Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Apotheken-News: Phishing über gehacktes Partnersystem – Cyberversicherung zahlt nicht

Kein Schutz bei Angriffen auf externe IT-Infrastruktur – Unternehmen trägt vollen Schaden trotz bestehender Police

Ein Unternehmen wird Opfer eines raffinierten Phishing-Angriffs über das gehackte E-Mail-Konto eines Geschäftspartners – und bleibt trotz Cyberversicherung auf dem finanziellen Schaden sitzen. Der Fall zeigt, wie lückenhaft der Schutz vieler Policen ist, wenn digitale Täuschung über externe Systeme erfolgt. Besonders für Apotheken mit vernetzten Prozessen und sensiblen Daten wird deutlich: Die digitale Gefahr lauert nicht nur im eigenen System.

Ein Unternehmen wird Opfer eines Phishing-Angriffs, bei dem die Täter über den gehackten E-Mail-Server eines Geschäftspartners täuschend echte Zahlungsanweisungen verschicken. Die Folge: Ein erheblicher Geldbetrag wird auf ein betrügerisches Konto überwiesen. Obwohl eine Cyberversicherung bestand, lehnte der Versicherer die Schadensregulierung ab – mit der Begründung, dass kein Angriff auf das eigene IT-System vorgelegen habe. Der Fall steht exemplarisch für die strukturellen Schwächen vieler Cyberversicherungen, die sich oft nur auf technische Angriffe innerhalb des eigenen Netzwerks konzentrieren, während moderne Betrugsformen systemübergreifend und auf Täuschung angelegt sind.

Im Zentrum des Falls steht die langjährige Geschäftsbeziehung zwischen einem mittelständischen deutschen Unternehmen und einem ausländischen Lieferanten. Die Kommunikation erfolgte – wie heute üblich – per E-Mail. Als eine Nachricht eintraf, in der eine neue Bankverbindung für die Begleichung offener Rechnungen mitgeteilt wurde, wirkte der Inhalt durchweg authentisch. Die Nachricht war im Stil, Ton und Aufbau früherer E-Mails verfasst und enthielt konkrete Informationen zu bereits bestehenden Geschäftsvorgängen. Auch Folge-E-Mails waren logisch, bezogen sich auf korrekte Rechnungsnummern und enthielten scheinbar nachvollziehbare Begründungen für die Kontoänderung.

Daraufhin veranlasste das Unternehmen die Überweisung eines hohen Betrags auf das angegebene Konto. Erst Wochen später, als der tatsächliche Lieferant unbezahlte Rechnungen anmahnte, stellte sich heraus: Die E-Mail-Kommunikation war manipuliert worden. Ein IT-Forensik-Team fand heraus, dass der Mailserver des Lieferanten gehackt worden war. Die Täter hatten Zugriff auf das echte Postfach erhalten und darüber in Echtzeit mit dem deutschen Unternehmen kommuniziert. Die Technik des Empfängers funktionierte einwandfrei, doch der Angriff war dennoch erfolgreich – über das Vertrauen in eine gewohnte digitale Schnittstelle.

Die Cyberversicherung, die das Unternehmen vor solchen Schäden schützen sollte, verweigerte die Leistung. Sie berief sich auf den Wortlaut der Versicherungsbedingungen, wonach ein versicherter Schadenfall nur bei einem direkten Eingriff in das eigene IT-System vorliege. Da das unternehmenseigene System nicht kompromittiert worden sei, bestehe keine Leistungspflicht. Es handle sich vielmehr um einen Betrug über einen externen Kommunikationsweg – und damit um einen Ausschlussfall.

Das Unternehmen klagte, konnte sich jedoch auch vor Gericht nicht durchsetzen. Die Richter folgten der Argumentation des Versicherers. Sie verwiesen auf die klar formulierten Bedingungen der Police: Ein Cyberangriff im versicherungstechnischen Sinn erfordere einen gezielten, technischen Eingriff in die eigene Infrastruktur des Versicherungsnehmers. Täuschungen über ein fremdes, wenn auch kompromittiertes System fielen nicht darunter. Auch ein sogenannter Vertrauensschaden – der etwa durch betrügerisches Verhalten von Mitarbeitern entstehen kann – sei nicht gegeben, da keine interne Person in den Vorgang involviert gewesen sei.

Der Fall hat grundsätzliche Bedeutung, denn er zeigt, wie stark die Schutzwirkung vieler Cyberversicherungen von engen technischen Definitionen abhängt. In einer digital vernetzten Geschäftswelt, in der Daten, Prozesse und Kommunikation in Echtzeit über Unternehmensgrenzen hinweg ablaufen, ist diese Abgrenzung längst nicht mehr zeitgemäß. Angriffe erfolgen zunehmend nicht auf Server, sondern auf Prozesse, Schnittstellen und menschliches Vertrauen. Genau diese Angriffspunkte werden in vielen Policen bislang nicht berücksichtigt.

Besonders betroffen sind Unternehmen mit stark vernetzten digitalen Strukturen, etwa im Gesundheitswesen. Apotheken etwa arbeiten mit Warenwirtschaftssystemen, Rezeptabrechnungszentren, Lieferanten, Ärzten und Pflegeeinrichtungen zusammen – fast ausschließlich über digitale Schnittstellen. Wird ein externer Partner kompromittiert und darüber eine Zahlung oder Lieferung manipuliert, kann das zu existenzbedrohenden Schäden führen. Umso schwerwiegender ist es, wenn solche Risiken nicht unter den bestehenden Versicherungsschutz fallen, obwohl sie zu den realistischsten und häufigsten Bedrohungsszenarien zählen.

Kommentar:

Der Fall ist ein Paradebeispiel für das Auseinanderklaffen von technischer Realität und juristischer Absicherung in der digitalen Risikolandschaft. Was auf den ersten Blick wie ein reiner Versicherungsstreit erscheint, offenbart in Wahrheit ein systemisches Problem: Cyberversicherungen operieren häufig mit einem Sicherheitsverständnis aus einer vergangenen Epoche. Sie orientieren sich an klassischen Vorstellungen von IT-Angriffen – etwa Datenverlust, Ransomware oder Systemstillstand – und vernachlässigen die Dynamik moderner Angriffsformen, die längst auf Prozesse, Kommunikation und menschliches Vertrauen zielen.

Dabei ist gerade diese Form der Täuschung längst Alltag geworden. Angreifer nutzen nicht mehr die Schwachstellen in der Technik, sondern die in der Organisation. Sie greifen nicht den Server an, sondern das Vertrauen zwischen Unternehmen, sie dringen nicht in Datenbanken ein, sondern in E-Mail-Postfächer Dritter. Das perfide dabei: Der betroffene Betrieb merkt oft nichts – bis das Geld weg ist oder sensible Informationen in falsche Hände geraten.

Für Apotheken und andere systemrelevante Einrichtungen ergibt sich daraus ein unmittelbarer Handlungsbedarf. Sie stehen in einem hochgradig vernetzten Versorgungsumfeld, das für solche Angriffe besonders anfällig ist. Ein gefälschtes Rezept, eine betrügerische Lieferanweisung oder eine manipulierte Rückmeldung vom Rechenzentrum – all das sind realistische Szenarien mit enormem Schadenspotenzial. Wer glaubt, mit einer Standard-Cyberversicherung automatisch geschützt zu sein, irrt möglicherweise.

Deshalb gilt: Der Versicherungsschutz muss überprüft und im Zweifel erweitert werden – etwa um sogenannte Social-Engineering-Schäden oder Täuschungshandlungen über Drittsysteme. Die Versicherungswirtschaft ist ebenfalls gefordert, ihre Produktlandschaft an die komplexe Risikowirklichkeit der Digitalisierung anzupassen. Policen, die nur bei einem Angriff auf den eigenen Server greifen, ignorieren die Dynamik vernetzter Angriffsformen – und sind damit im Ernstfall oft wertlos.

Der vorliegende Fall ist ein Signal, das nicht überhört werden darf. Die digitale Bedrohung beginnt nicht erst im eigenen Netzwerk. Sie beginnt dort, wo Vertrauen angegriffen wird. Und das passiert heute nicht nur im Schatten der Technik – sondern mitten im betrieblichen Alltag. Wer das nicht absichert, riskiert nicht nur wirtschaftliche Schäden, sondern auch das Fundament seiner digitalen Geschäftsbeziehungen.

Von Engin Günder, Fachjournalist

Zurück zur Übersicht