Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Digitale Täuschung wird zur Systemgefahr, QR-Briefe manipulieren den Alltag, Absicherung entscheidet über Resilienz

Apobank-Betrugswelle weitet sich aus, Apotheken geraten in Sorgfaltskonflikte, Cyberpolicen gewinnen betriebliche Relevanz

Apotheken-News von heute

Der Betrug beginnt nicht im Netz, sondern im Briefkasten – und trifft Apotheken mitten in ihrem organisatorischen Herz: Mit täuschend echten QR-Briefen greifen Täter das Vertrauen ihrer Zielgruppe an, kombinieren analoge Täuschungsmechanismen mit digitalem Datenraub und umgehen dabei technische Schutzsysteme ebenso wie Sicherheitsroutinen. In dieser neuen Betrugslogik genügt keine Firewall mehr, sondern es braucht strategische Wachsamkeit, organisatorische Prozessklarheit und eine betriebswirtschaftlich tragfähige Absicherung. Denn sobald eine Apotheke eine manipulierte Website besucht, TANs eingibt oder versehentlich Zahlungen freigibt, drohen Schäden im fünf- bis sechsstelligen Bereich – oft verbunden mit regulatorischem Druck, Versicherungsstreitigkeiten und Haftungsfragen. Nur wer die Unterschiede zwischen Cyber- und Vertrauensschadenversicherung kennt, Meldepflichten präzise einhält und technische sowie menschliche Schutzbarrieren kombiniert, schafft echte Resilienz. Die neue Währung im Apothekenbetrieb heißt nicht nur Sicherheit, sondern auch Absicherungsfähigkeit.

Vertrauen war im Gesundheitswesen stets ein stilles Fundament. Doch in der neuen digitalen Realität wird dieses Vertrauen gezielt untergraben – von Akteuren, die mit hoher Präzision, psychologischer Raffinesse und technischer Täuschung arbeiten. Die jüngste Welle gefälschter Schreiben im Namen der Apobank, versehen mit manipulierten QR-Codes, ist mehr als nur ein weiteres Kapitel der Cyberkriminalität. Es ist ein Angriff auf die institutionelle Glaubwürdigkeit, ein Test der organisatorischen Wachsamkeit – und eine Reifeprüfung für die Risikosteuerung kleinerer und mittlerer Apothekenbetriebe.

Aktueller Hintergrund: Briefe mit scheinbar offizieller Anmutung fordern zur vermeintlich dringenden Verifizierung digitaler Kontoauszüge auf. Die Tonalität variiert – mal formell-mahnend, mal serviceorientiert und sanft. In jedem Fall jedoch wird mit einem QR-Code gearbeitet, der auf eine täuschend ähnliche, aber technisch gefälschte Login-Seite führt. Dort eingegebene Daten gelangen direkt an Täter, die anschließend – binnen Minuten – auf Konten zugreifen, Transaktionen auslösen und in manchen Fällen sogar interne Zahlungsabläufe imitiert haben. Die betroffenen Apotheken stehen vor einem Scherbenhaufen: nicht nur finanziell, sondern auch reputativ, rechtlich und organisatorisch.

Diese Betrugsform hat ein neues Niveau erreicht, weil sie nicht auf technische Lücken setzt, sondern auf menschliches Verhalten. Sie nutzt Verlässlichkeit, Routine und Vertrauensautomatik. Gerade in Apotheken, wo Zeitdruck, Multitasking und papierbasierte Prozesse noch verbreitet sind, öffnet sich eine gefährliche Lücke zwischen technischer Sicherheit und menschlicher Verwundbarkeit. Während viele Betriebe inzwischen über gesicherte Netzwerke und Firewall-Systeme verfügen, bleibt der Briefkasten oft das schwächste Glied in der Kette. Die neue Tätergeneration weiß das – und operiert zunehmend analog, um digital Schaden anzurichten.

Doch es geht nicht nur um Täuschung, sondern auch um Haftung. Denn wer QR-Codes aus angeblich bekannten Quellen blind scannt, riskiert eine juristische Mitverantwortung – insbesondere dann, wenn der Missbrauch nachweislich durch organisatorische Nachlässigkeit ermöglicht wurde. Das Haftungsrisiko für Apothekeninhaber umfasst nicht nur den materiellen Schaden, sondern auch sekundäre Folgen: etwa, wenn durch blockierte Konten keine Arzneimittel mehr bestellt werden können, Lieferanten in Vorleistung treten müssen oder Rezepte nicht mehr abgerechnet werden können. Ganz zu schweigen von dem Szenario, dass Patientendaten in Mitleidenschaft gezogen werden – mit direkter DSGVO-Relevanz.

In diesem Spannungsfeld zwischen Täuschung, Sorgfalt und Absicherung geraten Versicherungsmodelle neu in den Fokus. Während klassische Cyberversicherungen IT-Systeme und Datenlecks abdecken, greifen sie bei Täuschung durch Dritte oft zu kurz – insbesondere dann, wenn der Angriff nicht über E-Mail oder App, sondern über einen analog aussehenden Brief erfolgt. Genau hier setzt die Vertrauensschadenversicherung an. Sie schützt gegen Vermögensverluste durch betrügerische Kommunikation – also gegen Fälle, in denen Mitarbeitende oder Betriebsinhaber durch fremde Täuschung zu Handlungen verleitet werden, die einen finanziellen Schaden verursachen.

Doch der Markt ist unübersichtlich. Nicht jede Police deckt Quishing, Social Engineering oder hybride Angriffsformen ab. Viele Verträge setzen eine aktive Manipulation des IT-Systems voraus, andere schließen Angriffe ohne technischen Zugriff aus. Entscheidend ist daher, ob der Versicherer sowohl den analog initiierten Angriff als auch die menschliche Reaktion als Bestandteil des Versicherungsfalls definiert. Nur dann entsteht wirklicher Schutz – und keine Illusion.

Eine weitere Problematik liegt in der Fristengebung und Meldeverpflichtung. Viele Apotheken wissen nicht, dass bereits der Verdacht auf eine Täuschung – etwa das Öffnen eines verdächtigen Schreibens – eine Meldepflicht auslösen kann. Verstreicht diese ungenutzt, verlieren Versicherte im schlimmsten Fall den Anspruch auf Ersatz. Es gilt: Wer nicht sofort handelt, verliert doppelt – erst Geld, dann Versicherungsschutz. Umso wichtiger ist ein internes Frühwarnsystem, das Mitarbeitende befähigt, auch subtile Täuschungsversuche zu erkennen, zu melden und zu dokumentieren.

Dass diese Gefahr real ist, zeigen Zahlen aus dem Versicherungssektor: Im ersten Halbjahr 2025 hat sich die Anzahl der gemeldeten Quishing-Vorfälle im Gesundheitsbereich im Vergleich zum Vorjahr fast verdoppelt. Dabei sind Apotheken überproportional betroffen, da sie durch ihren Zugriff auf sensible Patientendaten, durch bestehende Finanzreserven und durch eine relativ heterogene IT-Struktur als attraktive Ziele gelten. Und anders als Großpraxen oder Klinikverbünde verfügen viele Apotheken nicht über eigene IT-Abteilungen oder externe Forensik-Verträge.

Wer sich schützt, braucht deshalb keine Symbole, sondern Systeme. Das beginnt mit einer sauberen Risikoanalyse und endet mit einem passgenauen Vertrag, der nicht nur technische Risiken, sondern auch menschliches Verhalten abbildet. Versicherer mit Erfahrung im Apothekenbereich bieten inzwischen kombinierte Policen an – mit Bausteinen für Phishing, Social Engineering, interne Untreue, Betriebsunterbrechung und juristische Abwehr. Entscheidend ist, dass diese nicht von der Stange kommen, sondern auf die Betriebsgröße, den Umsatz, die Anzahl der Mitarbeitenden und die Art der IT-Infrastruktur zugeschnitten sind.

Doch auch jenseits der Versicherungspflicht bleibt Eigenverantwortung zentral. Die Apobank selbst weist in ihren regelmäßigen Sicherheitsinformationen darauf hin, dass keine TANs, Passwörter oder Bestätigungen außerhalb der Webseite www.apobank.de oder der offiziellen App abgefragt werden. Auch telefonisch oder schriftlich erfolgt keine Aufforderung zur Stornierung oder Freigabe. Wer solche Aufforderungen erhält, sollte keine Sekunde zögern – und die offizielle Betrugshotline der Apobank unter 0211 59794-7777 kontaktieren. Parallel empfiehlt das Bundesamt für Sicherheit in der Informationstechnik die konsequente Schulung aller Mitarbeitenden sowie eine klare Trennung von administrativen und abrechnungsrelevanten Aufgabenbereichen.

Denn Cyberresilienz entsteht nicht durch Technik allein, sondern durch Kultur. Eine Apotheke, die weiß, wer wann was wohin überweist, ist besser geschützt als ein Hochsicherheitsbetrieb ohne Prozessklarheit. Eine Mitarbeiterin, die eine verdächtige Formulierung meldet, ist wirksamer als jede Firewall. Und eine Geschäftsleitung, die Versicherungsunterlagen kennt, versteht und regelmäßig überprüft, schafft Vertrauen – auch im Krisenfall.

Von Engin Günder, Fachjournalist

Zurück zur Übersicht