Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Phishing täuscht Routine, Sorgfalt kippt Anspruch, Recht setzt Leitplanken

BGH setzt Grenzen: TAN-Weitergabe beendet Erstattung, Apotheken brauchen Prävention, Versicherungen fordern Nachweise

Apotheken-News: Bericht von heute

Phishing-Angriffe treffen selten das Rechenzentrum zuerst, sondern den Alltag: ein Pop-up, ein „Bank“-Anruf, ein vertrautes Display – und binnen Stunden stehen Limits höher, Konten leer und Abläufe still. Der Bundesgerichtshof hat nun klargestellt, wie eng das Haftungsfenster wird, wenn Kund:innen TANs weitergeben: Grob fahrlässige Pflichtverletzung schließt den Erstattungsanspruch gegen die Bank aus. Der Fall ist juristisch eindeutig – und praktisch ein Lehrstück über die Schnittstelle zwischen Technik, Verhalten und Versicherung. Wer in stressigen Situationen Kontrollfragen nicht stellt, den zweiten Kanal nicht nutzt und Sicherheitsmerkmale preisgibt, trägt das Risiko. Für Apotheken ist das mehr als Bankrecht: Es geht um die Resilienz im Betrieb. Cyber- und Vertrauensschadenpolicen helfen nur, wenn Prävention, Schulung und Nachweisführung gelebt werden. Stabil bleibt, wer Prozesse vorgedacht hat: klare Do-not-share-Listen, Vier-Augen-Prinzip, Call-Back nur über verifizierte Nummern, dokumentierte Reaktionspläne – und ein Team, das Warnsignale erkennt, bevor Geld oder Daten abfließen.

Der im Urteil behandelte Sachverhalt wirkt alltäglich: Ein Anmeldeproblem, ein aufpoppendes Sicherheitsfenster, kurz darauf ein Anruf, der exakt die Servicenummer der Hausbank anzeigt. Scheinbare Legitimation entsteht durch Detailwissen der Täter – letzte Überweisungen, Name der Sachbearbeiterin, plausible Uhrzeitbegründung. Genau dieser Realismus macht Social Engineering so wirksam: Nicht der technische Exploit bricht die Schutzlinie, sondern die Inszenierung von Dringlichkeit. Wer in diesem Tunnel Fragen und Gegenkontrollen unterlässt, öffnet einen Kanal, über den Angreifer Limits erhöhen, Empfängerkonten hinterlegen und autorisierte TANs für eigene Zwecke „ernten“ können. Der BGH verknüpft das mit einer klaren Erwartung: personalisierte Sicherheitsmerkmale sind zu schützen; ihre Weitergabe wiegt schwer – mehr noch, wenn sie über Tage wiederholt erfolgt.

Aus dem Blickwinkel der Apothekenpraxis ist die Parallele offensichtlich. Viele kritische Freigaben – Warenwirtschaft, Rezeptabrechnung, Banking, Portale von Herstellern und Kassen – hängen an Einmalcodes, Push-Bestätigungen und Freigaben via App. Der Rechtsgedanke des Urteils übersetzt sich so: Autorisierungsmerkmale sind keine Servicewerkzeuge, sondern Signaturen. Wer sie fremdveranlasst erzeugt, weitergibt oder blind bestätigt, handelt wie jemand, der Blankoformular und Stempel aus der Hand gibt. Das gilt auch dann, wenn Anrufer:innen echte Namen, bekannte Nummern oder präzise Transaktionsdaten nennen: Call-ID-Spoofing, Datenleaks und vorherige Ausspähung machen das möglich – Authentizität entsteht erst durch eine Rückverifikation auf unabhängigem Weg.

Juristisch trägt das Urteil zwei Kernfolgen in die Organisation. Erstens: Der Erstattungsanspruch gegen die Bank entfällt, wenn grobe Fahrlässigkeit vorliegt und so ein gleichwertiger Schadensersatzanspruch der Bank gegen die Kundschaft entsteht. Zweitens: „Augenblicksversagen“ schützt nicht, wenn die Pflichtverletzung wiederholt und über einen längeren Zeitraum erfolgt – ein Punkt, der viele reale Vorfälle betrifft, weil Angreifer Schrittfolgen über Tage strecken. Für Apotheken heißt das: Governance darf nicht bei Technik enden. Schulungen, schriftliche Do-not-share-Regeln und dokumentierte Gegenprüfungsprozesse sind nicht nur Best Practice, sondern Teil der eigenen Sorgfaltslinie, die im Streitfall nachweisbar sein muss.

Auf der Risikoseite rücken zwei Police-Typen nach vorn: Cyberversicherung und Vertrauensschadenversicherung (VSV). Cyberpolicen adressieren Ransomware, Datenabfluss, Betriebsunterbrechung, IT-Forensik und Krisenkommunikation. VSV decken Vermögensschäden durch Täuschungshandlungen innen wie außen ab – etwa Social-Engineering-Betrug, CEO-Fraud oder fingierte Zahlungsanweisungen. Entscheidend ist das Kleingedruckte: Viele VSV verlangen „strikte Gegenrufpflicht“ (Call-Back über eine verifizierte, zuvor festgelegte Nummer), Vier-Augen-Prinzip ab bestimmten Schwellen, dokumentierte Plausibilitätschecks und die Trennung von Anordnung und Ausführung. Versäumt ein Betrieb diese Mindeststandards, drohen Leistungskürzungen – selbst wenn die Police prinzipiell passt.

Technisch ist Zero Trust der richtige Leitstern, organisatorisch das Prinzip der Reibung an neuralgischen Stellen. Praktisch bedeutet das: Kein Freigabeprozess ohne zweiten, unabhängigen Kanal; keine Änderung von Zahlungsdaten ohne schriftliche Bestätigung via bekanntem Kontakt; keine Fernsteuerungstools auf Systemen, die Zahlungsfreigaben erzeugen; kein gemischter Browser für Banking und unsichere Sessions; keine Einwahl in Bankbereiche aus Remote-Desktops von Dritten. Backup-Disziplin bleibt Pflicht: 3-2-1-Regel, Offline-Kopie, regelmäßige Wiederherstellungsproben. Nur wer Wiederanlaufzeiten kennt und testiert, kann Risiken versichern und Prämien begründen.

Auf Personalebene ist die Kulturfrage entscheidend. Teams brauchen die Erlaubnis, zu stoppen. „Ich rufe Sie über die auf der Website genannte Zentrale zurück“ muss Standard sein, nicht Unhöflichkeit. Phishing-Simulationen wirken nur, wenn Ergebnisse in Lernschleifen münden: Was hat überzeugt? Welche Trigger (Druck, Dringlichkeit, Drohung, „Autorität“) greifen? Welche Screenshots helfen, Verdächtiges zu erkennen (falsche Domains, unsaubere Grammatik, ungewöhnliche Anrede, ungefragte Dateianhänge)? Und wie wird Verdächtiges intern gemeldet – mit einer klaren, niedrigschwelligen Adresse, die nicht zu Schuldzuweisungen führt, sondern zu schneller Hilfe.

Bankseitig sind starke Kundenauthentifizierung und Transaktionsbindung längst Standard, dennoch bleibt Social Engineering der Angriffsweg Nummer eins. Deshalb sollte die Apotheke die Freigabe-Architektur bewusst verschärfen: Zeitfenster für Zahlungen begrenzen, Limits nur temporär und dokumentiert erhöhen, Benachrichtigungen bei Limit- oder Stammdatenänderung an mindestens zwei verantwortliche Personen senden, Geo- und Device-Binding nutzen, Push-Freigaben textlich prüfen („Sie autorisieren: Limitanhebung 110.000 €“ statt „Vorgang bestätigen“). Aus Erfahrung gilt: Je klarer der Freigabetext, desto eher bremst der gesunde Menschenverstand.

Versicherungsseitig lohnt ein strukturierter Check. Erstens: Deckt die Cyberpolice Social-Engineering-Schäden auch dann, wenn kein technischer Einbruch stattfand, sondern Täuschung? Zweitens: Enthält die VSV explizit Telefon- und E-Mail-Betrug, inklusive Call-ID-Spoofing, und in welcher Höhe? Drittens: Gibt es Sublimits für „Täuschung Dritter“ (oft überraschend niedrig) und Pflichtauflagen (Vier-Augen-Prinzip, Rückruf, dokumentierte Prozesse)? Viertens: Sind Betriebsausfallschäden infolge Banking-Betrugs mitversichert (z. B. nicht lieferbare Hochpreispräparate, Express-Nachbeschaffung, Zusatzkurier)? Fünftens: Bestehen klare Schnittstellen zwischen Police, IT-Dienstleistervertrag (Service Levels, Meldefristen) und Zahlungsrichtlinie der Apotheke?

Noch ein oft übersehener Punkt ist der Nachweis. Wenn etwas schiefgeht, zählt die dokumentierte Sorgfalt: Schulungsnachweise, Entwürfe der Verfahrensanweisungen (SOPs), Logs zu Limitänderungen, Benachrichtigungen, Tickets des IT-Partners, Zeitstempel der internen Meldung. Wer diesen Pfad belegen kann, ist in der Regulierung spürbar stärker – und senkt Folgeprämien, weil Versicherer gelebte Governance honorieren.

Auf der strategischen Ebene ist der Fall ein Weckruf. Digitalisierung ist unverzichtbar, aber sie ersetzt keine Führung. Führung heißt hier, Anreize so zu setzen, dass „schnell mal durchwinken“ sich nicht lohnt und „kurz rückversichern“ normal ist. Inhaber:innen sollten eine kurze, ausdruckbare „Goldene Liste“ an jede Freigabestelle hängen: 1) Keine TAN/Push-Freigabe auf Zuruf. 2) Rückruf ausschließlich über bekannte Zentrale. 3) Keine Limit- oder Stammdatenänderung ohne Vier-Augen-Prinzip. 4) Keine Freigaben auf Geräten, die parallel für allgemeines Surfen genutzt werden. 5) Bei Unsicherheit: STOP, Incident-Mail an [interne Adresse], erst dann weiter.

Am Ende zeigt das BGH-Urteil keinen Gegensatz zwischen Bank und Kundschaft, sondern eine arbeitsteilige Verantwortung: Die Bank stellt Systeme, Kund:innen schützen ihre Schlüssel. Für Apotheken ist es dieselbe Logik im größeren Bild: Versicherer stellen Deckung, Betriebe liefern Sorgfalt. Je enger beide Seiten ihre Pflichten verstehen, desto seltener werden Streitfälle – und desto schneller kehrt der Betrieb nach einem Vorfall in den Regelmodus zurück.

Dies ist kein Schluss, der gelesen werden will – sondern eine Wirkung, die bleibt. Wer Autorisierung als Unterschrift begreift und Täuschung als betriebliche Kerngefahr behandelt, hält Schadensfälle klein und Vertrauen groß. Resilienz entsteht nicht im Ernstfall, sondern in den unscheinbaren Prüffragen, die man jeden Tag stellt.

Tagesthemenüberblick: https://aporisk.de/aktuell

Zurück zur Übersicht