Jede Woche bekommen Support-Teams Fotos auf den Tisch, die falsch aussehen — nur lässt sich nicht sagen, warum. Das Bauchgefühl stimmt meist. Betrüger kalkulieren genau damit, weil die Rückerstattung billiger wirkt als der Streit. Dieser Leitfaden macht aus Bauchgefühl eine Checkliste, die Ihr Team in drei Minuten pro Fall durchlaufen kann — ohne Spezialsoftware.
Wir behandeln zwölf Indizien: sechs visuelle, drei aus den Metadaten, drei aus dem Kundenverhalten. Am Ende haben Sie einen Entscheidungsbaum, den Sie als Zendesk- oder Gorgias-Makro ablegen können.
Warum Photoshop-Erkennung bei Retouren wirtschaftlich ist
Der NRF Return Fraud Report 2024 beziffert Retourenbetrug auf ~13,7 % aller Retouren — Tendenz steigend, besonders bei Schadensansprüchen. Für einen Shop mit 2 Mio. € Jahresumsatz bei 18 % Retourenquote sind das schnell fünfstellige jährliche Verluste, ohne Chargebacks mitgerechnet.
Zwei Entwicklungen haben die Lage verschärft: Consumer-KI-Tools wie Apples Clean Up, Samsungs Object Eraser und Adobe Firefly erzeugen Inpainting-Edits, die visuell keine Pinselspuren mehr hinterlassen. Gleichzeitig haben Amazon und eBay ihre Käuferschutz-Regeln verschärft — die forensische Hürde ist damit höher geworden.
Sechs visuelle Indizien (ohne Spezialsoftware)
Ein verdächtiges Schadensfoto prüfen
Führen Sie die sechs Checks in Reihenfolge aus. Stoppen Sie, sobald zwei anschlagen.
- Primäre Lichtquelle bestimmenWoher fällt das Licht? In einer Szene mit einer Lichtquelle müssen alle Schatten in die gleiche Richtung fallen — mit vergleichbarer Weichheit. Zwei Schattenrichtungen auf benachbarten Objekten bedeuten: komponiert.
- Schattenhärte und Umgebungslicht abgleichenEin Kratzer auf einem schwach beleuchteten Küchentisch muss weiche Schattenränder haben. Ein messerscharfer Schatten am 'beschädigten' Bereich verrät, dass diese Region unter anderem Licht gerendert wurde.
- Spiegelungen auf glatten Oberflächen prüfenPlastik, Displays und Lack spiegeln ihre Umgebung. Wenn die Spiegelung nicht zur restlichen Szene passt, wurde die Region hineingemalt.
- Mit 400 % auf die Kanten des Schadens zoomenManuell bearbeitete Bereiche verraten sich am Rand: Halos, wiederkehrende Mikro-Texturen (Content-Aware-Fill) oder zu harte Übergänge.
- JPEG-Rauschmuster betrachtenKamera-Rauschen ist statistisch gleichmäßig über das gesamte Bild. Bereiche mit sichtbar saubererem oder unruhigerem Rauschen wurden nachbearbeitet. ELA macht das sichtbar (siehe unten).
- Perspektive prüfenEin photoshoppter Defekt folgt selten der Perspektive der Oberfläche. Ziehen Sie gedanklich Fluchtlinien — der Defekt sollte sie respektieren.
Sie müssen kein Fachbild-Auge haben. Zwei von sechs Treffern reichen, um zu eskalieren.
Drei Metadaten-Indizien, die jedes Support-Team prüfen sollte
EXIF sind Daten, die die Kamera in die Datei schreibt. Unsichtbar für den normalen Nutzer, aber trivial auszulesen — jedes moderne Bild-Tool zeigt sie, oder Sie ziehen die Datei in exifr-playground.vercel.app.
| Feld | Sauber (iPhone-Kamera) | Verdächtig |
|---|---|---|
| Make / Model | Apple / iPhone 15 Pro | Fehlt oder Desktop-App wie 'Photoshop 25.3' |
| Software | 17.4.1 (iOS-Build) | Adobe Photoshop, Figma, Preview (macOS), Pixlr |
| DateTimeOriginal | Wenige Stunden vor dem Claim | Tage vor der Bestellung — oder Stunden versetzt zu einem zweiten Foto im selben Fall |
| GPS | Koordinaten vorhanden, falls aktiviert | Komplett entfernt — auf aktuellen iPhones ungewöhnlich |
| MakerNote | Reich befüllt, 15+ proprietäre Felder | Leer oder abgeschnitten |
Ein erneut gespeichertes Foto zeigt fast immer Software: Adobe Photoshop oder einen ähnlichen Desktop-Namen — das ist das stärkste Einzel-Signal im ganzen EXIF-Block. Das zweitstärkste: ein DateTimeOriginal, das vor der Bestellung liegt oder Tage neben einem zweiten Foto desselben Falls.
Das dritte Indiz — MakerNote — ist weniger bekannt, aber wichtig. Das ist ein herstellerspezifischer Block (Apple schreibt ~45 Felder, Samsung und Sony haben eigene Schemata). Bearbeitungssoftware schreibt die JPEG neu und verliert dabei MakerNote. Ein Foto angeblich aus einem iPhone, aber mit leerer MakerNote, ist fast sicher nachbearbeitet.
Error Level Analysis — wann sie hilft, wann nicht
Error Level Analysis (ELA) komprimiert eine JPEG in bekannter Qualität erneut und zieht das Ergebnis vom Original ab. Bereiche, die mehrfach neu gespeichert wurden, leuchten heller.
Eine Error-Level-Analysis durchführen
ELA einsetzen, wenn visuelle Indizien uneindeutig sind und die Metadaten sauber wirken.
- Bild im ELA-Tool öffnenFotoForensics und Forensically (29a.ch) sind kostenlos und laufen im Browser. Datei reinziehen oder URL einfügen.
- Re-Komprimierung auf Qualität 75 setzenDas ist die Standard-Empfindlichkeit für Schadensbilder. 90 ist zu sanft; 50 produziert Rauschen, das wie echte Edits aussieht.
- Auf rechteckige Hotspots achtenELA-Zonen in Form von Pinselstrichen, Kreisen oder Rechtecken sind Edits. Ein einheitlich helles Bild bedeutet: alles wurde einmal neu gespeichert — verdächtig, aber kein Beweis.
- Schaden- und Nicht-Schaden-Region vergleichenLeuchtet der Kratzer stärker als der Rest des Produkts, ist das ein direkter Hinweis auf Nachbearbeitung genau dort.
Zwei Einschränkungen. Screenshots und Instagram-gefilterte Bilder leuchten in ELA auch ohne Edits — die Plattform speichert die Datei neu. Und modernes KI-Inpainting ist darauf ausgelegt, Rauschen zu glätten; ELA übersieht einen sauberen Apple-Clean-Up-Edit. ELA ist notwendig, aber nicht hinreichend.
Drei verhaltensbasierte Indizien außerhalb des Bildes
Das Foto ist das Beweisstück — der Anspruch ist eine Geschichte. Prüfen Sie, ob sie passt.
- Zeitstempel-Lücke. Fällt
DateTimeOriginalzwischen Bestellung und Zustellscan? Wir sehen das erstaunlich oft — Betrüger inszenieren Fotos aus Stockmaterial, noch bevor die Ware beim Kunden ankommt. - Geräte-Konsistenz über den ganzen Fall. Drei Fotos — aber nur eins zeigt die Manipulation? Dann prüfen Sie die anderen zwei. iPhone 15 Pro auf Foto 1 + 2, Desktop-JPEG auf Foto 3 — klassisches Muster.
- Rückwärtssuche. Foto in TinEye oder Google Lens hochladen. Stockfotos von Schäden werden massenhaft wiederverwendet; wir haben Wiederholungstäter entlarvt, indem wir denselben „einmaligen" Schaden auf vier verschiedenen Shops fanden.
Entscheidungs-Workflow für Makros
Das ist die Heuristik, die unsere Support-Lead-Nutzer am Wochenende durchgehen:
| Signal | Schwere | Aktion |
|---|---|---|
| Photoshop in Software-EXIF + ELA-Hotspot im Schaden | Kritisch | Anspruch ablehnen. Beweise dokumentieren. Vorlage C-REJECT senden. |
| MakerNote fehlt + DateTimeOriginal vor Bestellung | Hoch | Zweites Foto nachfordern (mit Lineal, Zeitstempel-Karte). 80 % der Betrüger verschwinden hier. |
| Schatten-Inkonsistenz + Rückwärts-Treffer | Hoch | An menschliche Prüfung eskalieren. Nicht erstatten, bevor geprüft wurde. |
| Nur ein visuelles Indiz + saubere Metadaten | Niedrig | Retoure normal bearbeiten. Nicht beschuldigen. |
| Keine visuellen Indizien, aber verdächtiger Zeitverlauf | Niedrig | Normal bearbeiten. Kunden für Wiederholungs-Analyse loggen. |
Wichtig: niemals einen Kunden wegen eines einzelnen Signals des Betrugs beschuldigen. Die Kosten einer falschen Anschuldigung gegenüber einer echten Stammkundin (Trustpilot-Review, Chargeback, verlorener Lifetime-Value) sind immer höher als die Kosten einer einzelnen Erstattung. Erst eskalieren, wenn mindestens zwei unabhängige Signale zusammenlaufen.