Skip to content
KI- & Deepfake-ErkennungNeu

KI-Signale, synthetische Medien, Deepfakes

KundenreferenzPreiseSicherheitVergleichBlog
GlossarLänderleitfädenChecklistenROI-Rechner

Europe

Americas

Oceania

Leitfaden8 min Lesezeit

Error Level Analysis erklärt: Gefälschte Dokumentbilder erkennen

Error Level Analysis (ELA) erkennt Pixelmanipulation in JPEG-Bildern. Praxisleitfaden zur Identifikation gefälschter Gehaltsabrechnungen, Kontoauszüge und Ausweisdokumente.

Das CheckFile-Team
Das CheckFile-Team·
Illustration for Error Level Analysis erklärt: Gefälschte Dokumentbilder erkennen — Leitfaden

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Error Level Analysis (ELA) identifiziert Bereiche eines JPEG-Bildes, die digital verändert wurden, indem Kompressionsinkonsistenzen auf Pixelebene gemessen werden. Wenn ein Betrüger eine Gehaltsabrechnung, einen Kontoauszug oder ein Ausweisdokument bearbeitet und das Ergebnis als JPEG speichert, behalten die veränderten Bereiche eine andere Kompressionssignatur als die umgebenden originalen Bildinhalte — ELA macht diesen Unterschied innerhalb von Sekunden sichtbar.

Laut dem ACFE 2024 Report to the Nations werden nur 37 % aller Dokumentenbetrugsfälle durch manuelle Kontrollen entdeckt. Forensische Bildanalyse, einschließlich ELA, schließt den blinden Fleck, den visuelle Prüfung nicht abdecken kann.

Was ist Error Level Analysis?

ELA ist eine forensische Technik, die Manipulationen in JPEG-Bildern durch Ausnutzung des verlustbehafteten Kompressionsalgorithmus des Formats aufdeckt. Wenn eine JPEG-Datei auf einem bestimmten Qualitätsniveau gespeichert wird, wendet der Encoder diskrete Kosinustransformationen (DCT) auf 8×8-Pixelblöcke über das gesamte Bild an und verwirft Details unterhalb eines festgelegten Schwellenwerts. Nach diesem Vorgang erreicht jeder Block im Bild annähernd das gleiche Restfehler-Niveau — den „Boden" von Kompressionsartefakten bei dieser Qualitätseinstellung.

Wenn jemand ein JPEG bearbeitet — indem er eine Gehaltsziffer ersetzt, ein Lichtbilddokument tauscht oder ein Datum verändert — stammt der bearbeitete Bereich aus einer anderen Quelle oder hat einen anderen Kompressionszyklus durchlaufen. Das erneute Speichern des zusammengesetzten Bildes erzeugt einen Unterschied: Die originalen unveränderten Pixel werden ein zweites Mal komprimiert und verlieren mehr Detail, während der eingefügte Bereich, der zum ersten Mal komprimiert oder aus einem anderen Encoder stammend ist, ein anderes Profil beibehält.

ELA macht diesen Unterschied visuell sichtbar. Das Standardverfahren, formalisiert vom Sicherheitsforscher Neal Krawetz auf der Black Hat USA 2007, besteht aus:

  1. Das Bild auf einem bekannten Qualitätsniveau erneut speichern (typischerweise 95 %).
  2. Den pixelgenauen absoluten Unterschied zwischen der erneut gespeicherten Version und dem Original berechnen.
  3. Die Unterschiede zur Sichtbarkeit skalieren und das Ergebnis als Wärmekarte darstellen — hellere Bereiche zeigen höhere Fehlerniveaus und mögliche Manipulation an.

Wie ELA Manipulationen in Dokumenten erkennt

Ein authentisches, unverändertes Dokument zeigt eine relativ gleichmäßige Helligkeit auf der ELA-Karte, abgesehen von vorhersehbaren Randeffekten an Hochkontrastgrenzen wie gedrucktem Text auf weißem Papier. Diese Ränder sind strukturell erwartet und weisen hohe Fehlerniveaus in jeder unveränderten JPEG auf.

Ein gefälschtes Dokument zeigt zwei charakteristische Muster:

Unerwartete helle Bereiche in flachen Regionen. Text, Zahlen oder Grafiken, die aus einer externen Quelle eingefügt wurden, behalten ihre originalen Kompressionseigenschaften. Die Grenze zwischen neuem und altem Inhalt leuchtet auf der ELA-Karte oft hell auf, selbst wenn der visuelle Unterschied für das bloße Auge nicht wahrnehmbar ist.

Ungewöhnlich dunkle Bereiche, wo Inhalt gelöscht wurde. Wenn ein Betrüger originalen Inhalt überschreibt — zum Beispiel eine Gehaltsziffer übermalt und eine neue einfügt — kann der überschriebene Bereich ungewöhnlich niedrige Fehlerniveaus im Vergleich zum benachbarten Originaltext aufweisen, da er durch zusätzliche Kompressionszyklen abgeflacht wurde.

Beide Signaturen sind selbst nach einer fachkundigen Bearbeitung mit professioneller Software erkennbar, weil die zugrunde liegende Kompressionsmathematik nicht einfach durch Anpassen von Schriftarten oder Farbwerten maskiert werden kann.

Dokumenttypen, bei denen ELA am effektivsten ist

ELA ist am zuverlässigsten bei Dokumenten, deren Original ein JPEG-Scan oder -Foto ist. Die Technik ist weniger nützlich für native PDF-Dateien oder PNG-Dateien, die verlustfreie oder andere Kompressionsschemata verwenden.

Dokumenttyp Typische Manipulation ELA-Signal
Gehaltsabrechnungen (JPEG-Scan) Gehalt, Nettobetrag oder Periode verändert Heller Hof um bearbeitete Ziffern
Kontoauszüge (Foto) Kontostand oder Transaktionsbetrag geändert Inkonsistenter Fehlerboden in Ziffernspalten
Ausweisdokumente (Foto) Name, Geburtsdatum oder Foto ersetzt Grenzartefakte um eingefügte Elemente
Rechnungen (JPEG-Scan) Gesamtbetrag oder USt-IdNr. ersetzt Flacher Bereich, wo Originaldaten gelöscht wurden
Mietverträge (Scan) Name des Unterzeichners geändert Sichtbare Rekomprimierungskante um Textblock

Gehaltsabrechnungsbetrug ist eine der häufigsten Anwendungen. Kreditgeber und Vermieter erhalten regelmäßig gescannte Gehaltsabrechnungen mit aufgeblähten Gehaltsbeträgen. ELA, kombiniert mit PDF-Metadatenanalyse, bietet eine zweischichtige Prüfung, die die meisten groben Fälschungen aufdeckt.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Kostenloses Pilotprojekt anfragen

Eine ELA-Prüfung durchführen: Werkzeuge und Vorgehen

Das am häufigsten verwendete öffentliche Werkzeug ist FotoForensics, das den ursprünglichen Algorithmus von Krawetz implementiert. Forensische Plattformen und kommerzielle Dokumentenprüfungssysteme integrieren ELA typischerweise als Teil einer umfassenderen Bildforensik-Pipeline.

Ein praktischer Arbeitsablauf für Compliance-Teams:

  1. Das Bild aus dem Dokument extrahieren. Gescannte PDFs in JPEG-Exporte je Seite mit der Originalauflösung konvertieren. Nicht bei der Extraktion rekomprimieren.
  2. ELA auf einer festen Qualitätseinstellung ausführen. Qualität 75 ist ein Standard-Referenzpunkt; Qualität 95 betont subtile Änderungen.
  3. Flache Bereiche und Textzonen inspizieren. Jeden Bereich markieren, wo die Fehlerniveauverteilung von der umgebenden Basislinie abweicht.
  4. Gegenprüfung mit Metadaten. Erstellungsdatum, Produzentensoftware und XMP-Revisionshistorie sollten mit dem angegebenen Dokumentursprung konsistent sein.
  5. Mit einer Referenzprobe vergleichen. Wenn möglich, ein zweites Dokument desselben Typs vom selben Aussteller anfordern, um die Referenzkompressionssignaturen zu vergleichen.

Kein einzelnes Werkzeug liefert allein ein endgültiges Fälschungsurteil. ELA-Ergebnisse sind Indikatoren für weitere Untersuchungen, keine eigenständigen Beweise.

Grenzen der Error Level Analysis

Zu verstehen, wo ELA versagt, ist genauso wichtig wie zu wissen, wo sie funktioniert. Stand Juni 2026 verringern folgende Szenarien die Zuverlässigkeit von ELA:

Mehrere Kompressionszyklen. Ein Dokument, das gedruckt und neu eingescannt oder durch mehrere JPEG-Codierungsstufen gegangen ist, hat eine abgeflachte und homogene Fehlerkarte, die frühere Bearbeitungen verbirgt. Professionelle Betrüger nutzen dies, indem sie Bilder vor der Einreichung mehrmals erneut exportieren.

Hochwertige Bearbeitungssoftware. Werkzeuge, die JPEG-Codierung nativ verwalten — darunter Adobe Photoshops „Für Web speichern" im Maximum-Qualitätsmodus — können den Unterschied zwischen bearbeiteten und originalen Bereichen verringern, insbesondere bei Qualitätseinstellungen über 90.

Verlustfreie Formate. ELA gilt nicht für PNG-, TIFF- oder PDF-Dateien, die direkt aus einem Textverarbeitungsprogramm generiert wurden. Für diese sind Metadatenanalyse und strukturelle Inspektion die primären Erkennungsmethoden.

Native ELA-Artefakte an Rändern. Hochkontrastgrenzen zwischen Text und Hintergrund zeigen immer erhöhte Fehlerniveaus. Diese ohne Blick auf den umgebenden Kontext als Fälschungsindikator zu interpretieren, erzeugt falsch positive Ergebnisse.

KI-generierte Dokumente. Dokumente, die von generativen Modellen produziert werden, sind nicht aus einer JPEG-Quelle zusammengesetzt und zeigen daher keinen erkennbaren ELA-Unterschied. Sie erfordern eine andere Erkennungsschicht, die sich auf Generierungsartefakte und Modellsignaturen konzentriert. Die KI-Erkennung von CheckFile befasst sich mit dieser Klasse von Fälschungen separat.

Laut dem ENISA Threat Landscape 2024 nimmt die Raffinesse der Dokumentenfälschungswerkzeuge, die nicht-technischen Akteuren zur Verfügung stehen, zu. ELA sollte als eine Schicht in einem Tiefenverteidigungsansatz betrachtet werden und nicht als alleiniger Torwächter.

ELA mit anderen forensischen Techniken kombinieren

Ein mehrschichtiger analytischer Ansatz, der ELA, Metadateninspektion und dokumentenübergreifende Konsistenzprüfungen kombiniert, stellt die zuverlässigste Methodik zur Identifikation manipulierter Dokumentbilder dar. Keine einzelne Technik deckt alle Angriffsvektoren ab.

Metadatenforensik untersucht den in der Datei eingebetteten digitalen Fingerabdruck: Erstellungsdatum, PDF-Produzentensoftware, XMP-Revisionshistorie und EXIF-Daten für Fotos. Eine Gehaltsabrechnung, deren EXIF-Zeitstempel eine Änderung drei Stunden nach dem angegebenen Auszahlungsdatum zeigt, ist ein unmittelbares Warnsignal.

Dateistrukturanalyse inspiziert die interne Byte-Struktur von PDFs und Bildern auf Anomalien: duplizierte Objektströme, verwaiste Datenblöcke oder inkonsistente Querverweistabellen, die auf das Einschleusen von Inhalten hinweisen.

Dokumentenübergreifende Konsistenz validiert, dass zwei Dokumente derselben Entität — zum Beispiel mehrere Gehaltsabrechnungen desselben Arbeitgebers — dieselben Schriftarten, Layout-Metriken und eingebettete Objektstruktur teilen. Inkonsistenzen treten auf, wenn ein Dokument in der Gruppe aus einer anderen Vorlage produziert wurde.

Erkennung von KI-Generierungssignalen identifiziert Muster, die für synthetische Dokumente charakteristisch sind, die von großen Sprachmodellen oder Bildgeneratoren erstellt wurden. Unser Vergleich von Dokumentforensik-Werkzeugen und KI behandelt dieses Thema ausführlich.

Zusammen bieten diese Techniken überlappende Abdeckung: Wenn ein Betrüger eine Kontrolle überwindet — beispielsweise durch Verwendung eines verlustfreien Zwischenschritts zum Abflachen von ELA-Signalen —, decken die anderen Schichten typischerweise andere Anomalien auf.

Regulatorischer Rahmen in Deutschland

Stand 24. Juni 2026 sind deutsche verpflichtete Unternehmen nach dem Geldwäschegesetz (GwG) verpflichtet, Sorgfaltspflichten proportional zum dargestellten Risiko anzuwenden. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) schreibt keine spezifischen technischen Methoden für die Dokumentenprüfung vor, verlangt aber robuste Systeme und Kontrollen zur Erkennung gefälschter oder veränderter Dokumente sowohl beim Onboarding als auch bei der laufenden Überwachung.

ELA, als Teil eines dokumentierten forensischen Workflows, erfüllt den Standard „angemessener und risikosensibler" Maßnahmen, wenn sie systematisch angewendet wird und die Ergebnisse in der Kundenrisikodatei dokumentiert werden. Unternehmen sollten sicherstellen, dass ELA-Ausgaben zusammen mit der Entscheidungsbegründung protokolliert werden, um Prüfpfade zu unterstützen.

Für eine Vertiefung Ihrer Dokumentenprüfungspraktiken lesen Sie unseren Leitfaden zur Dokumentenprüfung.

Häufig gestellte Fragen

Was zeigt ELA konkret?

ELA zeigt, wo das Kompressionsmuster eines Bildes von dem abweicht, was erwartet werden würde, wenn das Bild nie verändert worden wäre. Hellere Bereiche in der ELA-Ausgabe zeigen Regionen an, die zusätzliche Kompressionszyklen durchlaufen haben oder aus einer anderen Quelle stammen — beides deutet auf Nachbearbeitung hin.

Kann ELA alle Arten von Dokumentenfälschungen erkennen?

Nein. ELA ist bei unveränderten JPEG-Dokumenten wirksam, die nicht durch mehrere Rekomprimierungszyklen gegangen sind. Es erkennt keine Veränderungen in verlustfreien Formaten (PNG, natives PDF) oder in KI-generierten Dokumenten, die kein originales JPEG-Kompressionsmuster haben, von dem sie abweichen könnten.

Welche kostenlosen Werkzeuge kann ich für ELA verwenden?

FotoForensics (fotoforensics.com) ist die am häufigsten verwendete kostenlose Online-Implementierung des Algorithmus von Neal Krawetz. Es akzeptiert JPEG- und PNG-Uploads und gibt eine kommentierte ELA-Karte zurück. Für die Dokumentenprüfung im Produktionsmaßstab integrieren kommerzielle Plattformen ELA als Teil einer umfassenderen automatisierten Pipeline.

Wie unterscheidet sich ELA von der Metadatenanalyse?

ELA analysiert das Kompressionsmuster auf Pixelebene, um zu erkennen, wo visueller Inhalt möglicherweise verändert wurde. Metadatenanalyse untersucht die nicht sichtbaren eingebetteten Daten (Erstellungsdaten, Software, Revisionshistorie), um zu erkennen, wann und wie die Datei geändert wurde. Sie sind komplementär: ELA identifiziert WO im Bild eine Bearbeitung stattgefunden hat; Metadatenanalyse deckt auf, WANN und WIE die Datei verändert wurde.

Sind ELA-Ergebnisse als Beweis vor deutschen Gerichten zulässig?

ELA-Ergebnisse können forensische Gutachten unterstützen, die von qualifizierten Sachverständigen erstellt wurden, aber die ELA-Ausgabe allein stellt vor deutschen Gerichten keinen eigenständigen Fälschungsbeweis dar. Sie wird als vorläufiger Indikator verwendet, der eine detailliertere Untersuchung auslöst. Die Zulässigkeit hängt von der Methodik des Sachverständigen, der Beweiskette und der Dokumentation der Analyse ab.

Um diesen Risikobereich im CheckFile-Angebot einzuordnen, siehe unseren Ansatz zur KI- und Deepfake-Erkennung.

Bleiben Sie informiert

Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Verwandte Artikel

Leitfaden9 min

PDF-Metadaten-Manipulation erkennen: Leitfaden zur Dokumentenprüfung

Wie Sie ein gefälschtes PDF-Dokument durch Metadatenanalyse erkennen: forensische Techniken, Tools, Warnsignale und BaFin-Anforderungen für Compliance-Teams in Deutschland.

Lesen
Leitfaden13 min

Team schulen: KI-Dokumente an visuellen Merkmalen erkennen

Sieben visuelle Merkmale, mit denen Ihr Team KI-generierte Dokumente erkennt. Dreistufiges Schulungsprogramm, GwG- und BaFin-Pflichten sowie Integration in automatisierte Prüfworkflows.

Lesen
Leitfaden8 min

Wohngebäudeversicherung: gefälschte Dokumente erkennen 2026

Wie gefälschte Adressnachweise, IBAN-Daten und Mietverträge bei der Wohngebäudeversicherung erkannt werden. BaFin-Rahmen, Erkennungsmethoden und Tools für 2026.

Lesen