauf zu verschönern, sondern komplette Identitäten und Laufbahnen mit zugänglichen digitalen Tools zu erzeugen: Diplome fiktiver Universitäten, rekonstruierte Ausweisdokumente, generierte Visa. Diese Dokumente sind keine handwerklichen Imitationen mehr — sondern digitale Artefakte, die darauf ausgelegt sind, übliche Sichtprüfungen zu umgehen.

In einer Umgebung, in der Organisationen ihre Daten und internen Zugänge schützen und Arbeits- sowie Einwanderungsrecht einhalten müssen, stellt das Fehlen eines angemessenen Dokumentenprüfprozesses ein reales rechtliches und operatives Risiko dar.

Automatisierte Dokumentenanalyse upstream in Einstellungsentscheidungen zu integrieren — per API oder on-premise — fügt eine strukturierte Wachsamkeitsschicht hinzu, ohne bestehende Prozesse zu belasten, und liefert nachvollziehbare Elemente für Kontrollen oder Audits.