Prüfkatalog

Jedes hochgeladene Dokument wird automatisch einem Typ zugeordnet (Versicherungsnachweis, Transportlizenz, Firmen-Briefkopf, TIMOCOM-Profil, Kommunikation, Fahrer/Fahrzeugdokument). Die Klassifikation bestimmt, welcher spezialisierte Extraktions-Prompt anschließend läuft. Ohne korrekte Klassifikation greifen die typ-spezifischen Red-Flag-Regeln nicht.

Prüft den Gültigkeitszeitraum aus dem Versicherungsnachweis gegen das aktuelle Datum. Eine abgelaufene Verkehrshaftungsversicherung bedeutet vollen Haftungsausfall im Schadensfall — ein Showstopper, unabhängig von allen anderen Signalen.

Der im Versicherungsnachweis genannte Versicherungsnehmer wird mit dem angegebenen Frachtführernamen verglichen. Mismatches sind hochverdächtig — entweder ist die Police für eine andere Firma ausgestellt (= kein Schutz), oder das Dokument wurde von einer legitimen Firma „ausgeliehen“. Normalisiert Rechtsformen (GmbH, sp. z o.o., s.r.o.) und Schreibvarianten.

Die KI prüft visuell auf Manipulationsspuren: unterschiedliche Schriftarten innerhalb desselben Feldes, sichtbare Bildbearbeitungsspuren um Namen/Zahlen/Unterschriften, inkonsistente Ausrichtung, überlagerte Text­blöcke. Ergänzt die forensischen Metadaten-Checks um eine Inhaltsebene.

Ein polnischer Frachtführer mit ausschließlich rumänischen Kennzeichen ist nicht per se Betrug, aber erklärungsbedürftig — oft ein Indiz für Scheinfahrzeuge oder Subunternehmer­ketten. Kombiniert mit fehlender Fahrzeugzahl im Transportlizenz-Register wird das Signal stark.

Die USt-IdNr. des Frachtführers wird gegen die offizielle VIES-Datenbank der EU-Kommission geprüft. VIES liefert neben Gültigkeit auch den registrierten Firmennamen und die Adresse zurück. Stimmt der VIES-Name nicht mit dem Namen auf den Dokumenten überein, ist das ein sehr starkes Warnzeichen — entweder Tippfehler im Dokument oder eine geliehene/gefälschte USt-ID.

Das Registrierungsdatum der Firmendomain wird über RDAP (Registration Data Access Protocol) abgefragt. Domains jünger als 90 Tage, die für eine angeblich etablierte Transportfirma genutzt werden, sind ein bekanntes Muster bei Phantomfrachtführern — der Täter kauft eine Domain, fälscht Papiere und verschwindet nach einem Auftrag. Ältere Domains sind kein Freibrief, reduzieren aber das Risiko deutlich.

Prüft, ob die Absenderdomain gültige MX-Records hat (E-Mail überhaupt empfängt) und ob es sich um eine Freemail-Adresse (gmail.com, gmx.de, web.de) oder eine Firmenadresse handelt. Ein „offizieller Frachtführer“, der Aufträge über eine gmail-Adresse abwickelt, ist ein klassisches Red-Flag-Muster.

Prüft, ob die angegebene Firmen-Website erreichbar ist und (optional) ob sie inhaltlich zur Firma passt. Ein fehlender Webauftritt ist für einen aktiven europäischen Frachtführer im Jahr 2026 ungewöhnlich — nicht disqualifizierend, aber erklärungsbedürftig. Kombiniert mit junger Domain und Mobilfunk-only-Kontakt wird das Signal stark.

Die EXIF-Metadaten jedes hochgeladenen Bildes werden gelesen und das „Software“-Feld gegen eine Liste bekannter Bildbearbeitungsprogramme (Photoshop, Lightroom, GIMP, Pixelmator, Affinity Photo, Paint.NET) geprüft. Eine Marketingaufnahme, die mit Photoshop optimiert wurde, ist nicht automatisch Betrug — aber ein „Fahrerfoto am LKW“, das aus Photoshop stammt, ist ein klares Warnzeichen. Die Prüfung liefert nur ein Indiz; die finale Bewertung macht der Makler.

Prüft, ob das Bild überhaupt EXIF-Metadaten enthält (Kameramodell, Aufnahmedatum, GPS, Software-Stempel). Wurden alle Metadaten entfernt, fehlt eine wesentliche Spur der Bildherkunft — oft ein Nebeneffekt von Re-Uploads über Messaging-Dienste, manchmal aber auch ein bewusster Versuch, Herkunft zu verschleiern. Als alleiniges Signal schwach, in Kombination mit anderen Indizien stark.

Vergleicht `DateTimeOriginal` mit `ModifyDate` aus dem EXIF. Liegen diese mehr als 24 Stunden auseinander, wurde das Bild nachträglich bearbeitet — mindestens beschnitten oder rotiert, im schlimmsten Fall inhaltlich manipuliert. Low-Severity, weil legitime Ursachen (Export, Drehen, Beschriften) häufig sind, aber auffällig in Kombination mit einem Editing-Software-Stempel.

Liest `/Producer` und `/Creator` aus den PDF-Metadaten und gleicht gegen bekannte Online-PDF-Editoren ab (iLovePDF, Smallpdf, Sejda, PDFescape, Soda PDF, online2pdf, PDF24). Wurde ein legitimes Versicherungszertifikat von Allianz durch iLovePDF geschickt, ist das sehr auffällig — normale Versicherer exportieren direkt aus Word/InDesign. Die Erkennung ist deterministisch und liefert sehr wenige Falsch-Positive.

Zählt `/Prev`-Einträge in den XREF-Tabellen des PDFs. Jeder Eintrag entspricht einer inkrementellen Revision: das Dokument wurde nach dem ersten Speichern erneut geöffnet und verändert (z.B. Felder ausgefüllt, Texte ersetzt, Unterschriften eingefügt). Das muss nicht Betrug sein — aber ein „unverändertes Original vom Versicherer“ mit 3 inkrementellen Updates ist ein rotes Tuch.

Sucht nach `/JS`, `/JavaScript` und `/OpenAction` im PDF-Rohinhalt. Legitime Transportunterlagen enthalten nie ausführbaren Code. Eingebettetes JavaScript kann für Phishing, Credential-Harvesting oder Exploit-Versuche genutzt werden und ist ein kritisches Warnsignal — sowohl aus Betrugs- als auch aus IT-Sicherheitsperspektive.

Prüft, ob das PDF Grundmetadaten (`/Producer`, `/Creator`, `/Author` oder `/Title`) enthält. Fehlen alle, wurden die Metadaten aktiv entfernt — das ist im Alltag selten, weil jede übliche PDF-Erzeugung zumindest ein Produzenten-Feld hinterlässt. Auffällig, aber für sich allein kein Beweis; niedrig gewichtet.

Vergleicht `CreationDate` und `ModDate` aus dem PDF. Liegt das Änderungsdatum vor dem Erstellungsdatum oder mehr als 5 Jahre danach, ist die Chronologie unplausibel — typisch, wenn ein altes Dokument aufgebohrt oder ein Template zeitlich rückdatiert wurde. Schwaches Signal für sich, in Kombination mit Incremental-Updates und Online-Editor-Marker aber stark.

Nach der Einzelextraktion gleicht die KI die Felder über alle hochgeladenen Dokumente ab: stimmt der Firmenname auf Briefkopf, Police, Lizenz und Kommunikation überein? Passen Adressen, IBAN, USt-IdNr.? Unstimmigkeiten werden mit Severity (critical/major/minor) markiert. Dies ist die wichtigste Abwehr gegen „Mischdokumente“ aus mehreren Quellen.