Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Cyber-Basics brechen zuerst, Apotheken zahlen doppelt, Versicherung bleibt kein Ersatz

Wenn Sicherheitsgrundlagen fehlen, wird Cyber zum Führungsrisiko, weil Wiederanlauf, Nachweis und Deckung an Organisation hängen, nicht an Tools.

Stand: Dienstag, 06. Januar 2026, um 11:25 Uhr

Apotheken-News: Bericht von heute

Viele Betriebe investieren in Sicherheit und scheitern trotzdem an einfachen Grundlagen, weil Zuständigkeit, Rechteordnung und Wiederanlauf nicht als Betriebsaufgabe geführt werden. Für Apotheken ist das besonders heikel: Digitale Prozesse sind eng mit Versorgung, Abrechnung und Dienstleisterketten verbunden, und ein Vorfall trifft nicht nur Technik, sondern Tagesfähigkeit. Die zentrale Botschaft lautet deshalb nicht, ob etwas passiert, sondern wann, und ob der Betrieb den ersten Tag übersteht und den dritten Tag sauber wieder hochkommt. Cyberversicherung wird in dieser Lage zur zweiten Logik: Sie kann Kosten, Hilfe und Haftungsfolgen abfedern, aber sie ersetzt keine Basics und wird im Ernstfall an Nachweis und Obliegenheiten gemessen.

Cyberrisiken wirken heute nicht mehr wie eine seltene Störung, sondern wie ein Dauerrauschen, das gelegentlich zur Welle wird. Die Frage ist weniger, ob eine Apotheke betroffen sein kann, sondern in welcher Form der Vorfall in ihren Alltag einschlägt: als stille Zugangsmissbrauchskette, als verschlüsselte Systeme, als ausfallende Dienstleisterschnittstelle oder als manipulierte Kommunikation, die Routineprozesse in Fehlentscheidungen lenkt. Was im Nachhinein wie „Angriff“ aussieht, beginnt im Vorfeld meist als Organisationsdetail, das im Betrieb nicht auffällt, weil es nie laut war: zu breite Berechtigungen, zu viele Ausnahmen, zu wenig klare Verantwortung, zu wenig geübter Wiederanlauf. Gerade deshalb ist Cyber weniger eine Technikfrage als eine Führungsfrage, weil Führung nicht den Patch einspielt, aber die Ordnung schafft, in der Patches, Rechte, Meldungen und Notbetrieb überhaupt funktionieren. Eine Apotheke kann mit moderner Technik arbeiten und dennoch an Basics scheitern, wenn niemand verbindlich weiß, wer entscheidet, wer stoppt, wer dokumentiert und wer im Ernstfall den Übergang vom Normalbetrieb in den Notbetrieb auslöst.

Die Schwäche liegt häufig nicht im Fehlen von Geld, sondern im Fehlen von Struktur. Sicherheitsgrundlagen sind selten spektakulär, sie konkurrieren mit allem, was im Tageslauf dringender wirkt, und sie werden deshalb in die Zwischenräume gedrückt. Genau dort entstehen aber die wiederkehrenden Angriffsflächen: Anmeldedaten, die zu lange gültig bleiben, Geräte, die als „nur kurz“ nicht aktualisiert werden, externe Zugänge, die sich über Jahre ausdehnen, Backups, die zwar existieren, aber nie unter realem Zeitdruck getestet wurden. Ein Betrieb kann dann nach außen „sicherheitsbewusst“ wirken und nach innen trotzdem verwundbar bleiben, weil die Handlungsfähigkeit im Störfall nicht geübt ist. Der eigentliche Schaden entsteht nicht erst, wenn Technik ausfällt, sondern wenn der Betrieb im Moment der Störung keine klare Reihenfolge hat, in der er wieder handlungsfähig wird. Wer in diesem Moment improvisiert, verliert nicht nur Zeit, sondern produziert Beweis- und Dokumentationslücken, die später Haftungs- und Deckungsfragen verschärfen.

Apotheken sind in dieser Lage nicht irgendein Unternehmen, weil digitale Abläufe nicht nur betriebliche Effizienz tragen, sondern Versorgungsfähigkeit mitbestimmen. Viele Funktionen hängen an Schnittstellen, und Schnittstellen hängen an Dritten: Abrechnung, Warenwirtschaft, Kommunikationswege, Authentifizierungsdienste, externe Plattformen, interne Geräteflotten. Fällt eine Komponente aus, wird die Apotheke nicht automatisch „offline“, aber sie wird langsamer, unsicherer, und sie muss zugleich sauber bleiben, weil Datenschutz, Nachweispflichten und Abgabeprozesse nicht verschwinden, nur weil Systeme instabil sind. Dadurch entsteht eine besondere Kostenstruktur: Cyber ist nicht nur Reparatur der Technik, sondern Wiederherstellung der Ordnung. Dazu zählen Nacharbeiten, Rekonstruktion, interne Revision, Kundenkommunikation, mögliche Meldungen, juristische Klärungen, Koordination mit Dienstleistern und das Risiko, dass der Betrieb in eine Art Schwebelage gerät, in der man wieder arbeitet, aber nicht sicher weiß, ob die Ursache wirklich weg ist. Diese Schwebelage frisst Energie und erzeugt Folgekosten, die im ersten Schock selten beziffert werden.

Aus dieser Mechanik folgt die entscheidende Perspektive auf Cyberversicherung. Versicherung ist hier nicht die Belohnung für Technik, sondern ein Instrument, das im Ernstfall eine zweite, professionelle Schiene bereitstellen kann: Hilfe, Kostenübernahme für externe Spezialisten, Krisenorganisation, Wiederherstellung, Haftungsabwicklung, gegebenenfalls Betriebsunterbrechung. Doch genau weil Versicherung eine zweite Logik ist, prallt sie im Schadenfall auf Definitionen, Ausschlüsse, Sublimits und Obliegenheiten. Die Frage, ob ein Vorfall als versicherter Schaden gilt, hängt nicht an der emotionalen Lage, sondern an Tatbeständen und an der Nachweisbarkeit dessen, was passiert ist. Wer den Vorfall organisatorisch schlecht einfasst, riskiert nicht nur längeren Stillstand, sondern auch Streit über Deckung oder eine Kürzung, weil bestimmte Mindestanforderungen als implizite Grundlage der Police gesehen werden. Cyberversicherung kann daher nicht die Stelle ersetzen, an der Sicherheitsgrundlagen als Betriebsaufgabe geführt werden; sie kann aber das Risiko abfedern, dass diese Aufgabe im Ernstfall teurer wird als gedacht.

In der Praxis entscheidet sich viel an zwei Zeitachsen, die im Alltag kaum beachtet werden. Die erste Zeitachse ist der erste Tag: Wie schnell wird der Vorfall erkannt, wie schnell wird die Ausbreitung gestoppt, wie schnell werden Systeme isoliert, wie schnell wird die Kommunikation geordnet. Die zweite Zeitachse ist der dritte Tag: Ob der Betrieb nicht nur irgendwie wieder läuft, sondern stabil, nachvollziehbar und mit einer dokumentierten Lage, die spätere Fragen beantworten kann. Genau hier liegt die Führungsdimension, weil sie nicht im Detail der Technik steckt, sondern im Setzen von Rollen und Prioritäten. Wenn keine Zuständigkeit existiert, wird in der Krise Zuständigkeit improvisiert, und improvisierte Zuständigkeit produziert Reibung, widersprüchliche Maßnahmen und eine unklare Chronologie. Diese Unklarheit ist das, was Angriffe wiederholbar macht: Nicht weil der Angreifer genial ist, sondern weil der Betrieb nicht gelernt hat, wie er sich selbst im Störfall als System stabilisiert.

Hinzu kommt eine stille Verschiebung im Charakter von Cyberereignissen. Vieles ist heute weniger „Zerstörung“ als „Ausnutzung“: Zugriff, Täuschung, Abfluss, Manipulation. Das kann den Eindruck erzeugen, man habe keinen klassischen IT-Schaden, sondern „nur“ ein Ereignis im Prozess, etwa durch täuschende Kommunikation oder durch missbrauchte Zugänge. Gerade solche Fälle sind gefährlich, weil sie im Nachgang schwerer zu sortieren sind, weil technische Spuren dünner sein können und weil die Grenze zwischen externem Angriff und internem Prozessfehler unscharf wird. Für Deckungsfragen kann genau diese Unschärfe relevant sein, weil Versicherungen Tatbilder brauchen und weil die Beweisführung häufig über Dokumentation läuft, die im Krisenmoment nicht an erster Stelle steht. Daraus entsteht ein doppelter Druck: Der Betrieb muss schnell wieder arbeiten, und er muss gleichzeitig so arbeiten, dass später nachvollziehbar bleibt, was getan wurde und warum.

Wenn man das nüchtern zusammennimmt, ergibt sich eine klare, apothekennahe Botschaft: Cyber ist allgegenwärtig, und Resilienz ist die eigentliche Leistung. Das bedeutet nicht, dass Technik nebensächlich wäre, sondern dass Technik ohne Ordnung nicht trägt. Es bedeutet auch nicht, dass Versicherung „rettet“, sondern dass Versicherung dort wirkt, wo die Organisation in der Lage ist, den Schadenfall so zu führen, dass Hilfe greifen kann. In dieser Sicht ist Cyberversicherung kein Ersatz für Sicherheitsgrundlagen, sondern Teil einer betrieblichen Gesamtordnung, die Verantwortlichkeiten, Wiederanlauf, Nachweisfähigkeit und Dienstleistersteuerung zusammenbindet. Und genau diese Ordnung ist das, woran viele scheitern, weil sie im Alltag unsichtbar bleibt, bis sie fehlt. Sobald sie fehlt, wird die Frage „ob“ plötzlich trivial. Dann bleibt nur noch „wann“ und wie teuer der Weg zurück wird.

An dieser Stelle fügt sich das Bild.

Sicherheit scheitert selten an fehlender Software, sondern an fehlender Verbindlichkeit. Wer Zuständigkeit nicht festlegt, bekommt sie im Schadenfall in Form von Hektik zurück. Wer Wiederanlauf nicht übt, lernt ihn unter Druck, und unter Druck wird aus jedem kleinen Detail ein großer Fehler. In Apotheken ist diese Spannung besonders scharf, weil Digitales nicht nur Verwaltung ist, sondern Alltagstakt, Versorgungstakt, Nachweistakt. Das macht Cyber nicht dramatischer, aber unerbittlicher: Es fragt nicht nach Motiven, es misst nur, ob ein Betrieb Ordnung hat, wenn Ordnung plötzlich gebraucht wird.

Dies ist kein Schluss, der gelesen werden will – sondern eine Wirkung, die bleibt. Cyber ist heute nicht mehr die Ausnahme, an die man gelegentlich denkt, sondern ein Risiko, das sich in Routinen einnistet und dann genau dort zuschlägt, wo Tempo über Ordnung siegt. Wer das als Technikproblem behandelt, kauft Lösungen, aber nicht unbedingt Stabilität. Wer es als Führungs- und Organisationsfrage begreift, erkennt, dass die eigentliche Währung nicht Tools sind, sondern Zuständigkeit, Wiederanlauf und Nachweisfähigkeit. Versicherung kann in dieser Logik viel leisten, aber sie ist kein Ersatz für Grundlagen und kein Trost für Unordnung; sie ist eine zweite, vertragliche Realität mit Grenzen, die im Ernstfall sichtbar werden. Zurück bleibt ein nüchterner Maßstab: Nicht ob etwas passiert, entscheidet, sondern ob der Betrieb den ersten Tag übersteht und den dritten Tag sauber wieder hochkommt.

Journalistischer Kurzhinweis: Themenprioritäten und Bewertung orientieren sich an fachlichen Maßstäben und dokumentierten Prüfwegen, nicht an Vertriebs- oder Verkaufszielen. Die Redaktion berichtet täglich unabhängig über Apotheken-Nachrichten und ordnet Risiken, Finanzen, Recht und Strukturfragen für Apotheker ein. Im Mittelpunkt steht die Frage, warum Sicherheitsgrundlagen scheitern und weshalb Versicherung nur wirkt, wenn Organisation und Nachweisfähigkeit tragen.

Zurück zur Übersicht