Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Angriffspunkt Apotheke, Verantwortung auf Leitungsebene, Sicherheit als Systemfrage

Wie Apotheken zur Zielscheibe digitaler Kriminalität werden, was Führungsverantwortung im Ernstfall bedeutet und warum Schutz nicht bei der Technik endet

Apotheken-News von heute

Cybersicherheit in Apotheken ist keine technische Kür mehr, sondern eine systemrelevante Pflicht: Während Kriminelle über täuschend echte Briefe, kompromittierte Schnittstellen oder gezielte Zugriffe auf den Betriebsalltag zielen, fehlt vielen Betrieben ein belastbares Sicherheitsfundament – weder sind Zugriffskonzepte sauber definiert, noch existieren strukturierte Backup-Pläne oder dokumentierte Schulungsketten, was die Verantwortung auf Leitungsebene verschärft und nicht nur Haftungsrisiken, sondern auch Versicherungsfallen erzeugt, denn viele Policen greifen nur bei nachweislich eingehaltenen Standards wie Multi-Faktor-Authentifizierung, aktiver Patch-Pflege oder dokumentierter IT-Hygiene, wobei besonders dramatisch ist, dass das menschliche Fehlverhalten – etwa durch Unachtsamkeit, fehlende Sensibilisierung oder Organisationslücken – inzwischen häufiger zur Kompromittierung führt als technische Angriffe, weshalb echte Resilienz nur gelingt, wenn Führungsebene, Technikverantwortung und Teamverhalten als Einheit begriffen und dauerhaft strategisch organisiert werden – mit klaren Zuständigkeiten, regelmäßiger Auditierung, rechtssicherer Dokumentation und einem Umdenken, das Cyberschutz als integralen Bestandteil des Apothekenalltags begreift.

Es beginnt oft mit einem Brief. Seriös gestaltet, sauber adressiert, mit einem QR-Code in der Fußzeile und einem Hinweis auf eine „notwendige Verifikation“. Kein Spam, kein Betrugsverdacht – nur ein Stück Papier, das Routine suggeriert. Genau darin liegt die Gefahr. Apotheken, die im Alltag tausende sensible Datenströme abwickeln, Rezeptinformationen verarbeiten und Gesundheitsdaten speichern, geraten zunehmend ins Visier einer neuen Klasse von Cyberkriminalität. Die Angriffe sind nicht spektakulär, sondern strategisch – nicht technikzentriert, sondern verhaltensorientiert. Und sie zielen auf Strukturen, in denen Sicherheit nicht Teil der Führungskultur ist.

Der Irrglaube, Apotheken seien für Hacker zu unbedeutend, ist längst widerlegt. Vielmehr hat sich gezeigt: Gerade weil Apotheken über medizinische Infrastruktur verfügen, aber keine eigenen IT-Abteilungen betreiben, stellen sie ideale Angriffsziele dar. Die Schwachstellen liegen nicht in millionenteurer Hardware, sondern im Betriebsalltag: Tablets im Verkaufsraum, Kassensysteme mit Internetzugang, Rezeptdrucker ohne Passwortschutz, externe Wartungsverträge ohne verbindliche Auditierung. Im Zentrum steht dabei ein strukturelles Problem: Während die Digitalisierung voranschreitet, bleibt die Sicherheitsverantwortung diffus – oder schlimmer noch: unberührt.

Der Betrieb läuft, also ist alles in Ordnung – diese Haltung ist gefährlich. Sie blendet aus, dass jede E-Mail ein Einfallstor sein kann, jeder Login ein Risiko birgt und jeder Mitarbeiter potenziell zum unbewussten Sicherheitsleck wird. Die meisten Cyberangriffe beginnen nicht mit einem technischen Exploit, sondern mit einer Entscheidung im Affekt: ein Klick auf den falschen Link, das Öffnen eines Anhangs, die Preisgabe einer Information am Telefon. Und immer wieder ist es dieselbe Ausgangslage: keine klar geregelten Zugriffsrechte, keine dokumentierte Sicherheitsrichtlinie, kein Notfallprotokoll. Die Apotheke vertraut auf ihre Funktion – nicht auf ihre Resilienz.

Doch der Druck steigt. Während Behörden auf Bundesebene KRITIS-Anforderungen neu kalibrieren, IT-Sicherheitsgesetzgebung verschärfen und Standardisierung einfordern, reagieren Apotheken häufig spät oder gar nicht. Dabei haben viele der angreifbaren Systeme direkte Verbindung zur Telematikinfrastruktur – und damit zu hochsensiblen Netzen. Wer hier durch Fahrlässigkeit eine Schwachstelle bietet, trägt nicht nur eine betriebsinterne Verantwortung, sondern öffnet ein Risiko für das gesamte Versorgungssystem. Die Frage ist nicht mehr, ob Apotheken sich gegen Cybergefahren wappnen müssen – sondern wie.

Technik allein reicht dabei nicht aus. Es genügt nicht, eine Firewall zu installieren, Antivirenprogramme auf dem Kassensystem zuzulassen oder das WLAN zu verschlüsseln. Technischer Schutz ist nur so wirksam wie seine organisatorische Einbindung. Wenn Administratorrechte ungeprüft vergeben, Updates nicht dokumentiert und Log-Dateien nie ausgewertet werden, nützt die beste IT nichts. Sicherheit ist kein Plug-in – sie ist eine Führungsleistung. Sie verlangt eine klare Verantwortungsverteilung, feste Zuständigkeiten, regelmäßige Überprüfung und vor allem: Kommunikation. Denn was nicht besprochen wird, wird auch nicht bemerkt.

Ein oft vernachlässigter Punkt: die Dokumentationspflicht. Nach einem erfolgreichen Angriff zählt nicht nur, was man getan hat, sondern was man nachweisen kann. Wer keine Schulung dokumentiert, kein Protokoll zu Berechtigungen führen kann oder keine Backup-Historie vorweist, steht im Schadensfall ohne Verteidigung da – nicht nur gegenüber der Versicherung, sondern auch vor Gerichten. Das bedeutet: Cybersicherheit ist immer auch juristische Prävention. Der Schutz digitaler Systeme schützt nicht nur Daten, sondern auch Apothekenleitungen vor existenziellen Konsequenzen.

Dazu kommt der Versicherungsaspekt. Cyberversicherungen sind keine Garantie, sondern eine Wette – auf ein Mindestmaß an Prävention. Wer bestimmte Standards nicht erfüllt, kann trotz laufender Police leer ausgehen. Und diese Standards steigen. Viele Versicherer verlangen inzwischen technische Mindestkonfigurationen, Pflichtschulungen für das Personal, regelmäßige Pentests oder zertifizierte Prozesse zur Datensicherung. Apotheken, die diese Anforderungen nicht kennen oder ignorieren, befinden sich in einer Scheinsicherheit. Die Police ist dann nur ein Stück Papier – im Ernstfall wirkungslos.

Nicht minder zentral ist der Blick auf externe Partner. Apotheken sind eingebettet in ein Netzwerk aus Rechenzentren, Botendienstplattformen, Warenwirtschaftsanbietern und Schnittstellen zu Arztpraxen und Krankenkassen. Wer sich hier auf blinde Verträge verlässt, statt Sicherheitsstandards verbindlich festzulegen, handelt grob fahrlässig. Jedes angebundene System, jede Plattform, jeder Drittanbieter muss in die Sicherheitsarchitektur eingebunden sein – vertraglich, technisch und organisatorisch. Nur so entsteht ein konsistenter Schutz, der über den eigenen Tresen hinausgreift.

Doch der wichtigste Hebel bleibt der Mensch. Keine Sicherheitsmaßnahme wirkt ohne Sensibilität. Mitarbeitende, die ihre Verantwortung kennen, Sicherheitsregeln verstehen und Fehlverhalten früh erkennen, sind der wirksamste Schutzfaktor. Doch diese Kompetenz entsteht nicht durch einen Aushang im Pausenraum. Sie muss erarbeitet, gefördert und wiederholt werden. Schulung ist kein einmaliger Termin, sondern ein kontinuierlicher Prozess. Fehler müssen erlaubt sein, um sichtbar zu werden – nicht tabuisiert. Sicherheitskultur entsteht durch Vertrauen, nicht durch Kontrolle. Sie beginnt beim Inhaber – und wird von jedem Teammitglied getragen.

Die Apotheke der Gegenwart ist ein digitaler Akteur – ob sie will oder nicht. Sie bewegt sich in einem Spannungsfeld zwischen Patientenvertrauen, Datenverarbeitung, Versorgungsauftrag und technischer Infrastruktur. Wer diesen Raum nicht aktiv gestaltet, überlässt ihn den Risiken. Die größte Gefahr ist nicht der Angriff, sondern die Illusion, davor sicher zu sein. Wer Sicherheit als Haltung versteht – nicht als Pflicht –, ist vorbereitet. Und wer vorbereitet ist, kann auch im Ernstfall handeln: schnell, transparent, verantwortungsvoll. Denn wahre Resilienz beginnt immer mit einer Entscheidung: Verantwortung zu übernehmen – bevor etwas passiert.

Von Engin Günder, Fachjournalist

Zurück zur Übersicht